转载至自主创新如是说
《网信自主创新调研报告》已经连续发布5年了。这5年也是XC工作不断推进并取得显著成效的时期。在这5年里,随着应用范围的不断扩大,自主创新的网信产业快速发展。未来一个时期,网信产业将面临新的机遇和挑战。为此,《2022网信自主创新调研报告》以“深化自主创新”为主题,对25 个产业领域在重点行业的应用情况、存在的问题和对策建议进行了分析和讨论。从今天开始,“自主创新如是说”将对报告的各个章节进行连载,希望对读者有提供有益的帮助。
终端安全是以“为用户终端提供有效安全防护”为核心目标,通过管理 平台和轻量化代理组合,对台式机、笔记本、服务器、移动智能设备、工作 站和哑终端设备进行全场景统一综合安全防护的产品。当前的终端安全产品 在满足合规性基础上,主要关注精准识别、动态塑造、有效防护、快速检测 和响应处置五个关键环节的安全能力。
随着国产化终端在各领域的广泛应用,其所处的网络环境逐渐复杂化,致使遭受病毒攻击、木马植入以及非法内外联的概率大大提升。另外,国产化终端硬件环境采用国产化处理器,其中部分型号采用了开源处理器指令集,操作系统也是衍生于开源Linux内核,同时也应用了大量的开源库。由于国产终端各部分的开源特性,在代码级的威胁暴露面也更大。
在国家政策及用户需求升级的驱动下,用户方亟需采购包括杀毒软件、终端准入、终端管控、数据防泄密(DLP)、终端主审等在内的终端安全产品, 来覆盖终端安全防护需求。面对多款终端安全产品,用户分别采购并提供硬件资源,需要投入较多的人财物资源。同时,在终端上安装多个Agent,计算资源消耗大和存在兼容性问题,同时也给安全管理员带来极大的运维工作量,导致管理成本增大。
面对以上问题,终端安全能力正在从原有的合规驱动转向价值驱动,如终端安全一体化产品(UES)凭借其一套产品为终端提供动态的“量体裁衣”模式的安全防护模式,将成为终端安全市场的主力。原来终端安全能力组件是拆分在各终端产品上,例如终端杀毒、终端准入、终端桌管、主机审计等产品,现各安全厂商逐步完成终端安全能力的集约整合,将病毒查杀、主动防御、异常事件发现、访问控制、合规检测、响应处置等能力放置到一个终端安全产品内。用户可以在终端安装一套终端安全产品,然后根据对自身终端防护的范围,来选择搭载哪些能力组件,以有效地减少终端性能占比,以及终端安全产品与操作系统、硬件平台的兼容性问题。
终端安全产品在持续监控和处置风险过程中需要占用一定的系统资源。采用国产基础软硬件的国产化终端,在综合性能方面与Wintel架构相比还有差距。随着终端安全防护面不断扩大,国产化终端安全防护面临效能方面的挑战。因此,终端安全厂商应与国产CPU和操作系统厂商开展深度合作,建立有效的安全协作机制,通过CPU层面和操作系统层面提供的底层安全机制提升安全效能,同时探索建立不同于Wintel的安全防护机制。
此外,随着物联网发展,智慧城市、平安城市、智能交通、工业企业网络中部署了大量非智能终端设备,即“哑终端”。哑终端设备承载了重要的关键基础信息,大量的哑终端设备接入到核心网络,而其长期无人值守的特点导致容易遭到破坏和窃取,存在数据泄露、数据被破坏等安全隐患,进而引发终端安全的新问题。对于哑终端,常规的终端安全措施不再有效,目前常用的方案是通过其自身的安全软件或云端安全能力保障其运行安全。
面对效能问题和“信息孤岛”效应,终端安全防护能力一体化是未来的发展趋势。通过一个代理提供多样化安全能力,通过一体化平台清晰直观地感知全网终端安全态势,构筑体系化的终端防护能力,规避碎片化、堆砌式建设带来的弊端。
对所有防护对象统一管理是终端安全的市场需求之一。通过一体化平台对全品类终端进行统一管控与防护,减轻整体的安全运维压力。
终端作为安全防护最末端,具备较强的信息采集和风险处置特性,在与边界、云端能力配合中,可以有效形成双向检测、双向封堵、双向赋能的能力,在协防联控中发挥重要作用。
发展内核级安全防护是国产化终端安全的必经之路。从终端内核出发,与底层逻辑深度耦合,可有效解决兼容性问题,并显著提升终端安全防护能力。但是深度耦合和兼容性一直是基于内核做安全防护的难点。在这方面,eBPF和XDP技术弥补了IPTables存在的技术弊端,可能成为未来的主流;通过密码技术实现内核级防护也是可选择的技术路径;另外,建立基于硬件安全的可信执行环境,提供设备的接入认证、数据的存储保护、传输保护,提供控制指令的保护以及核心业务数据的防篡改和抗抵赖,构建集安全运行 环境、主动防御、安全审计等于一体的内核级防护能力体系也是一种思路。
传统Win+Intel架构下的终端产品无法从系统底层建立可信根,其防护产品和攻击方处于同等权限,导致终端产品在对抗中处于不利地位。国产化大环境下,终端产品具备了从系统底层开始建立可信链的条件:以可信计算3.0技术为基础,以有效的访问控制为核心,操作系统安全支持应用系统安全,构筑终端安全防护的底层防线。
哑终端存在内部接口少、无操作系统、长期不维护等特点。因此,哑终端安全防护能力应重点关注威胁的快速发现、入网设备的身份认证、异常设备的自动发现和隔离、持续监测和可信验证等。基于可信计算的主动免疫防御技术相对更适用于哑终端的安全防护,从自身防护和安全管理等多个角度进行可信改造和安全增强,能全方位提升系统的整体安全性。
本章主笔人员
安天科技集团股份有限公司 辛颖、李京雨
本章贡献人员(按公司名称拼音排序)
北京安御道合科技有限公司 李永明、邓航
北京可信华泰信息技术有限公司 杜君、王杨
北京神州绿盟科技有限公司 王凤周、安然
北京天融信网络安全技术有限公司 梁连燚、吕佳
北京网御星云信息技术有限公司 王斌
杭州安恒信息技术股份有限公司 寇石垒
三六零数字安全科技集团有限公司 赵新龙、潘颖
上海算石科技有限公司 黄坚会、王亮
物迪网(上海)科技有限公司 李惠锋、李如前
芯盛智能科技有限公司 周礼、邓博
郑州信大捷安信息技术股份有限公司 韩金池、廖正赟
