企業動態

    11月9日，2021第二屆操作系統產業峯會在國家會議中心召開，在麒麟專場上，奇安信椒圖事業部副總經理李棟發表了“護航國產操作系統打造安全計算環境”主題演講，詳細介紹了奇安信在國產化操作系統安全建設方面的積累與技術沉澱。

    圖：奇安信椒圖事業部副總經理李棟

    國產操作系統雖然正在快速發展，關鍵核心技術“卡脖子”問題也有了破解之道，但是黑客攻擊、後門、勒索病毒等安全威脅並沒有因此消失，尤其是在服務器安全領域，還有不少技術難題等待攻關。

    對此，奇安信和麒麟軟件共同提出國產化服務器操作系統安全要關注的3個重點：

    第一、實現資產與漏洞的閉環管理

    李棟指出，伴隨着雲計算的快速發展和虛擬化技術的成熟，工作負載（物理機、虛擬機、容器、serverless等）數量出現幾何倍數的增加，尤其是容器和serverless出現後，在奇安信服務的客户體系中，已經出現了擁有百萬級工作負載的客户，這些工作負載中跑了哪些業務、有哪些危險端口暴露在公網、是否存在弱口令或者口令複用、哪些系統&應用還有漏洞未修復，這些看似基礎的安全工作，在工作負載數量達到一定量級後會由量變到質變，成為巨大的挑戰。

    因此首先要對服務器系統、應用、進程、端口等核心資產進行統一管理，並基於採集到的資產信息，全面檢測漏洞&補丁、弱口令、危險端口暴露、webshell等安全風險，建立海量信息資產的風險自動化運維機制。

    他還指出，在現實環境下，可以看到客户側的操作系統版本五花八門，從最初的版本到最新的版本都可能存在，很多關鍵應用如數據庫、中間件也都存在重要安全補丁未打的情況，核心原因是安全一直在給業務讓步，因為打補丁可能導致業務重啓、服務器重啓、甚至藍屏，客户側對於漏洞&補丁的處理一直非常慎重且嚴重滯後，因此即使把“資配漏補”工作做到極致，也未必能完全解決客户的安全問題。

    對此，奇安信虛擬化安全提出“虛擬補丁”的技術手段，在內核態基於WFP框架實現引流功能，將虛擬機的入站、出站流量通知給應用態的IPS引擎，並用IPS引擎對流量實施檢測防護，可以實現在不打實體補丁的情況下，防止黑客利用漏洞攻擊服務器，目前虛擬化安全的虛擬補丁數量已經達到接近1萬條，可以真正實現“資產-漏洞發現-實體補丁-虛擬補丁”的閉環管理。

    第二、關注安全左移與應用運行時安全

    這兩年安全左移與DevSecOps的概念越來越來被客户所接受，其核心思想是由“業務的安全”向“安全的業務”轉變。

    早在2015年，奇安信椒圖服務器安全團隊就開始了安全左移的研究，針對web中間的防護引擎：In-appWaf與RASP(應用運行時自我保護)就是在安全左移領域的核心成果，通過防禦引擎賦能，讓安全融入IIS、Apache、Nginx、WebLogic、Tomcat等web類應用中，使之在上線運行時就具備自我防護的能力。其中In-appWaf接管http請求，可以直接對流量中的惡意函數和代碼做過濾，RASP對流量到達本地之後的行為（命令執行、文件操作、網絡IO）做二次校驗，實現規則+行為的雙重檢測，可以有效防禦SQL注入、跨站、反序列化、遠程代碼執行等網絡攻擊，對web類0day同樣具備較強防禦效果，可實現對多類攻擊的通殺。

    第三、洞察黑客入侵行為

    服務器安全往往是企業安全中的“短板”，0day、無文件攻擊、內存碼等針對服務器的新型攻擊方式不斷出現、攻擊強度不斷加大，都給服務器安全帶來了很大挑戰，因此在與黑客的對抗中，提前瞭解黑客的攻擊手段和攻擊也成為制勝關鍵。

    漏洞幾乎無法避免，但是漏洞利用行為確相對固定，奇安信椒圖服務器安全管理系統通過內核驅動，會對端口掃描、反連shell、進程自我複製、監聽原始套接字等黑客在入侵產生的多種異常行為進行監控及防護，無論是利用什麼漏洞達到服務器，只要觸發了這類行為就可以被認定為異常訪問，因此內核加固可以限制漏洞利用後下一步行為，以有限的行為對抗無限的漏洞。

    據瞭解，本次峯會吸引了來自操作系統產業的300多家企業、組織等“政、產、學、研”代表參加，共同探討產業政策、技術創新、生態共建、商業驗證、開源共享等話題，推動國產化操作系統產業發展和基礎軟件生態繁榮，奇安信作為國家信創戰略堅定不移的執行者，以及麒麟、歐拉等國產操作系統重要的安全生態合作伙伴，將持續發力操作系統底層安全研究、聯合操作系統廠商打造具備內生安全能力的國產化系統，為客户提供更加安全的計算環境。