我國數字基礎設施建設在近些年飛速發展,隨著傳統企業上雲、各行各業轉型以及產業數字化發展需求越來越多, 大家對數字化的依賴也越來越重,在此背景下,信息安全問題顯得尤為突出。而近些年來服務器被攻擊事件頻頻發生,讓越來越多企業把安全作為首要工作來抓。
一般情況下,當發現系統被入侵時,系統管理員可能會使用 ls、ps、netstat以及who等系統工具對系統進行檢查,但這些工具都可能被木馬程序代替。可以想象被修改的 ls 程序將不會顯示任何有關入侵的文件信息,ps 也不會顯示任何入侵進程的信息。系統關鍵模塊被篡改後,管理員便很難發現威脅,更難以定位有害軟件。
海雲捷迅作為雲計算公司,為諸多企業提供可靠的雲計算服務,因此海雲捷迅對系統安全也尤為重視。下面為您介紹的就是海雲捷迅在系統完整性方面所做的努力。
完整性的目的是通過探測和識別威脅,並對此做出一系列的反應,以保護可能遭到不同方式危害的數據的完整性、機密性以及可用性。
海雲捷迅的完整性校驗系統是一種積極主動的防護技術,對系統進行實時防護,有效抵禦內外部攻擊以及誤操作。海雲捷迅的完整性校驗不僅覆蓋了系統核心模塊,同時也對虛擬機提供一套完整性校驗機制,對非法系統入侵行為可以做到早發現、早告警、早恢復,以保證整個系統安全穩定運行。
完整性校驗主要有如下幾個過程:
■ 建立基準庫
當系統處於健康狀態時(一般是在系統初裝時),校驗模塊會對系統核心文件進行Hash運算,建立一個基準數據庫,作為以後完整性校驗的依據。
■ 文件備份
建立基準庫後,立即對系統核心文件進行備份,以便系統被入侵者非法篡改時可以從備份進行恢復。文件備份的目標存儲可以指定,包括:本地服務器目錄、共享存儲或者是其他分佈式存儲。
■ 變更檢測
系統會檢測到文件變更,當發現變更文件屬於系統核心模塊時,會觸發異常恢復和告警操作。
■ 系統告警
當系統檢測到核心文件被篡改時,系統會向管理員和相關人員發送郵件提醒,請管理員第一時間介入操作。
■ 異常恢復
當系統檢測到核心文件被篡改時,系統會從備份對篡改文件進行恢復,恢復後會再次校驗文件Hash值,確認一致後會向雲管發文件恢復成功的通知。
以上過程適用於系統核心文件的完整性保護,這類文件較小,變更頻率低,不會對系統性能有太大影響。對於虛擬機來講,磁盤文件都會比較大,不適用在操作系統中計算其Hash值。
考慮到系統性能問題,我們採用了硬件加密機對虛擬機數據進程加密以及做完整性校驗。加密機的好處是更加安全,經過加密機加密的數據,只能再次通過它進行解密方可正常讀取數據。
系統入侵檢測與防護是個艱難的過程,隨著互聯網的發展,黑客攻擊手段層出不窮,防護變得越來越困難。完整性校驗作為系統防護的最後一環,其地位也尤為重要。海雲捷迅作為專業的雲服務提供商,將繼續深耕系統安全領域,不斷豐富和更新入侵防護手段,用技術和實力保護用戶數據安全,為用戶安全上雲保駕護航。
