浅析我国信息安全建设中的“矛与盾”

　　2004年11月的《中国计算机用户》曾发表题为《为什么还不安全？》的文章，文中指出企业越来越多依赖信息和网络技术来支持他们在地区和全球市场中的迅速成长和扩大，但随之而来的信息安全威胁也越来越多。该向谁要安全？人们在疾呼：谁能够保证我们的安全！数年过去了，从我国目前在信息安全防护领域所做大量的工作来看，确实取得了一定的成果，但是应用传统的防火墙和杀病毒等安全产品所构建的防护体系在新的病毒如：“熊猫烧香”、“灰鸽子”、“磁碟机”、“机器狗”等的攻击下显得毫无防护能力。现状是：病毒出现了，攻击形成了，损失造成后，才做出相应的反应。这种滞后防范的手段与我国当前飞速发展的信息化建设及不相适应。我们不禁要问：为什么还不安全？

　　网络攻击者已熟悉了防火墙、入侵检测系统等安全部件执行的传统访问控制策略，相对应的外部渗透技术已非常成熟，防火墙、入侵检测、漏洞扫描和防病毒技术，其工作特性属于滞后防范，不能及时有效的跟踪和防范新的入侵模式(如早年的冲击波、震荡波，到近期的熊猫烧香、Viking病毒、AV、磁碟机、机器狗病毒等等)。网络攻击者及病毒制造者正是通过计算机操作系统存在的漏洞实现了有效入侵并盗取和霸占了用户的重要信息与资源。给用户造成了重大的损失！更为危险的是，目前我国计算机操作系统基本依赖于国外的技术和产品，这种系统为他人所控并在此基础上建立的安全体系犹如“构建在沙滩上的城堡” 。

　　我们不禁又要问：我的操作系统安全吗？答案显而易见。以目前最广泛使用的Windows操作系统为例，Windows采用的是自主访问控制机制，一权独大的系统管理员是所有资源的控制者，可任意支配系统中的资源。谁获得了系统管理员的权限，谁就拥有的这个系统的支配权，这样的权利分配方式本身就存在严重的安全隐患。如何限制操作系统管理员的权力，是我们现在迫切需要解决的问题。

　　因此提高操作系统的安全等级的目的就在于：限制操作系统管理员的权力。在自主访问控制的基础上增加强制访问控制，并由专门设置的系统安全员统一管理计算机信息系统中与强制访问控制有关的事件和信息。系统的常规管理、与安全有关的管理以及审计管理，分别由系统管理员、系统安全员和系统审计员来承担，按最小授权原则分别授予其职责范围内的权限，在三者之间形成相互制约的关系，进而实现对系统正常运行及重要资源的保护，这是解决当前信息系统安全的一个重要的手段。

　　我们知道，目前国内广泛使用的Windows操作系统其安全等级均未达到三级标准，这使我国的信息安全建设一直处于被动局面。难道我们真的就无可奈何、束手无策了吗？ 答案是否定的！

　　航天中嘉华诚网络安全技术有限公司经过五年的刻苦攻关，研制开发出具有自主知识产权的中嘉华诚计算机内核加固免疫系统(简称GKR)。该产品创新性地应用了操作系统内核加固免疫技术，按照《国家信息系统安全等级保护实施指南》的要求对操作系统内核实施了保护，对网络中的不安全因素实现“有效控制”，从而构造出一个具有“安全内核”的操作系统，使“加固”后的操作系统的安全等级能够符合国家信息安全第三级的主要功能要求，达到解放军信息安全产品B级标准，从而最大程度地解决了信息系统核心的安全问题。形象地说，中嘉华诚计算机内核加固免疫系统产品就相当于免疫疫苗，可以大大增强操作系统的自身免疫能力，抵御外来病毒和来自内部，外部的非法攻击，有效地实现了防网络攻击、防内部攻击、防底层攻击，并且保证了重要数据和信息资源在受到入侵时，不被窃取、不被删除、不被修改，实现了我国信息安全由被病毒和攻击牵着走的被动防御，到既防已知攻击、又防未知攻击的主动防御的转变。

　　面对个人电脑用户迫切的信息安全需求，依据航天高科技“军转民”的战略方针，航天中嘉华诚网络安全技术有限公司与航天讯联(北京)网络技术有限公司联合推出面向广大个人电脑用户的计算机内核加固免疫系统单机版。它的面市，标志着中国航天的先进技术将走入千家万户，其安全防护理念与技术创新，会使广大个人电脑用户远离病毒、木马及网络攻击的困扰。同时，航天中嘉华诚网络安全技术有限公司与航天讯联(北京)网络技术有限公司联合构建的在线订购系统(www.aeroinfoco.cn/gkrsoft/login.aspx)，为用户建立了基于强大数据库支持的方便、快捷、安全可靠的电子商务平台。

编辑：李灼