芻議虛擬補(bǔ)丁技術(shù)

辛銳++吳軍英

摘 要

伴隨著電力系統(tǒng)現(xiàn)代計(jì)算機(jī)技術(shù)發(fā)展迅速，新型攻擊技術(shù)和手段層出不窮。而利用系統(tǒng)漏洞，竊取機(jī)要信息、實(shí)施破壞，遠(yuǎn)程監(jiān)控，植入病毒等最常見的安全問題，通常都是由于沒有及時(shí)安裝安全和系統(tǒng)補(bǔ)丁導(dǎo)致。本文提出一種新的技術(shù)或新的安全解決方案，來應(yīng)對(duì)由于系統(tǒng)漏洞而引發(fā)的安全風(fēng)險(xiǎn)。從而保障電力終端微機(jī)的安全防護(hù)水平。通過在實(shí)際電力信息系統(tǒng)中的部署和應(yīng)用，檢驗(yàn)了虛擬補(bǔ)丁技術(shù)的有效性。

【關(guān)鍵詞】虛擬補(bǔ)丁 虛擬化 信息安全風(fēng)險(xiǎn) 漏洞

1 定義

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普遍應(yīng)用，信息安全問題日漸突出，操作系統(tǒng)和應(yīng)用程序的漏洞層出不窮，面對(duì)規(guī)模龐大的黑客攻擊漏洞，傳統(tǒng)的IT補(bǔ)丁流程已經(jīng)不能夠快速的修補(bǔ)漏洞，給系統(tǒng)帶來的是更多的威脅。

隨著信息技術(shù)尤其是互聯(lián)網(wǎng)技術(shù)的發(fā)展，企業(yè)的各項(xiàng)業(yè)務(wù)規(guī)模呈井噴式發(fā)展，使得對(duì)信息計(jì)算和存儲(chǔ)的需求進(jìn)一步擴(kuò)大，同時(shí)對(duì)信息安全防護(hù)思路、信息安全體系的前瞻性、安全防護(hù)體系的可擴(kuò)展性等方面也提出了新的要求。現(xiàn)有的安全防護(hù)手段及技術(shù)能力無法很好的解決由漏洞引起的巨大安全風(fēng)險(xiǎn)。我們必須引入新型的虛擬補(bǔ)丁技術(shù)來阻斷漏洞產(chǎn)生的安全風(fēng)險(xiǎn)，從而提升對(duì)終端計(jì)算機(jī)的保護(hù)。如圖1所示。

所謂虛擬補(bǔ)丁技術(shù)，是指通過檢測(cè)入站的流量，對(duì)漏洞攻擊的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行深層次地分析，達(dá)到對(duì)應(yīng)用程序和操作系統(tǒng)中漏洞防護(hù)的目的。它是一種基于主機(jī)的安全功能，防護(hù)在未對(duì)漏洞進(jìn)行永久補(bǔ)丁修復(fù)之前。同時(shí)，該技術(shù)融合了零日公布的漏洞防護(hù)信息和補(bǔ)丁通知，可第一時(shí)間獲得最新漏洞信息，更有利于防護(hù)工作。它實(shí)現(xiàn)快速的安全規(guī)則部署，統(tǒng)一管理，使主機(jī)獲得第一時(shí)間安全防護(hù)，并持續(xù)提供保護(hù)，直到相應(yīng)的安全補(bǔ)丁安裝。

2 風(fēng)險(xiǎn)分析

CVE為入侵者打開了大門，源于它公布的超過2000個(gè)的數(shù)據(jù)庫(kù)安全漏洞。數(shù)據(jù)庫(kù)廠商會(huì)定期的推出漏洞補(bǔ)丁，考慮數(shù)據(jù)庫(kù)修補(bǔ)工作的復(fù)雜性及穩(wěn)定性，多數(shù)企業(yè)無法及時(shí)更新補(bǔ)丁。通常還會(huì)遇到更糟糕情況：上一個(gè)嚴(yán)重漏洞還沒有補(bǔ)完，新的補(bǔ)丁程序又要更新了。對(duì)于企業(yè)而言，在任何一個(gè)補(bǔ)丁的“空檔期”，其安全架構(gòu)都是很脆弱的，容易被攻擊的。

頻繁地發(fā)現(xiàn)修復(fù)漏洞工作耗費(fèi)大量人工、時(shí)間和成本的同時(shí)，還需要隨時(shí)提防數(shù)據(jù)泄露，發(fā)布時(shí)可能還會(huì)因?yàn)榧嫒菪詥栴}出現(xiàn)“死機(jī)或者藍(lán)屏”狀況 ，必須讓計(jì)算機(jī)系統(tǒng)隨時(shí)做好“回滾”的準(zhǔn)備。

伴隨著現(xiàn)代計(jì)算機(jī)技術(shù)發(fā)展迅速，新型攻擊技術(shù)和手段層出不窮。利用系統(tǒng)漏洞，竊取機(jī)要信息、實(shí)施破壞，遠(yuǎn)程監(jiān)控，植入病毒等最常見的安全問題，通常都是由于沒有及時(shí)安裝安全和系統(tǒng)補(bǔ)丁導(dǎo)致。隨著Windows XP在2014年停止安全更新，新的安全漏洞將無法得到修復(fù)，這對(duì)于電力系統(tǒng)中仍在使用Windows XP系統(tǒng)的單位無疑是一個(gè)重大的挑戰(zhàn)，安全問題不可忽視。

結(jié)合當(dāng)前安全威脅形勢(shì)和同行業(yè)應(yīng)用經(jīng)驗(yàn)，我們了解到，針對(duì)系統(tǒng)的漏洞折射出來的安全風(fēng)險(xiǎn)主要包括：

需要花費(fèi)數(shù)周或數(shù)月的時(shí)間來充分成果補(bǔ)丁外；

需要驗(yàn)證補(bǔ)丁與第三軟件的兼容性，可能會(huì)影響老舊的應(yīng)用系統(tǒng)的正常使用；

漏洞被公布但是廠家還沒提供補(bǔ)丁，可能受到Zero-day攻擊；

終端計(jì)算機(jī)如果安裝補(bǔ)丁后的重新啟動(dòng)會(huì)造成業(yè)務(wù)中斷；

系統(tǒng)或應(yīng)用廠家已經(jīng)停止提供補(bǔ)丁（例如：微軟停止Windows 2000，Windows XP的支持），使得新出現(xiàn)的系統(tǒng)漏洞再也無法得到廠家的安全補(bǔ)丁修復(fù)。

因此我們迫切需要一種新的技術(shù)或新的安全解決方案，來應(yīng)對(duì)由于系統(tǒng)漏洞而引發(fā)的安全風(fēng)險(xiǎn)。從而保障電力終端微機(jī)的安全防護(hù)水平。

3 實(shí)現(xiàn)功能

以終端虛擬補(bǔ)丁持續(xù)對(duì)操作系統(tǒng)和應(yīng)用程序的漏洞防護(hù)：虛擬補(bǔ)丁技術(shù)可憑借其堅(jiān)實(shí)可靠的漏洞防護(hù)，在系統(tǒng)漏洞補(bǔ)丁還未發(fā)布或不再發(fā)布時(shí)無限期地保護(hù)終端計(jì)算機(jī)，同時(shí)也可以有效的保護(hù)用戶的計(jì)算機(jī)免受攻擊。

虛擬補(bǔ)丁運(yùn)行在 Windows操作系統(tǒng)與應(yīng)用程序的外層，獨(dú)立檢查進(jìn)入到系統(tǒng)之前的數(shù)據(jù)并過濾針對(duì)漏洞的威脅。換句話說，虛擬補(bǔ)丁技術(shù)不需要更改已終止支持的操作系統(tǒng)就能做到有效的漏洞防護(hù)，大大降低了風(fēng)險(xiǎn)。為了確保使用 Windows XP 客戶的系統(tǒng)安全，提供虛擬補(bǔ)丁技術(shù)的廠商將持續(xù)與國(guó)際安全機(jī)構(gòu)合作投資 Windows XP 漏洞的偵測(cè)與研發(fā)。

虛擬補(bǔ)丁技術(shù)主要功能包含：

（1）利用主機(jī)入侵防御系統(tǒng) （HIPS） 規(guī)則抵擋已知漏洞 ；

（2）利用行為分析與自學(xué)能力阻止新威脅 ；

（3）利用首屈一指的成熟惡意軟件防護(hù)防止漏洞被利用 ；

（4）虛擬補(bǔ)丁同時(shí)適用于物理桌面和虛擬桌面 ；

（5）應(yīng)用程序白名單功能可根據(jù)名稱、路徑或證書來允許和阻止（拉黑）應(yīng)用程序；

（6）高級(jí)應(yīng)用程序白名單功能還可以將云模式應(yīng)用程序數(shù)據(jù)庫(kù)（軟件認(rèn)證服務(wù)）中的應(yīng)用程序劃分為不同類別；

（7）系統(tǒng)鎖定可以通過防止執(zhí)行任何新的應(yīng)用程序來加固最終用戶系統(tǒng)；

（8）用戶自主開發(fā)的應(yīng)用程序白名單功能可以允許和阻止客戶應(yīng)用程序和不明應(yīng)用程序。

虛擬補(bǔ)丁方案，可以讓IT 部門以有序方式安排補(bǔ)丁工作，這為安排補(bǔ)丁優(yōu)先級(jí)、永久修復(fù)補(bǔ)丁和軟件源代碼修正都爭(zhēng)取了時(shí)間。在應(yīng)對(duì)零日（0day）攻擊方面，這項(xiàng)技術(shù)在廠商未推出正式補(bǔ)丁之前，以及不再提供商業(yè)支持的舊版軟件（或許永久都不會(huì)出現(xiàn)補(bǔ)丁）提供相應(yīng)的漏洞攻擊防護(hù)。

虛擬補(bǔ)丁技術(shù)成果形式：

（1）實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)系統(tǒng)和應(yīng)用的補(bǔ)丁防護(hù)，避免受到漏洞攻擊；

（2）不影響現(xiàn)有補(bǔ)丁管理安裝流程，對(duì)于已經(jīng)安裝了系統(tǒng)補(bǔ)丁的計(jì)算機(jī)，虛擬補(bǔ)丁技術(shù)會(huì)對(duì)其進(jìn)行掃描偵測(cè)，不會(huì)造成二次防護(hù)；

（3）簡(jiǎn)易化的管理，虛擬補(bǔ)丁技術(shù)主要是由策略形式防護(hù)，所以在補(bǔ)丁的下發(fā)和收回過程可以非常迅速，便于管理及維護(hù)。

4 技術(shù)原理

虛擬補(bǔ)丁技術(shù)提供一種安全防護(hù)功能，它基于主機(jī)底層，在系統(tǒng)或者應(yīng)用程序漏洞未得到永久性修復(fù)之前，它的工作原理是深度的分析網(wǎng)絡(luò)數(shù)據(jù)流，對(duì)入站的流量進(jìn)行監(jiān)測(cè)并保護(hù)應(yīng)用程序或系統(tǒng)免受網(wǎng)絡(luò)攻擊。除此之外，它還整合了全球多項(xiàng)第一時(shí)間公布的漏洞防護(hù)和補(bǔ)丁通知，可以通過深度包檢測(cè)模塊，實(shí)時(shí)地監(jiān)測(cè)流量和系統(tǒng)的應(yīng)用情況，進(jìn)而自動(dòng)發(fā)現(xiàn)操作系統(tǒng)和應(yīng)用程序中的漏洞，從而進(jìn)行防護(hù)。如圖2所示。

虛擬補(bǔ)丁是把 IPS 技術(shù)應(yīng)用到主機(jī)上，針對(duì)單一系統(tǒng)的漏洞與應(yīng)用防護(hù)。與漏洞應(yīng)用相同，漏洞的攻擊也會(huì)應(yīng)用特定的協(xié)議，虛擬補(bǔ)丁技術(shù)通過掃描進(jìn)入主機(jī)的數(shù)據(jù)包（根據(jù)數(shù)據(jù)包的特征，包括IP、端口、協(xié)議、數(shù)據(jù)內(nèi)容） 來判別其攻擊性，進(jìn)而發(fā)現(xiàn)漏洞，對(duì)終端系統(tǒng)和應(yīng)用程序進(jìn)行有效防護(hù)。

4.1 虛擬補(bǔ)丁與傳統(tǒng)補(bǔ)丁的區(qū)別

與傳統(tǒng)補(bǔ)丁技術(shù)不同，虛擬補(bǔ)丁技術(shù)是運(yùn)行于操作系統(tǒng)和應(yīng)用程序的外層，能夠獨(dú)立檢查進(jìn)入操作系統(tǒng)以及應(yīng)用程序之前的數(shù)據(jù)，并過濾掉可能對(duì)系統(tǒng)存在威脅的數(shù)據(jù)。兩者對(duì)比情況如表1所示。

虛擬補(bǔ)丁技術(shù)可以彌補(bǔ)傳統(tǒng)軟件修補(bǔ)補(bǔ)丁的不足，表現(xiàn)在以下幾個(gè)方面：

4.1.1 防護(hù)速度

在已知漏洞公布的幾小時(shí)內(nèi)，虛擬補(bǔ)丁技術(shù)可以提供有效的防護(hù)。

4.1.2 按部就班的 IT 修補(bǔ)步驟

虛擬補(bǔ)丁可為IT 運(yùn)維人員研究、測(cè)試部署傳統(tǒng)的修補(bǔ)程序爭(zhēng)取時(shí)間。

4.1.3 降低對(duì)操作系統(tǒng)與應(yīng)用程序的干擾

虛擬補(bǔ)丁會(huì)根據(jù)主機(jī)導(dǎo)向的規(guī)則來檢查并凈化網(wǎng)絡(luò)流量，有效地修正或攔截可能攻擊漏洞的應(yīng)用程序。部署或卸除規(guī)則完全不影響核心作業(yè)系統(tǒng)，若出現(xiàn)問題，關(guān)閉規(guī)則即可。

4.1.4 降低升級(jí)成本，延長(zhǎng)老舊系統(tǒng)使用年限

虛擬補(bǔ)丁可以對(duì)已經(jīng)沒有修補(bǔ)程序或者沒有軟件升級(jí)的老舊應(yīng)用程序或操作系統(tǒng)進(jìn)行保護(hù)。

4.2 價(jià)值分析

如若IT運(yùn)維人員想要擺脫補(bǔ)丁安全防護(hù)的困境，虛擬補(bǔ)丁技術(shù)無疑是最佳解決方案，它通過控制應(yīng)用程序以及操作系統(tǒng)的輸入輸出，進(jìn)而消除或者改變漏洞。那么虛擬補(bǔ)丁到底能夠幫助電力系統(tǒng)解決什么問題？我們來看一下：

（1）為停止支持的操作系統(tǒng)和應(yīng)用程序提供補(bǔ)丁防護(hù)，從而延長(zhǎng)其使用壽命，節(jié)省成本。如微軟不再維護(hù)Windows XP系統(tǒng)，還有很多人使用，可以使用虛擬補(bǔ)丁技術(shù)為其防御漏洞。

（2）它可以解決由于更打補(bǔ)丁造成的業(yè)務(wù)中斷和藍(lán)屏等現(xiàn)象，從而降低了IT運(yùn)維風(fēng)險(xiǎn)。服務(wù)器的補(bǔ)丁部署，往往需要重新啟動(dòng)，會(huì)造成業(yè)務(wù)中斷，甚至造成系統(tǒng)藍(lán)屏等現(xiàn)象。使用此技術(shù)可避免此問題，降低風(fēng)險(xiǎn)。

（3 ）解決非Windows系統(tǒng)漏洞威脅。服務(wù)器大多使用Linux、Solaris等非Windows系統(tǒng)，近些年來被發(fā)現(xiàn)越來越多系統(tǒng)漏洞，虛擬補(bǔ)丁可以對(duì)這些系統(tǒng)提供漏洞保護(hù)，從而減少盲點(diǎn)。

（4）反應(yīng)快速，可緩解關(guān)鍵服務(wù)器和桌面暴露于新漏洞威脅的情況，有效避免泄露事件發(fā)生。虛擬補(bǔ)丁可快速獲取最新的漏洞信息，并進(jìn)行有效防護(hù)。

（5）降低運(yùn)維成本。安全漏洞補(bǔ)丁需要經(jīng)過開發(fā)、測(cè)試、發(fā)布、部署等過程，必須要在非工作時(shí)間進(jìn)行，耗費(fèi)了大量時(shí)間和成本，而虛擬補(bǔ)丁不涉及此問題，降低運(yùn)維成本。

針對(duì)目前漏洞攻擊事件的危害性和實(shí)時(shí)性，我們列舉兩個(gè)近期發(fā)生的漏洞攻擊事件。

案例分享1：2014年4月10日互聯(lián)網(wǎng)爆發(fā)了被稱為“心臟出血”式的嚴(yán)重安全事件。SSL（Secure Sockets Layer 安全套接層）協(xié)議是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，也是互聯(lián)網(wǎng)上最大的“門鎖”。而此次曝出的OPENSSL漏洞讓這個(gè)“門鎖”形同虛設(shè)。

OPENSSL 是一個(gè)應(yīng)用廣泛的開源跨平臺(tái)工具包（代碼庫(kù)），用以實(shí)現(xiàn)SSL /TSL 協(xié)議 。此次的漏洞使入侵者即使沒有“鑰匙”也可以暢通無阻的反復(fù)讀取服務(wù)器內(nèi)存中的64K信息，可直接獲取用戶的賬戶密碼、電子郵件等重要信息。最新完成的掃描數(shù)據(jù)顯示，全國(guó)160萬個(gè)443端口中，有3.3萬個(gè)受到本次OpenSSL漏洞影響。更嚴(yán)重的是，OpenSSL常用于電商、網(wǎng)銀等安全性極高的網(wǎng)站。漏洞一旦被惡意利用，將給用戶的網(wǎng)絡(luò)金融資產(chǎn)帶來極為嚴(yán)重的威脅。虛擬補(bǔ)丁，可以幫助用戶避免重要數(shù)據(jù)泄露。

“這個(gè)漏洞針對(duì)使用了Open SSL的Web服務(wù)器的內(nèi)存泄漏漏洞，攻擊者可以通過構(gòu)造惡意代碼直接從目標(biāo)服務(wù)器讀取內(nèi)存信息，每次可讀取64k的數(shù)據(jù) ，并可反復(fù)讀取，這使得網(wǎng)絡(luò)黑客可以從多次讀取中拼湊出有重大價(jià)值的數(shù)據(jù)。據(jù)趨勢(shì)科技監(jiān)測(cè)，此次漏洞影響的SSL版本為1.0.1，我們建議還在使用該版本Open SSL的用戶務(wù)必要盡快升級(jí)，以避免被不法分子找到可乘之機(jī)。”

案例分享2：US-CERT 于9月24日公布了一個(gè)嚴(yán)重的 Bash 安全漏洞（名稱為Shellshock） ，相關(guān)的漏洞編號(hào)為CVE-2014-6271 和CVE-2014-7169。

該漏洞是由于BASH在處理環(huán)境變量時(shí)，對(duì)用戶的輸入沒有進(jìn)行正確處理引發(fā)的。鑒于Bash是一個(gè)在Linux，BSD，MAC OS X中普遍使用的開源命令行外殼，而該漏洞可能導(dǎo)致程序代碼被遠(yuǎn)程執(zhí)行，其影響可能比“心臟出血”更嚴(yán)重。

由于Linux被廣泛使用在互聯(lián)網(wǎng)、安卓手機(jī)和物聯(lián)網(wǎng)中使用，使該漏洞的覆蓋范圍非常廣，另外遠(yuǎn)程代碼執(zhí)行使該漏洞的可造成明顯的危害，且漏洞的利用也非常簡(jiǎn)單。所有l(wèi)inux系統(tǒng)都有此漏洞，虛擬補(bǔ)丁可以幫助所有l(wèi)inux系統(tǒng)進(jìn)行漏洞防護(hù)。

通過以上案例可以看出虛擬補(bǔ)丁可以幫助用戶在威脅來源之后第一時(shí)間解決漏洞攻擊的防護(hù)。為了滿足合規(guī)要求，電力企業(yè)單位都有對(duì)于補(bǔ)丁管理的要求，國(guó)網(wǎng)也有規(guī)定。所以系統(tǒng)和應(yīng)用必須要及時(shí)解決漏洞問題。使用虛擬補(bǔ)丁技術(shù)可以最快速的讓你滿足要求。

5 結(jié)束語

虛擬補(bǔ)丁區(qū)實(shí)際上在一定程度上降低了企業(yè)的服務(wù)應(yīng)用程序的風(fēng)險(xiǎn)，提升了企業(yè)對(duì)系統(tǒng)的使用年限，有效的降低了企業(yè)的IT運(yùn)維成本。

非常確認(rèn)的是，虛擬補(bǔ)丁技術(shù)是一個(gè)極具有遠(yuǎn)觀價(jià)值以及實(shí)用性的新型防漏洞技術(shù)，能夠減少企業(yè)和補(bǔ)丁廠商的時(shí)間間隔，為補(bǔ)丁更新爭(zhēng)取時(shí)間。雖然虛擬補(bǔ)丁技術(shù)并不能完全替代傳統(tǒng)的打補(bǔ)丁的過程，但是從企業(yè)的安全角度而言，虛擬補(bǔ)丁技術(shù)為我們實(shí)時(shí)了解操作系統(tǒng)以及應(yīng)用程序供應(yīng)商的補(bǔ)丁和漏洞情況提供了一條便捷通道，在官方補(bǔ)丁還沒有出來之前，關(guān)閉攻擊者的機(jī)會(huì)窗 。

參考文獻(xiàn)

[1]大幅降低人力成本虛擬補(bǔ)丁阻擊，零日攻擊[J].中國(guó)計(jì)算機(jī)報(bào)，2005.

作者單位

國(guó)網(wǎng)河北省電力公司信息通信分公司 河北省石家莊市 050021