什么是底層安全？

在引起廣泛關(guān)注的3Q大戰(zhàn)的時(shí)候，有過這樣一個(gè)小插曲，曾經(jīng)有一個(gè)記者，向馬化騰這樣提問：為什么不技術(shù)屏蔽360？而馬化騰是這樣回答的：我是應(yīng)用層，它是底層！相當(dāng)于我是"民用"，它是"軍用"。一個(gè)"民用"，一個(gè)"軍用"，形象地體現(xiàn)出了應(yīng)用層技術(shù)與底層技術(shù)的巨大差異。那么什么是底層技術(shù)？它又會(huì)給信息防泄漏行業(yè)帶來什么？

談及底層技術(shù)，首先就要從window操作系統(tǒng)的架構(gòu)說起。

Window操作系統(tǒng)本身屬于軟件的范疇，但是它需要緊密地跟硬件打交道，它為上層應(yīng)用軟件或應(yīng)用系統(tǒng)提供了公共接口，并負(fù)責(zé)硬件資源的管理和分配。應(yīng)用軟件不需要直接跟硬件打交道，它們利用操作系統(tǒng)提供的接口來實(shí)現(xiàn)各種應(yīng)用任務(wù)，如果它們要訪問硬件，則必須通過操作系統(tǒng)提供的公共接口來完成。為了保證Windows系統(tǒng)自身的穩(wěn)定性，Windows采用了雙模式（dual mode）結(jié)構(gòu)來保護(hù)操作系統(tǒng)本身(如圖1-1)，以避免被應(yīng)用程序的錯(cuò)誤所波及。操作系統(tǒng)核心運(yùn)行在內(nèi)核模式（kernel mode）下，應(yīng)用程序運(yùn)行在用戶模式（user mode）下。每當(dāng)應(yīng)用程序需要用到系統(tǒng)內(nèi)核或內(nèi)核的擴(kuò)展模塊（內(nèi)核驅(qū)動(dòng)程序）所提供的服務(wù)時(shí)，應(yīng)用程序通過硬件指令從用戶模式切換到內(nèi)核模式中；當(dāng)系統(tǒng)內(nèi)核完成了所請求的服務(wù)以后，控制權(quán)又回到用戶模式代碼。"用戶模式"和"內(nèi)核模式"是不對稱的，形象的說二者之間不是"井水不犯河水"的關(guān)系，而是井水不能犯河水但河水可以犯井水。

圖1-1

通過上面對于window操作系統(tǒng)結(jié)構(gòu)的介紹，我們可以發(fā)現(xiàn)在window系統(tǒng)中愈往上愈接近應(yīng)用軟件，愈往下愈接近硬件。而包括內(nèi)核在內(nèi)的所有中間層次的作用，則是幫助應(yīng)用軟件更好、更安全、更方便、更有效地利用包括CPU在內(nèi)的硬件資源。而底層技術(shù)，所指的就是針對內(nèi)核模式下運(yùn)行，緊密貼合硬件的文件系統(tǒng)，設(shè)備驅(qū)動(dòng)程序，windows內(nèi)核程序的修改與二次開發(fā)的技術(shù)。在信息安全防護(hù)系統(tǒng)的防護(hù)目標(biāo)上，無論是移動(dòng)介質(zhì)管理，還是主機(jī)監(jiān)控審計(jì)，以及非法外聯(lián)監(jiān)控，都涉及到了對硬件的管控。應(yīng)用層的技術(shù)手段在對硬件技術(shù)進(jìn)行管控時(shí)，需要通過API函數(shù)端口來實(shí)現(xiàn)，然而，API函數(shù)作為應(yīng)用層和內(nèi)核層的連接部分，由于需要照顧使用的廣泛性，所以很容易被繞過、被卸載或被修改，并且它受內(nèi)核層的控制，導(dǎo)致API函數(shù)自身安全性不佳。而底層技術(shù)則是使用內(nèi)核提供的接口，直接對硬件進(jìn)行管控，因而與其他技術(shù)手段相比具有以下的優(yōu)勢:#p#

首先，在安全性上,底層技術(shù)手段主要運(yùn)行在內(nèi)核模式下，也就是運(yùn)行于windows后臺(tái)，被當(dāng)作操作系統(tǒng)的一部分運(yùn)行來執(zhí)行，從而無需啟動(dòng)進(jìn)程，用戶也感知不到驅(qū)動(dòng)的運(yùn)行，與運(yùn)行在應(yīng)用層技術(shù)相比，防繞過，防卸載，更隱蔽，更安全。

其次，在實(shí)時(shí)性上,因?yàn)榈讓蛹夹g(shù)手段與windows操作系統(tǒng)同步運(yùn)行，使得我們可以第一時(shí)間及時(shí)感知用戶的操作行為，包括硬件的插入、啟動(dòng)，文件的訪問、操作等等，同時(shí)能夠準(zhǔn)確記錄、及時(shí)阻止。

最后，在高效性上，底層技術(shù)手段直接運(yùn)行在內(nèi)核模式下，從而做到全局控制所有的操作行為，并且?guī)缀醪挥绊懹?jì)算機(jī)運(yùn)行的速度與性能。

企業(yè)信息防泄漏更應(yīng)從"底"做起

在企業(yè)信息防泄漏上，底層技術(shù)就有更大的優(yōu)先級別。例如，在端口控制上，無論是采用應(yīng)用層技術(shù)手段還是底層技術(shù)手段，我們都會(huì)在設(shè)備管理器中，看到想要管控的設(shè)備。但有區(qū)別的是，普通的管控手段，我們的用戶依然可以在設(shè)備管理器中重新啟用該設(shè)備。雖然，該設(shè)備會(huì)被重新關(guān)閉，但是這種瞬時(shí)的開啟，就存在著巨大的泄密風(fēng)險(xiǎn)。然而采用底層技術(shù)手段的管理系統(tǒng)，例如目前在該領(lǐng)域較為知名的鼎普內(nèi)網(wǎng)系統(tǒng)，綜合用戶雖然可以看到設(shè)備，但是無法通過設(shè)備管理器對該設(shè)備進(jìn)行任何的操作，徹底的實(shí)現(xiàn)了目標(biāo)設(shè)備管控。再例如非法外聯(lián)管控中，眾所周知，實(shí)現(xiàn)非法外聯(lián)發(fā)現(xiàn)與阻斷，需要對互聯(lián)網(wǎng)的特定地址，發(fā)送探測信號(hào)。這時(shí)就產(chǎn)生了一個(gè)問題，這個(gè)探測信號(hào)可能會(huì)被防火墻攔截！普通技術(shù)實(shí)現(xiàn)的非法外聯(lián)探測功能，無法突破防火墻的封鎖，但是基于底層技術(shù)開發(fā)的網(wǎng)絡(luò)非法外聯(lián)監(jiān)控系統(tǒng)，通過內(nèi)核模式下的網(wǎng)絡(luò)傳輸層過濾驅(qū)動(dòng)實(shí)現(xiàn)，能夠有效地避免探測信號(hào)被防火墻攔截，從而保證非法外聯(lián)的有效性。還有一個(gè)例子，就是在主機(jī)審計(jì)方面，有很多的技術(shù)都能夠?qū)崿F(xiàn)對用戶行為的審計(jì)功能，但是，隨著信息技術(shù)的發(fā)展，伴隨而來的也就是高科技的竊取手段，例如內(nèi)核級的木馬程序。普通技術(shù)的審計(jì)功能，因?yàn)閷?shí)現(xiàn)在應(yīng)用層面，導(dǎo)致無法對內(nèi)核級的操作行為有任何的感知，也就使得產(chǎn)品的審計(jì)功能形同虛設(shè)。鼎普主機(jī)監(jiān)控與審計(jì)系統(tǒng)，針對內(nèi)核級的竊取手段，采用內(nèi)核級的技術(shù)手段，通過對windows內(nèi)核加入自主研發(fā)的代碼程序，從而保證對任何的文件操作行為，及時(shí)發(fā)現(xiàn)，準(zhǔn)確記錄。

進(jìn)入21世紀(jì)后，隨著國內(nèi)信息化程度的快速提高，信息安全越來越多地受到關(guān)注，信息安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。雖然眾多的產(chǎn)品和廠商都以信息安全的概念在提供服務(wù)，但其實(shí)際技術(shù)和內(nèi)容卻千差萬別。眾多的安全產(chǎn)品都能提供類似的功能，但是，其中的大多數(shù)都僅僅是采用了應(yīng)用層的技術(shù)手段，導(dǎo)致產(chǎn)品自身的安全性差，容易被破解，容易被繞過。鼎普科技已經(jīng)成長為信息防泄漏領(lǐng)域的領(lǐng)航企業(yè)，長期服務(wù)于國家政府、軍隊(duì)和軍工單位，作為國家信息安全保密戰(zhàn)線的一員，鼎普科技認(rèn)識(shí)到要守衛(wèi)國家秘密，捍衛(wèi)國家利益，就必須產(chǎn)品自身有出色的安全性。"更底層、更安全"！相信只有建立在底層技術(shù)上的防護(hù)體系，才能更好的守衛(wèi)國家秘密，保衛(wèi)信息安全！