在目前国家政策及各企事业单位对计算机安全越来越重视的前提下,澳门新葡萄新京为提升企业计算机安全级别,解决常用企业安全产品无法解决的问题,组织研发团队进行“白盾”的研发。今天,我们有幸邀请到白盾主要创始人毛德操老师,来讲一讲这一力作。
在目前国家政策及各企事业单位对计算机安全越来越重视的前提下,澳门新葡萄新京为提升企业计算机安全级别,解决常用企业安全产品无法解决的问题,组织研发团队进行“白盾”的研发。今天,我们有幸邀请到白盾主要创始人毛德操老师,来讲一讲这一力作。
—维护企业信息安全 白盾助力措施升级—
网络安全的问题,除个别的情况之外,归根结底总会“落地”到具体的节点,也就是具体用户的机器上。网络攻击的目标一般不是网络本身,而是网络中的某些用户,可以是个人,也可以是企业,这里所说的“企业”是泛指,也包括各种机构、部门。
所以,网络安全说到底还是用户的信息安全问题,尤其是企业对于信息安全更为敏感,更加损失不起。对用户的信息安全构成损害的根本手段和途径,或者说根本的攻击手段,则是恶意软件(例如木马、病毒)的侵入和运行,要害在于运行。所以,信息安全的关键在于防止恶意软件的运行。而白盾,正是通过扼住恶意软件的运行来提高企业的信息安全性。
从白盾产品的原理和功能看,目前最合适的应用环境是工业和商业企业,以及政府部门。这个产品有分别适用于Windows和Linux两个操作系统的版本,而且同一版本的产品又可以适用于32/64位的系统架构。目前只有适用于Intel架构的版本,以后还会有适用于安卓和ARM的版本。
白盾对硬件的要求几乎可以忽略不计,整个运行都是由软件实现的,传感和执行两个环节的体积都很小,只是第二个环节即控制器稍大一些。一般的企业可以用一台服务器专门运行控制器软件,对服务器也没有什么特殊要求。大型企业可能需要多台服务器,但是服务器数量占全企业计算机数量的比例很低。
毛老师表示,虽然目前白盾适用于商业和工业领域,但是在将来还会进入教育领域特别是中小学。至于银行,由于对允许安装运行的软件品种有更严格的管理,其实现在就很适合使用白盾产品。
另外,白盾产品并不要求把原有的安全产品替换掉,而可以作为原有安全措施的补充,相当于额外再增加一道防线。当然,这道新的防线使原有安全措施的必要性实际上有所下降。值得期待的是,白盾还将开发家庭版的产品,让家长能对孩子机器上运行的软件有所管理,只需安装在所管理和控制的机器上就行。
—深入内核才能解决问题 业界独创白名单机制—
杀毒软件的本质是一种关于代码特征的黑名单机制,只要外来软件的代码中具有“病毒库”即黑名单中所列的某项特征,就把它“杀掉”,别的就都认为是好的。所以黑名单所体现的策略是“只要不在名单上的都允许”,这就给“零日攻击”提供了可能,因为一个软件刚出来时一定不在黑名单上。
而与此相对的“白名单”机制,则是“只要不在名单上的都不让运行”,这就排除了零日攻击的可能。一个用户,对于世上究竟有哪些恶意软件是不可能穷尽的,但是对自己需要用到哪些(合法)软件则大体上是心中有数的。尤其是企业,允许在内部安装使用哪些软件本来就应该是有管有控的。所以,白名单机制的安全性明显高于黑名单。而白盾,则正是采用白名单机制的信息安全产品,而且是植根于操作系统内核的信息安全产品。品牌中的这个“白”字就是来自“白名单”。
那么白名单机制是如何运行的呢?毛老师告诉我们,每当系统要加载运行任何可执行软件模块(包括EXE、DLL、SYS、DRV)的时候,白盾都会对其映像进行特征抽取,并把所抽取特征与白名单进行比对,如果不符就把相应的进程杀掉,不让其运行。
事实上,目标软件映像中只要有一个二进位的变化,其代码的特征就会有明显不同;而刻意要让两个相同长度的软件映像具有相同特征则实际上是不可能的。
这个过程涉及三个环节。第一个环节是感知,就是任何一个进程每次要加载运行任何软件模块都会被感知,其作用相当于传感器。第二个环节是比对和决策,由“安全控制器”根据传感器上报的目标软件名称与特征在白名单中搜索比对,并确定对策。第三个环节是对策的实施,如果控制器的决策是扼杀,就把加载该目标软件的进程杀死,不让其运行。
这里的第一和第三这两个环节都需要深入到操作系统及其内核。所以真正有效的白名单机制都需要把根扎到内核。而白盾,就是这样植根于操作系统内核,基于白名单的信息安全产品。
写在最后:信息安全的问题早已刻不容缓,白盾的出现正是业界的突破,毛德操老师也表示,开始在转型白名单思路转变时,也经历了一些过程,因为这样的思路与一般的杀毒软件并不相同,但是利用这个思路加上对内核颇有研究的团队,打造出了一个与企业安全非常对口的产品——白盾。最后用毛老师反复说的一句话作为结尾:不深入到操作系统内核这个层面,信息安全的问题是很难真正得以解决的。
