更底层 更安全–从”底”做起 实现企业信息防泄漏

什么是底层安全？

在引起广泛关注的3Q大战的时候，有过这样一个小插曲，曾经有一个记者，向马化腾这样提问：为什么不技术屏蔽360？而马化腾是这样回答的：我是应用层，它是底层！相当于我是”民用”，它是”军用”。一个”民用”，一个”军用”，形象地体现出了应用层技术与底层技术的巨大差异。那么什么是底层技术？它又会给信息防泄漏行业带来什么？

谈及底层技术，首先就要从window操作系统的架构说起。

Window操作系统本身属于软件的范畴，但是它需要紧密地跟硬件打交道，它为上层应用软件或应用系统提供了公共接口，并负责硬件资源的管理和分配。应用软件不需要直接跟硬件打交道，它们利用操作系统提供的接口来实现各种应用任务，如果它们要访问硬件，则必须通过操作系统提供的公共接口来完成。为了保证Windows系统自身的稳定性，Windows采用了双模式（dual mode）结构来保护操作系统本身(如图1-1)，以避免被应用程序的错误所波及。操作系统核心运行在内核模式（kernel mode）下，应用程序运行在用户模式（user mode）下。每当应用程序需要用到系统内核或内核的扩展模块（内核驱动程序）所提供的服务时，应用程序通过硬件指令从用户模式切换到内核模式中；当系统内核完成了所请求的服务以后，控制权又回到用户模式代码。”用户模式”和”内核模式”是不对称的，形象的说二者之间不是”井水不犯河水”的关系，而是井水不能犯河水但河水可以犯井水。

图1-1

通过上面对于window操作系统结构的介绍，我们可以发现在window系统中愈往上愈接近应用软件，愈往下愈接近硬件。而包括内核在内的所有中间层次的作用，则是帮助应用软件更好、更安全、更方便、更有效地利用包括CPU在内的硬件资源。而底层技术，所指的就是针对内核模式下运行，紧密贴合硬件的文件系统，设备驱动程序，windows内核程序的修改与二次开发的技术。在信息安全防护系统的防护目标上，无论是移动介质管理，还是主机监控审计，以及非法外联监控，都涉及到了对硬件的管控。应用层的技术手段在对硬件技术进行管控时，需要通过API函数端口来实现，然而，API函数作为应用层和内核层的连接部分，由于需要照顾使用的广泛性，所以很容易被绕过、被卸载或被修改，并且它受内核层的控制，导致API函数自身安全性不佳。而底层技术则是使用内核提供的接口，直接对硬件进行管控，因而与其他技术手段相比具有以下的优势:#p#

首先，在安全性上,底层技术手段主要运行在内核模式下，也就是运行于windows后台，被当作操作系统的一部分运行来执行，从而无需启动进程，用户也感知不到驱动的运行，与运行在应用层技术相比，防绕过，防卸载，更隐蔽，更安全。

其次，在实时性上,因为底层技术手段与windows操作系统同步运行，使得我们可以第一时间及时感知用户的操作行为，包括硬件的插入、启动，文件的访问、操作等等，同时能够准确记录、及时阻止。

最后，在高效性上，底层技术手段直接运行在内核模式下，从而做到全局控制所有的操作行为，并且几乎不影响计算机运行的速度与性能。

企业信息防泄漏更应从”底”做起

在企业信息防泄漏上，底层技术就有更大的优先级别。例如，在端口控制上，无论是采用应用层技术手段还是底层技术手段，我们都会在设备管理器中，看到想要管控的设备。但有区别的是，普通的管控手段，我们的用户依然可以在设备管理器中重新启用该设备。虽然，该设备会被重新关闭，但是这种瞬时的开启，就存在着巨大的泄密风险。然而采用底层技术手段的管理系统，例如目前在该领域较为知名的鼎普内网系统，综合用户虽然可以看到设备，但是无法通过设备管理器对该设备进行任何的操作，彻底的实现了目标设备管控。再例如非法外联管控中，众所周知，实现非法外联发现与阻断，需要对互联网的特定地址，发送探测信号。这时就产生了一个问题，这个探测信号可能会被防火墙拦截！普通技术实现的非法外联探测功能，无法突破防火墙的封锁，但是基于底层技术开发的网络非法外联监控系统，通过内核模式下的网络传输层过滤驱动实现，能够有效地避免探测信号被防火墙拦截，从而保证非法外联的有效性。还有一个例子，就是在主机审计方面，有很多的技术都能够实现对用户行为的审计功能，但是，随着信息技术的发展，伴随而来的也就是高科技的窃取手段，例如内核级的木马程序。普通技术的审计功能，因为实现在应用层面，导致无法对内核级的操作行为有任何的感知，也就使得产品的审计功能形同虚设。鼎普主机监控与审计系统，针对内核级的窃取手段，采用内核级的技术手段，通过对windows内核加入自主研发的代码程序，从而保证对任何的文件操作行为，及时发现，准确记录。

进入21世纪后，随着国内信息化程度的快速提高，信息安全越来越多地受到关注，信息安全产品和厂商短短几年内大量涌现。虽然众多的产品和厂商都以信息安全的概念在提供服务，但其实际技术和内容却千差万别。众多的安全产品都能提供类似的功能，但是，其中的大多数都仅仅是采用了应用层的技术手段，导致产品自身的安全性差，容易被破解，容易被绕过。鼎普科技已经成长为信息防泄漏领域的领航企业，长期服务于国家政府、军队和军工单位，作为国家信息安全保密战线的一员，鼎普科技认识到要守卫国家秘密，捍卫国家利益，就必须产品自身有出色的安全性。”更底层、更安全”！相信只有建立在底层技术上的防护体系，才能更好的守卫国家秘密，保卫信息安全！