近日，部分知名廠商的服務器系統被發現存在KVM漏洞，該漏洞理論上可能會被黑客利用以獲取對受害用戶設備系統的控制權限。然而，仍有廠商拒絕公開承認其多款產品存在該漏洞。”由于該漏洞可能會導致黑客入侵后端的主機，致使企業的核心信息資產被竊取或是破壞。加之這些廠商的服務器在國內被廣泛應用，因此使用這些廠商的服務器無疑會給相關組織帶來極大的風險。

KVM漏洞產生“核心風險點”

由于服務器管理系統漏洞主要發生在某服務器的KVM交換機設備上，而其在企業網或數據中心又具有絕對的“權利”，通常處于整個網絡的控制核心位置，這一地位使它成為黑客入侵的重點對象，即：核心風險點。從黑客入侵者的角度來講，KVM的漏洞只是一個通道，后端的主機才是目標。主機在網絡環境中是整個信息安全核心資產的載體，是攻防的核心焦點，也網絡中最易遭受攻擊的領域，如果其受到攻擊和破壞，輕則系統癱瘓，關鍵業務無法運行，重則信息被篡改，關鍵機密信息被泄露，將會造成無法估量的損失。而在本次事件中，由于KVM安全漏洞的客觀存在，黑客利用KVM漏洞控制后端主機的可能性已被證實，這有可能會對企業造成毀滅性的打擊。因此，在對其安全風險和影響范圍分析之后，建議企業在第一時間對其修補。

用戶在關鍵位置的核心安全產品絕對不允許只有一個解決方案，要做到“內外有別”。例如：在KVM交換機被攻陷后，后端服務器及路由交換設備的控制權絕不能讓黑客輕易獲取。另外，對于承載核心資產的主機，控制權更不能夠只交給一臺設備負責，應采用縱深防御的架構，防止“一擊致命”。

縱深防御防止“一擊致命”

假設KVM漏洞已被黑客利用，但在后端服務器如果部署了系統加固產品，即便是突破了服務器的管理系統，獲取到了服務器的用戶權限，仍然有安全防護措施可限制黑客的進一步操作。黑客如果想要再進一步登錄后臺服務器操作系統，還需要對安全加固產品進行硬件載體的認證機制突破。在這種縱深防御體系的網絡安全架構中，KVM漏洞的危害不會在網絡中延伸，主機的管理權不會丟失，信息資產便不會被黑客輕易盜取。

所以，在強調整體安全管理的策略下，講究的就是縱深防御(Defense in Depth)，雖然它沒有最小特權原則(Least Privilege)被人們熟知，但卻是應對漏洞威脅最有效的方法。

浪潮“三位一體”方案為主機安全護航

2013年，浪潮在國內發布了首個集硬件、操作系統、安全軟件“三位一體”的主機安全方案，實現了“三點一面，縱深防御”全方位安全防護體系。作為安全軟件環節的核心，浪潮SSR操作系統安全增強系統提供了針對于服務器操作系統內核層面的安全加固，它采用主動防御模式，將原操作系統廠商的安全防護控制模型接管，讓用戶從根本上對主機的安全性做到自主可控。

目前市場上的主流信息安全產品如防病毒軟件、防火墻等都是從網絡層和系統上層通過黑名單的方式對已知病毒和木馬進行安全防護，國內缺少成熟的自主可控的操作系統產品及相關核心安全技術，市場迫切需要針對主機安全而提供的解決方案和產品。為此，浪潮通過對SSR產品進行的技術創新，研制出了針對主機的“疫苗”，在幫助用戶達到等級保護三級要求的同時，有效應對已知及未知的漏洞。