网络信息系统中的计算机终端能否保持安全运行至关重要,它既是网络攻击的目标,也是网络攻击的源头。
作为网络系统中最薄弱环节,同时也是出现问题最多的环节,计算机终端安全面临着巨大的挑战:操作系统以及应用系统漏洞层出不穷;现有的防病毒软件都是以黑名单的机理处理病毒,出现新病毒无法及时解决;混合型威胁越来越多,针对计算机的威胁越来越不可预见;企业中对客户端的管理越来越难。
笔者作为计算机工程师在报社网络信息化岗位上工作近30年,面临最多也最难处理的工作便是处理计算机安全问题,花费在解决计算机客户端问题的时间占到了整体工作的时间比例超过60%。
如何安全高效地管理众多计算机客户端,使IT管理者能腾出更多时间去研究和思考更重要的技术问题,同时保障报社整体网络环境安全高效运转,是工程师面临的重要课题。经过长期考察实践,笔者发现,问题主要集中在如下几点:
被动防御方式:目前终端主要基于扫漏洞、打补丁和利用特征库识别恶意行为等被动防御机制,不能满足高等级的安全需要,特别是针对渗透攻击缺乏有效的防御手段。
安全机制脆弱:现有安全防护产品“重功能,轻保障”,安全保障能力欠缺,自身安全机制容易被篡改和旁路。
管理分散低效:当前安全建设采用分散管理的方式,一方面各产品难以联动,不能构成整体防御,另一方面运维效率较低且缺乏预测能力。
如何解决这些问题?
金融时报社采取了计算机主动防御系统来应对,主要可以实现如下效果:定制计算机终端能够运行的应用程序并生成白名单,通过安全管理平台能够根据安全要求制定策略,并对终端操作行为实施控制,使得终端能够防范计算机启动过程中操作系统相关部件的篡改和破坏,保证终端动态服务的真实可信,能够防范RootKit式攻击,能够根据策略对应用类型加以限制,对木马、病毒等恶意代码具备主动防御能力,对流氓软件的非法安装和运行具备控制能力。也就是说,哪些程序可以在计算机上运行是可以由网管人员定义的,白名单以外的任何程序都无法启动,从而,确保终端系统环境对病毒、木马、漏洞的攻击免疫,实现“进不来”、“拿不走”、“改不了”、“瘫不了”、“赖不掉”的安全效果。采用白名单主动防御机制,提供执行程序可信度量,阻止非授权及不符合预期的执行程序运行,实现对已知/未知恶意代码的主动防御,可以做到免补丁升级,免病毒、木马查杀。
该技术如同在网络信息系统中有效筑起了一道安全防火墙屏障,为安全出报起到了积极作用,对于有效的企业IT安全管理起到了重要的规范作用。通过5年多的长期应用与改进,金融时报社的计算机、网络运行稳定,未出现重大病毒爆发。
(张占成)