網絡信息系統中的計算機終端能否保持安全運行至關重要,它既是網絡攻擊的目標,也是網絡攻擊的源頭。
作為網絡系統中最薄弱環節,同時也是出現問題最多的環節,計算機終端安全面臨著巨大的挑戰:操作系統以及應用系統漏洞層出不窮;現有的防病毒軟件都是以黑名單的機理處理病毒,出現新病毒無法及時解決;混合型威脅越來越多,針對計算機的威脅越來越不可預見;企業中對客戶端的管理越來越難。
筆者作為計算機工程師在報社網絡信息化崗位上工作近30年,面臨最多也最難處理的工作便是處理計算機安全問題,花費在解決計算機客戶端問題的時間占到了整體工作的時間比例超過60%。
如何安全高效地管理眾多計算機客戶端,使IT管理者能騰出更多時間去研究和思考更重要的技術問題,同時保障報社整體網絡環境安全高效運轉,是工程師面臨的重要課題。經過長期考察實踐,筆者發現,問題主要集中在如下幾點:
被動防御方式:目前終端主要基于掃漏洞、打補丁和利用特征庫識別惡意行為等被動防御機制,不能滿足高等級的安全需要,特別是針對滲透攻擊缺乏有效的防御手段。
安全機制脆弱:現有安全防護產品“重功能,輕保障”,安全保障能力欠缺,自身安全機制容易被篡改和旁路。
管理分散低效:當前安全建設采用分散管理的方式,一方面各產品難以聯動,不能構成整體防御,另一方面運維效率較低且缺乏預測能力。
如何解決這些問題?
金融時報社采取了計算機主動防御系統來應對,主要可以實現如下效果:定制計算機終端能夠運行的應用程序并生成白名單,通過安全管理平臺能夠根據安全要求制定策略,并對終端操作行為實施控制,使得終端能夠防范計算機啟動過程中操作系統相關部件的篡改和破壞,保證終端動態服務的真實可信,能夠防范RootKit式攻擊,能夠根據策略對應用類型加以限制,對木馬、病毒等惡意代碼具備主動防御能力,對流氓軟件的非法安裝和運行具備控制能力。也就是說,哪些程序可以在計算機上運行是可以由網管人員定義的,白名單以外的任何程序都無法啟動,從而,確保終端系統環境對病毒、木馬、漏洞的攻擊免疫,實現“進不來”、“拿不走”、“改不了”、“癱不了”、“賴不掉”的安全效果。采用白名單主動防御機制,提供執行程序可信度量,阻止非授權及不符合預期的執行程序運行,實現對已知/未知惡意代碼的主動防御,可以做到免補丁升級,免病毒、木馬查殺。
該技術如同在網絡信息系統中有效筑起了一道安全防火墻屏障,為安全出報起到了積極作用,對于有效的企業IT安全管理起到了重要的規范作用。通過5年多的長期應用與改進,金融時報社的計算機、網絡運行穩定,未出現重大病毒爆發。
京公網安備 11010502049343號