我国数字基础设施建设在近些年飞速发展,随着传统企业上云、各行各业转型以及产业数字化发展需求越来越多, 大家对数字化的依赖也越来越重,在此背景下,信息安全问题显得尤为突出。而近些年来服务器被攻击事件频频发生,让越来越多企业把安全作为首要工作来抓。
一般情况下,当发现系统被入侵时,系统管理员可能会使用 ls、ps、netstat以及who等系统工具对系统进行检查,但这些工具都可能被木马程序代替。可以想象被修改的 ls 程序将不会显示任何有关入侵的文件信息,ps 也不会显示任何入侵进程的信息。系统关键模块被篡改后,管理员便很难发现威胁,更难以定位有害软件。
海云捷迅作为云计算公司,为诸多企业提供可靠的云计算服务,因此海云捷迅对系统安全也尤为重视。下面为您介绍的就是海云捷迅在系统完整性方面所做的努力。
完整性的目的是通过探测和识别威胁,并对此做出一系列的反应,以保护可能遭到不同方式危害的数据的完整性、机密性以及可用性。
海云捷迅的完整性校验系统是一种积极主动的防护技术,对系统进行实时防护,有效抵御内外部攻击以及误操作。海云捷迅的完整性校验不仅覆盖了系统核心模块,同时也对虚拟机提供一套完整性校验机制,对非法系统入侵行为可以做到早发现、早告警、早恢复,以保证整个系统安全稳定运行。
完整性校验主要有如下几个过程:
■ 建立基准库
当系统处于健康状态时(一般是在系统初装时),校验模块会对系统核心文件进行Hash运算,建立一个基准数据库,作为以后完整性校验的依据。
■ 文件备份
建立基准库后,立即对系统核心文件进行备份,以便系统被入侵者非法篡改时可以从备份进行恢复。文件备份的目标存储可以指定,包括:本地服务器目录、共享存储或者是其他分布式存储。
■ 变更检测
系统会检测到文件变更,当发现变更文件属于系统核心模块时,会触发异常恢复和告警操作。
■ 系统告警
当系统检测到核心文件被篡改时,系统会向管理员和相关人员发送邮件提醒,请管理员第一时间介入操作。
■ 异常恢复
当系统检测到核心文件被篡改时,系统会从备份对篡改文件进行恢复,恢复后会再次校验文件Hash值,确认一致后会向云管发文件恢复成功的通知。
以上过程适用于系统核心文件的完整性保护,这类文件较小,变更频率低,不会对系统性能有太大影响。对于虚拟机来讲,磁盘文件都会比较大,不适用在操作系统中计算其Hash值。
考虑到系统性能问题,我们采用了硬件加密机对虚拟机数据进程加密以及做完整性校验。加密机的好处是更加安全,经过加密机加密的数据,只能再次通过它进行解密方可正常读取数据。
系统入侵检测与防护是个艰难的过程,随着互联网的发展,黑客攻击手段层出不穷,防护变得越来越困难。完整性校验作为系统防护的最后一环,其地位也尤为重要。海云捷迅作为专业的云服务提供商,将继续深耕系统安全领域,不断丰富和更新入侵防护手段,用技术和实力保护用户数据安全,为用户安全上云保驾护航。
