1引言据IDC统计,对于企业来说,来自内部终端的安全威胁占整个安全威胁的70%以上。由于企业内部终端数量多,人员层次不同,流动性大,安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。例如:某员工使用手提电脑在家上网,从Internet上感染病毒,上班后没有进行任何接入保护,导致病毒在企业网络内部传播,引起整个办公网络瘫痪;某员工由于安全意识薄弱,没有及时安装操作系统补丁或者开启不安全端口或服务,导致黑客入侵,引起系统瘫痪或机密信息被窃取;某员工由于谋求个人私利通过USB窃取公司机密信息等。
同样,政府也面临类似问题,也出现了大量的安全事件,网络病毒肆虐、国家机密流失、资料外泄屡有发生。为了解决终端的安全,相关单位现在只能通过管理方法把终端“管死”,内部终端的可用性降低的同时,安全漏洞依然存在,只能通过“加法”不断补充安全手段。
这些安全威胁问题对于以信息为生存基础的企业、政府来说是致命的,同样威胁个人私密信息的安全。
我国信息安全产品经过多年发展,形成一定的规模;目前现在政府、企业的信息安全意识普遍都很高,也部署了各类型的信息安全产品,应用了防火墙、防病毒等安全措施,但问题还是层出不穷。面对不断变化的环境,业界也意识到只解决外部攻击防范问题的网络安全设备根本无法解决此类威胁。重视终端弱点管理,通过自主可控技术强化终端安全,为企业、政府以至个人建立全面立体的安全防护体系,是目前信息安全业界既现实而又迫切的问题。
目前,导致终端安全问题的原因主要如下:
终端设备的多样性 随着3C(Computer、Communication、Consumer Electronics)与3W(Web、Wireless、Wideband)的迅速融合,改变了传统的网络联接形式,移动与无线已经成为主流网络架构模式。传统的计算与通讯网络环境不同的是,融合环境下,诸如笔记本电脑、掌上电脑和PDA等移动终端和无线设备的接入导致很难再去定义一个清晰的网络边界;另外各种终端的不同形式的外接端口扩展了传统网络管理的范围,以往的终端接入标准已不适用于现今的管理标准,所以需要通过对终端接入实施“动态”、“随需”的安全保障管理,对物理及非物理的终端接入网络定义一个清晰的虚拟边界。
终端应用的复杂性 目前终端的操作系统与应用软件功能繁多,但用户日常办工中需要应用的功能不到10%,某些应用甚至永远都用不到。不断扩展的终端应用庞大且臃肿,漏洞层出不穷,复杂、频繁的恶意安全攻击日益增多,终端需要频繁更新各类型的信息安全产品,才能防治处理存在的安全威胁。
频繁更新安装安全产品和服务,带来的是故障频出,因为每一个安全产品和服务都需要配置,配置不好,不但安全产品和服务无法发挥应有作用,甚至造成安全系统和网络故障。由于对大多数由系统管理员兼任的信息安全员来说,要了解每一个安全产品的性能和功能是一件相当令人头疼的事情,再加上各品牌产品标准没统一,接口不一样,判断谁出问题很麻烦,因此,一出问题就得聚拢一堆厂商来查原因。在此环境下,病毒肆虐、机密流失、资料外泄等信息安全问题往往出现在系统管理员和厂商的环节上。
所以,终端安全的复杂性导致的信息安全应用与管理问题也成为目前业界的难题。
非自主核心技术不受控 国内安全产品的发展还是不能满足安全形势发展的需要,目前我国政企70%的信息安全设备和产品来自国外;安全产品受制于人,我国网络系统和网络设备使用的关键芯片与核心软件大部分依赖进口。
据业内专家介绍,我们的核心技术特别是操作系统、专用芯片和专用硬件的设计、生产能力基本受制于国外厂商尤其是美国厂商,操作系统由微软垄断,安全芯片由Cavium/HiFin以及跨行业发展的NetScreen公司垄断;国内许多网络安全企业的硬件平台也基本都是直接来自美国。
上游链受控于人,对有重要信息安全需求的信息系统用户来讲,很难实现“自主可控”的目标,在一定程度上为我国的经济和社会稳定留下隐患。
同样,目前各类信息系统终端充斥大量国外信息安全产品已成为现实,国产安全产品和服务大多功能单一,市场占有率低,竞争中处于劣势,更不用说替代国外同类产品。国内政府、企业、个人的终端,现实普遍采用国外包括Windows在内操作系统及应用,他们需要自主可控的涉密应用、涉密数据存储,但没有条件部署专用涉密网络、专用涉密终端。所以,业界需要为国产信息安全的厂商提供一个统一的终端安全管理平台,通过统一的标准、统一的接口、统一的部署规划、统一的更新控制,为用户提供整体自主可控的国产化终端信息安全解决方案。
2009年由中共中央国家保密委员会(国家保密局)牵头各省国家保密局组织的有史以来最严厉的全国保密大检查,检查后发现全国各级政府,军工企业,企事业涉密单位存在这样那样的严重泄密安全隐患,终端安全刻不容缓。
广州经略电子科技作为国内唯一一家多年从事虚拟安全底层技术产品研发,生产于一身的民族企业,秉着“自主创新,科技兴国,文化传薪“的企业理念,经多年与部队,军工企业,党政机关保密办及信息中心,企事业单位的充分接触与沟通,充分理解相关单位的保密要求和目前存在的困境,在我司V3虚拟系统的基础上吸收并借鉴2009年广东省国家保密局关于涉密与非涉密信息交换的设计思路,以及对用户需求的充分理解,结合《中共中央保密委员会办公室,国家保密局关于国家密码载体保密管理的规定》,《关于加强党政机关计算机信息系统安全和保密管理的若干规定》,同时在广东省国家保密局的关心和指导下,我们率先推出具有国际先进水平的V3虚拟安全系统。
2系统简介V3虚拟安全系统通过在磁盘任意分区生成高强度加密文件,并通过映射该加密文件成虚拟磁盘分区的方式运行V3虚拟桌面系统。
V3虚拟安全系统不但可以生成现有操作系统的全新虚拟镜像,它具有真实系统完全一样的功能。进入虚拟系统后,所有操作都是在这个全新的独立的虚拟系统里面,可以独立安装软件,运行软件,保存数据,拥有自己的独立桌面。不会对真正的系统产生任何影响。也不会因为真正的系统出问题而影响在虚拟系统里面软件和数据.和传统的虚拟机不同,虚拟系统不会降低电脑的性能,启动虚拟系统也不需要等待的时间。同时支持可移动存储运行,既插既用等等特性。
V3虚拟安全系统和外界主机系统无法直接互访,用户在主机只能访问主机的磁盘分区,不能直接访问V3虚拟安全系统的虚拟磁盘分区。同时用户在虚拟安全专业版系统环境中也不能直接访问除自身虚拟磁盘外的分区,这样就形成了一个相对封闭的计算机环境,当用户需要与外界主机环境交换文件时只能通过我司独创的专用文件交换资源管理器实现V3虚拟安全系统环境与外界主机环境的单向文件导入和导出。
3关键技术3-1虚拟桌面技术介绍桌面虚拟化是虚拟化技术的浪潮。桌面虚拟化的目的是从底层构建不同的工作区(最终用户的应用程序,数据,网络负载和设置)。桌面虚拟化,和现有许多虚拟化解决方案概念相似,本文只在介绍成功的虚拟化架构技术。
虚拟机(VM)技术,为所有虚拟桌面解决方案的基础,使计算机能够同时支持和执行两个或两个以上的计算机环境,其中“环境”包括操作系统以及用户应用程序和数据。虚拟机是一个虚拟的运算系统,借用计算机资源(CPU,硬盘,内存等),让主机工作的同时,也作为客户计算机而存在。 计算机资源共享的好处可以提供给最终用户,包括:
隔离 – 工作区在不同的计算环境独立运作,虽然有些资源可以共享(例如,键盘,鼠标和屏幕),同时其他的却可以得到保护(例如,数据文件)。在一个虚拟环境中,主机资源需要从并发访问到双方的宾主控制的保护,在传统的虚拟系统中,这种隔离和控制是通过一个特殊的软件程序提供的,称为虚拟机监视器(VMM)。VMM可以自主监控主机计算机环境或者主机和客户计算机行为。资源平衡 -如果有需要的话,可以对每个功能自主的运行环境进行资源消耗监控和限制。可移动/迁移 - 某些虚拟机的配置被认为是可移动的,也就是说,整个计算机环境,可从一个移动到另一个不同的主机。今天世界上越来越多的移动应用得益于这种虚拟机技术,流动性是虚拟桌面解决方案的关键,虽然今天存在的软件产品,都提供基本的虚拟机能力,但是这些产品仅提供有限的或者根本没有移动虚拟化的支持。 今天我们有许多方法来实现VMM以及配套软件。本文将说明各种不同的VMM技术优劣点,并重点介绍V3专业安全版所采用的工作区虚拟引擎技术:
系统管理程序 – 该VMMs程序采取拦截和陷阱将违背隔离或者导致系统不稳定的低级别CPU指令,模拟的任何指令的方式。管理程序可以提供一个完整的虚拟桌面,但是带来不同程度的资源开销和性能降低。半虚拟化 –该 VMMS程序采取拦截和陷阱将违背隔离或者导致系统不稳定的低级别CPU指令,没有任何指示的方式。半虚拟化可以要求来宾桌面操作系统进行修改,以避免这些特权指令。半虚拟化系统,可以提供一个完整的虚拟桌面,有不同程度的资源开销和性能损失。工作区虚拟引擎(名为WVE) - 该VMMs程序采取拦截和陷阱,模拟或重定向将违背隔离或导致系统不稳定低级别的OS API调用的方式。有些WVEs可以在一个内核中提供虚拟化的能力,使工作区嵌入一个包含企业域级别的特权代码模块和子系统的完整的操作系统,有独立的网络堆栈和支持,如端点安全应用,数据库应用和电脑管理软件,需要的驱动和安全服务。 WVEs可以提供一个完整的虚拟桌面,很少或根本没有性能损失。应用程序容器 – 该系统采取拦截和陷阱,模仿那些违背隔离或导致系统不稳定的最高等级OS API调用。应用容器一般不能提供一个完整的虚拟桌面。仿真 - 模拟整个系统的硬件系统,包括中央处理器,I / O设备等模拟器可以提供一个完整的虚拟化桌面,但存在巨大的性能损失。
3-1-1 工作区虚拟化技术介于应用程序虚拟化和管理程序的基础虚拟化(虚拟机)之间的是工作区虚拟化。工作区虚拟化是虚拟化封装和隔离整个电脑工作区的方法。因此,工作区将包括上述操作系统内核一切-应用程序,数据,设置和任何非特权作业系统需要提供一个有效的Windows桌面计算环境的子系统(见图5)。
图 5 -最低限度的工作区虚拟化架构
这种理想的情况是几乎从来没有实现,由于现代操作系统和应用程序开发的做法传授结构方面的关注:
应用程序通常包含特权代码(驱动程序或服务),这与在一个特权级别的操作系统进行交互。这些特殊对象模块需要适当隔离和虚拟化,在特权/内核模式。
图6 – 首选的工作区虚拟化架构
作业系统经常被分为特权与非特权模块的子系统。两个模块都必须是支持适当的虚拟化应用程序使用的子系统。由于这些问题,完整的WVE需要提供虚拟化能力的特权代码。一个完整的虚拟化WVE特权架构如图6所示,可以通过一个内核模式名为WVE特权代码模块和子系统的完整的操作系统提供虚拟化能力,完整的WVEs在加入企业域的基础上提供完整的执行工作区,有独立的网络协议栈,并支持诸如端点安全应用,数据库,强大的认证和PC管理软件,需要的驱动和安全服务等。
一个理想的WVE可以实现:设置特权虚拟子系统的副本(输入/输出,网络,安全等)设置非特权虚拟子系统的副本(软件安装,远程管理等)支持应用程序隔离(最终用户的应用软件)有关与PC主机备用分系统共享体系结构上的情况(例如可用于高性能的I / O的共享冗余硬件设备子系统)
通过实现上述功能,该WVE的工作空间虚拟化解决方案能提供更高层次的应用程序兼容性,同时提高了一些必须与主机共享的子系统的虚拟应用的性能。
3-2全透明加密运行技术全透明加密运行技术的原理是通过映射大的加密文件成动态的Windows虚拟磁盘分区而让V3虚拟系统整体透明加密运行。
3-3安全资源管理器技术安全资源管理器技术的原理是通过重写Windows资源管理器,实现重写过资源管理器中的文件访问完全可控的目的,以配合文件之间交换的特殊需要而设计。
4 V3专业安全版系统架构介绍
图 7 V3专业安全版系统架构图
图8 透明加密工作区原理图
V3虚拟系统工作区与主机桌面工作区实现底层隔离,同时共享一些必须的部分(比如系统设备,驱动,服务,系统程序等)如图 7 ,通过限制V3工作区与主机工作区数据磁盘互访达到V3工作区与主机工作区相互完全隔离的目的。V3 工作区运行于由高强度加密文件生成的虚拟磁盘之中,这样就达到了V3工作区(系统,应用程序,数据,文件)全透明加密运行之目的,很好的保护了V3工作区的数据安全,由于V3工作区的存在,实现了与主机系统的分离,使之能够达到V3工作区应用程序不依赖主机系统的可移动迁移效果。
5典型应用
5-1 V3虚拟系统的终端安全典型应用V3安全版虚拟系统是结合虚拟系统技术,透明数据加密技术,安全资源管理器技术,且经过分析企业,政府,科研,军队,事业单位现有市场信息安全解决方案的基础上,提出了我司创新的解决方案。
该方案通过映射一个高强度加密大文件成虚拟磁盘,并在该虚拟磁盘中运行我们的V3虚拟系统,真实主系统与虚拟系统之间无法直接通过磁盘,移动存储设备等等措施实现互访,而巧妙实现了涉密环境与非涉密环境的分离。并且通过我司独有安全资源管理器技术实现了非涉密和涉密环境之间单向可控文件交换。用户既可以在V3虚拟系统中象真实系统操作一样操作,同时操作后的任何文档,资料和系统设置都只保留在该V3虚拟系统中,对于主系统来说,该V3虚拟系统只是一个大的高强度加密文件而已。即使非法用户拿到该电脑硬盘也无法解开加密文件,从而无法获取该虚拟系统中任何资料。备份资料也很简单,只需要备份该大的高强度加密文件到安全的地方即可。如果把V3安全版虚拟系统安装到可移动存储设备只需要把该设备接入任意计算机即可立即使用自己涉密办公应用软件环境,并且完成后,拔出移动存储设备不会在接入的系统中保存任何痕迹,即使笔记本或者PC机被盗,被抢也不用当心泄密,真正实现了无痕办公,彻底的防泄密。
5-2 V3虚拟系统的电脑安全典型应用大部分笔记本,中高端PC机都预装了自主研发的一键还原系统,一键还原系统虽然可以一键恢复之前备份的正常系统,可是无法恢复当前系统状态,势必造成一些不必要的数据丢失(比如聊天记录,邮件,我的文档,IE收藏夹,账户密码等等),而几乎包括和其他厂商的一键恢复系统根据广大用户的反馈都有导致硬盘数据丢失风险,因此寻找一种更加合理的电脑安全解决方案致关重要。
V3虚拟系统通过虚拟应用程序桌面环境以实现操作系统与应用程序桌面分离的目的,从而实现不会因为真正的系统出问题而影响在虚拟系统里面软件和数据.同时V3虚拟系统和一键还原相互配合,当系统出现问题时,我们只需要一键还原系统,而不需担心当前即时数据资料丢失。而对于用户来说在虚拟系统中操作和真实系统完全一样,并且能够保持你的电脑环境永远干净快速,和传统的虚拟机不同,虚拟系统不会降低电脑的性能,启动虚拟系统也不需要等待的时间。用户也可以通过备份V3虚拟系统目录的方式直接备份自己的个人数据和记录,恢复数据也只是简单的复制粘贴而已。对于来说,只需要为用户新装PC预装我们的V3虚拟系统,并且作为默认启动桌面即可。
5-3 V3虚拟系统的软件无缝迁移典型应用V3虚拟系统是全球独家实现windows桌面系统应用软件无缝迁移解决方案的厂家,V3虚拟系统通过生成现有操作系统的全新虚拟镜像,且具有真实系统完全一样的功能。进入虚拟系统后,所有操作都是在这个全新的独立的虚拟系统里面,可以独立安装软件,运行软件,保存数据,拥有自己的独立桌面。不会对真正的系统产生任何影响。也不会因为真正的系统出问题而影响在虚拟系统里面软件和数据.因此可以实现重装XP,VISTA,WIN7等等系统,不再需要重装应用软件和重新设置系统,我们只需要把之前安装好应用软件的V3虚拟系统目录拷贝到任意磁盘,即可立即使用我们之前的应用软件环境桌面,连当前的IE设置,聊天记录,OUTLOOK邮件等等都是保留的,没有任何丢失。更加特别的是你只需要更新我们的V3虚拟系统程序,就可以实现直接无缝迁移XP下的所有应用软件环境到WIN7系统里,独家实现了升级系统不再需要重装旧XP下的应用软件功能。对于来说新出WIN7系统PC只需要把事先安装好应用软件的V3虚拟系统目录拷贝新WIN7系统PC中即可,再也不需要销售客户技术人员一台台为客户安装需要的软件了,减低了客户服务成本。5-4 V3虚拟系统的在应用软件分发管理典型应用V3虚拟系统由于实现了桌面环境与操作系统分离,同时又能独立安装软件,运行软件,保存数据,因此就可以实现企业,网吧集中的应用软件分发,客户端应用软件定制管理。
可通过引入分布式客户服务端管理思想可实现企业内部桌面管理,笔记本,上网本可移动设备桌面管理,并且结合VPN等等通信加密技术实现整个企业安全的桌面应用软件分发,桌面应用软件控制,桌面行为监控,应用软件模版式迁移等等无与伦比的创新应用。
