事實告訴我們，只注重網(wǎng)絡(luò)層和應(yīng)用層安全并不能高枕無憂，對系統(tǒng)層的防護已經(jīng)成為信息系統(tǒng)安全不可或缺的部分。然而現(xiàn)狀卻是，人們對系統(tǒng)層安全防護的認知還未到應(yīng)有的高度，善于概念炒作的IT界對計算機防護等級的要求并不高，從不時發(fā)生的IT企業(yè)被拖庫便可見一斑。

　　近日，深圳市安盾椒圖科技有限公司（簡稱“椒圖科技”）成功舉辦的“JHSE椒圖主機安全環(huán)境全球有獎公測”活動，將系統(tǒng)層 “服務(wù)器（主機）安全”這一概念引入人們的視野。在線上活動進行當中，椒圖科技還參加了4月1日開幕的中國國防信息技術(shù)與裝備展覽會，并在現(xiàn)場搭建測試環(huán)境進行實地攻防演練。為了進一步了解相關(guān)的概念和產(chǎn)品，筆者在椒圖科技展區(qū)專門采訪了椒圖科技常務(wù)副總經(jīng)理李科先生。作為國內(nèi)信息安全領(lǐng)域資深技術(shù)專家，他向我們詳細闡釋了椒圖科技的“服務(wù)器安全”理念。

椒圖科技常務(wù)副總經(jīng)理 李科

　　攜服務(wù)器安全產(chǎn)品亮相國防信息化裝備展

　　椒圖科技此次參加國防信息化裝備展，帶來了包括JHSE椒圖主機安全環(huán)境系統(tǒng)、JFORT椒圖內(nèi)控管理平臺（堡壘主機）、JWEB椒圖網(wǎng)站應(yīng)用防火墻、JDB-AUDIT 椒圖數(shù)據(jù)庫安全審計在內(nèi)的一系列安全產(chǎn)品，以及專門針對軍工行業(yè)推出的JHSE主機安全管理解決方案，為構(gòu)建具有軍工行業(yè)特色的信息安全保障體系提供專業(yè)支持。

　　目前國內(nèi)軍工行業(yè)的大部分業(yè)務(wù)系統(tǒng)依然離不開國外產(chǎn)品，在信息安全方面亟需自主產(chǎn)品來擔當，椒圖科技瞄準了這個需求。李科說：“軍隊、軍工、公安對計算機防護等級有不同的要求，我們的JHSE產(chǎn)品已經(jīng)獲得了軍用信息安全產(chǎn)品認證證書、涉密信息系統(tǒng)產(chǎn)品檢測證書等資質(zhì)，完全達到軍隊應(yīng)用的標準要求。”

　　事實上，椒圖科技展出的安全產(chǎn)品面向的行業(yè)比較廣。“不限于國防信息領(lǐng)域，只要有服務(wù)器操作系統(tǒng)的地方就需要安全保護，機密等級越高，業(yè)務(wù)重要性越高的地方，越需要我們的產(chǎn)品。”李科提到椒圖科技的產(chǎn)品優(yōu)勢在于將服務(wù)器安全系列產(chǎn)品的功能結(jié)合起來，例如JFORT堡壘主機，堡壘主機并不是一個新概念，但JFORT集合了椒圖科技的操作系統(tǒng)防護技術(shù)，這是別的產(chǎn)品達不到的。

　　實戰(zhàn)檢驗產(chǎn)品，5000美金懸賞公測

　　椒圖科技設(shè)立5000美金大獎對JHSE這一產(chǎn)品進行公測，吸引了國內(nèi)外廣大的技術(shù)愛好者關(guān)注和參與。據(jù)了解，JHSE嚴格按照國標三級操作系統(tǒng)安全標準，解決整個操作系統(tǒng)層面的安全問題，為信息系統(tǒng)提供縱深防御體系，適用于目前主流的商用操作系統(tǒng)及各個行業(yè)領(lǐng)域，是我國首款通過國標三級檢測的通用型安全操作系統(tǒng)。

　　從某種意義上說，開展這樣的測試活動不僅是為椒圖科技自己測試產(chǎn)品，也是在替客戶測試產(chǎn)品。“我們很欣賞國外一些廠商的做法，比如Google、微軟，它們經(jīng)常拿出自己的產(chǎn)品來進行有獎測試。這樣既能夠完善自己的產(chǎn)品，給客戶提供更好的服務(wù)，又能推動產(chǎn)品技術(shù)在該領(lǐng)域的向前發(fā)展。”李科表示，“舉辦產(chǎn)品有獎公測，也是借鑒國外的這種成功模式。我們將產(chǎn)品放在了最真實的環(huán)境中，接受全球技術(shù)高手最 ‘嚴酷’的實戰(zhàn)測試，在全面檢驗產(chǎn)品的可靠性的同時，也讓客戶直觀地了解產(chǎn)品性能，給予客戶信心。”

　　這是一次真正的攻防對決。“我們認為這個做法是良性的。通過這個活動真正檢驗產(chǎn)品的可靠性，用戶也會獲得很好的體驗。同時通過這樣的技術(shù)交流，又推動中國信息安全整個行業(yè)方案、技術(shù)向前發(fā)展。”李科補充道。

　　“由內(nèi)而外”——椒圖科技的“服務(wù)器安全”理念

　　目前，業(yè)內(nèi)對“服務(wù)器安全”的認識一般包含兩個方面：一是操作系統(tǒng)安全，包含終端和服務(wù)器；二是數(shù)據(jù)庫安全。椒圖科技倡導(dǎo)的“服務(wù)器安全”理念不是簡單的業(yè)務(wù)服務(wù)器“操作系統(tǒng)安全”。據(jù)李科介紹，椒圖科技提出的服務(wù)器安全防護體系和傳統(tǒng)解決方案是完全不同的兩個架構(gòu)：傳統(tǒng)的解決方案以邊界防護為核心，層層包圍，最后才到服務(wù)器操作系統(tǒng)；而椒圖科技所倡導(dǎo)的服務(wù)器安全理念，是以操作系統(tǒng)作為核心，由內(nèi)而外，從系統(tǒng)層向應(yīng)用層、網(wǎng)絡(luò)層輻射。

　　“服務(wù)器安全的核心是對服務(wù)器操作系統(tǒng)提供內(nèi)核級的保護”，李科認為這是服務(wù)器安全涉及的最基本的功能。“我們產(chǎn)品最大的優(yōu)勢在于實現(xiàn)了‘三權(quán)分立’和細粒度的‘強制訪問控制’，不論在管理平臺還是業(yè)務(wù)服務(wù)器上，給予管理員、操作員和審計員的都是最小權(quán)限。”在操作系統(tǒng)防護的基礎(chǔ)上，集合內(nèi)控審計和應(yīng)用防護，形成一個完整的服務(wù)器安全防護的概念。“從最底層、最核心的地方，數(shù)據(jù)存在的地方，由內(nèi)而外，從操作系統(tǒng)層向外輻射。”——JHSE和堡壘主機實現(xiàn)對服務(wù)器的防護，JWEB實現(xiàn)對應(yīng)用的防護——“這是一個大的“服務(wù)器安全”的概念。”

　　這樣的防護理念，保證了系統(tǒng)在外圍被攻擊滲透之后，核心依然受到保護。在面對APT攻擊時，基于“服務(wù)器安全”理念優(yōu)勢明顯。李科說：“任何不符合特征的行為都會被拒絕。以這種思路去做，就能夠?qū)阂獯a免疫，APT攻擊沒有了潛伏的環(huán)境。”系統(tǒng)內(nèi)部的任何操作都會被監(jiān)控記錄，再通過審計分析，任何蛛絲馬跡都會被發(fā)現(xiàn)。

　　最后，李科還介紹了椒圖科技的技術(shù)團隊情況。椒圖科技擁有國內(nèi)頂尖的操作系統(tǒng)安全人才，他們對Unix（AIX、Solaris、HP-UX 等大型商用系統(tǒng)）、Linux以及Windows系統(tǒng)內(nèi)核有著十年以上的研究。多年的技術(shù)積累，打造出一系列優(yōu)秀的服務(wù)器安全防護產(chǎn)品，也造就了椒圖科技今天的業(yè)內(nèi)領(lǐng)先地位。