压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　據(jù)v3.co.uk網(wǎng)站報(bào)道："近日，部分知名廠商的服務(wù)器系統(tǒng)被發(fā)現(xiàn)存在KVM漏洞，該漏洞理論上可能會被黑客利用以獲取對受害用戶設(shè)備系統(tǒng)的控制權(quán)限。然而，仍有廠商拒絕公開承認(rèn)其多款產(chǎn)品存在該漏洞。"由于該漏洞可能會導(dǎo)致黑客入侵后端的主機(jī)，致使企業(yè)的核心信息資產(chǎn)被竊取或是破壞。加之這些廠商的服務(wù)器在國內(nèi)被廣泛應(yīng)用，因此使用這些廠商的服務(wù)器無疑會給相關(guān)組織帶來極大的風(fēng)險(xiǎn)。

　　KVM漏洞產(chǎn)生"核心風(fēng)險(xiǎn)點(diǎn)"

　　從來沒有絕對的安全，漏洞存在于網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng)和應(yīng)用程序當(dāng)中。如果用戶對漏洞的危害程度不能很好的區(qū)分，那么高危漏洞可能未被優(yōu)先修復(fù)，從而導(dǎo)致整個(gè)網(wǎng)絡(luò)暴露于危險(xiǎn)之中。而從風(fēng)險(xiǎn)管理角度上來看，當(dāng)漏洞被利用，同時(shí)影響到資產(chǎn)的時(shí)候，就產(chǎn)生了風(fēng)險(xiǎn)。隨著資產(chǎn)價(jià)值、漏洞等級、被利用可能性的不同，產(chǎn)生的風(fēng)險(xiǎn)也會不同。

　　由于服務(wù)器管理系統(tǒng)漏洞主要發(fā)生在某服務(wù)器的KVM交換機(jī)設(shè)備上，而其在企業(yè)網(wǎng)或數(shù)據(jù)中心又具有絕對的"權(quán)利"，通常處于整個(gè)網(wǎng)絡(luò)的控制核心位置，這一地位使它成為黑客入侵的重點(diǎn)對象，即：核心風(fēng)險(xiǎn)點(diǎn)。從黑客入侵者的角度來講，KVM的漏洞只是一個(gè)通道，后端的主機(jī)才是目標(biāo)。主機(jī)在網(wǎng)絡(luò)環(huán)境中是整個(gè)信息安全核心資產(chǎn)的載體，是攻防的核心焦點(diǎn)，也網(wǎng)絡(luò)中最易遭受攻擊的領(lǐng)域，如果其受到攻擊和破壞，輕則系統(tǒng)癱瘓，關(guān)鍵業(yè)務(wù)無法運(yùn)行，重則信息被篡改，關(guān)鍵機(jī)密信息被泄露，將會造成無法估量的損失。而在本次事件中，由于KVM安全漏洞的客觀存在，黑客利用KVM漏洞控制后端主機(jī)的可能性已被證實(shí)，這有可能會對企業(yè)造成毀滅性的打擊。因此，在對其安全風(fēng)險(xiǎn)和影響范圍分析之后，建議企業(yè)在第一時(shí)間對其修補(bǔ)。

　　頻發(fā)的"后門"與"漏洞"事件，對任何一個(gè)組織的信息安全風(fēng)險(xiǎn)管理都提出了更高的要求，找出和消除這些核心風(fēng)險(xiǎn)點(diǎn)將是重中之重。這是因?yàn)椋魏螆?jiān)固的防護(hù)體系如果出現(xiàn)一個(gè)核心風(fēng)險(xiǎn)點(diǎn)，都能導(dǎo)致牽一發(fā)而動全身的悲劇。因此，用戶在關(guān)鍵位置的核心安全產(chǎn)品絕對不允許只有一個(gè)解決方案，要做到"內(nèi)外有別"。例如：在KVM交換機(jī)被攻陷后，后端服務(wù)器及路由交換設(shè)備的控制權(quán)絕不能讓黑客輕易獲取。另外，對于承載核心資產(chǎn)的主機(jī)，控制權(quán)更不能夠只交給一臺設(shè)備負(fù)責(zé)，應(yīng)采用縱深防御的架構(gòu)，防止"一擊致命"。

　　縱深防御防止"一擊致命"

　　在實(shí)際戰(zhàn)爭中，需要在前沿陣地部署一道又一道的防線，確保大本營的安全。前一道防線被突破以后會有第二道、第三道防線來進(jìn)行階梯布防。而在信息安全領(lǐng)域"攻防戰(zhàn)"中，尋求"一夫當(dāng)關(guān)、萬夫莫開"的解決方案是不存在的。但若換一種思路，當(dāng)網(wǎng)絡(luò)中架起多道防線之后，服務(wù)器中出現(xiàn)的KVM漏洞能否導(dǎo)致后端的主機(jī)被攻陷呢？

　　假設(shè)KVM漏洞已被黑客利用，但在后端服務(wù)器如果部署了系統(tǒng)加固產(chǎn)品，即便是突破了服務(wù)器的管理系統(tǒng)，獲取到了服務(wù)器的用戶權(quán)限，仍然有安全防護(hù)措施可限制黑客的進(jìn)一步操作。黑客如果想要再進(jìn)一步登錄后臺服務(wù)器操作系統(tǒng)，還需要對安全加固產(chǎn)品進(jìn)行硬件載體的認(rèn)證機(jī)制突破。在這種縱深防御體系的網(wǎng)絡(luò)安全架構(gòu)中，KVM漏洞的危害不會在網(wǎng)絡(luò)中延伸，主機(jī)的管理權(quán)不會丟失，信息資產(chǎn)便不會被黑客輕易盜取。

　　所以，在強(qiáng)調(diào)整體安全管理的策略下，講究的就是縱深防御（Defense in Depth），雖然它沒有最小特權(quán)原則（Least Privilege）被人們熟知，但卻是應(yīng)對漏洞威脅最有效的方法。

　　浪潮"三位一體"方案為主機(jī)安全護(hù)航

　　2013年，浪潮在國內(nèi)發(fā)布了首個(gè)集硬件、操作系統(tǒng)、安全軟件"三位一體"的主機(jī)安全方案，實(shí)現(xiàn)了"三點(diǎn)一面，縱深防御"全方位安全防護(hù)體系。作為安全軟件環(huán)節(jié)的核心，浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)提供了針對于服務(wù)器操作系統(tǒng)內(nèi)核層面的安全加固，它采用主動防御模式，將原操作系統(tǒng)廠商的安全防護(hù)控制模型接管，讓用戶從根本上對主機(jī)的安全性做到自主可控。

　　通過安全管理員、審計(jì)管理員、系統(tǒng)管理員三權(quán)分立的方法，浪潮SSR實(shí)現(xiàn)了對用戶和進(jìn)程的最小授權(quán)，從根本上免疫了各種針對服務(wù)器操作系統(tǒng)的攻擊行為。此外，由于采用了"U盤密鑰和數(shù)字證書+密碼"的雙重認(rèn)證機(jī)制，從而避免了因?yàn)镵VM等外圍管理設(shè)備漏洞、主機(jī)相關(guān)賬號被盜、管理文檔泄露等原因造成的權(quán)限被非法利用。

　　"亡羊補(bǔ)牢"不如"未雨綢繆"

　　對于用戶而言，最大的安全挑戰(zhàn)不是已知漏洞的管理，因?yàn)檫@將隨著漏洞管理制度、流程、工具的不斷融入得到改善，而未知漏洞才是最致命的。它們可能廣泛存在于現(xiàn)有系統(tǒng)之中、會避開反病毒保護(hù)、在黑客社區(qū)間被買賣和傳播、因?yàn)樘囟ǖ男枰幢还_披露。

　　在漏洞管理中，"為何亡羊補(bǔ)牢不如未雨綢繆"。亡羊補(bǔ)牢時(shí)，用戶將陷入一個(gè)無休止的貓鼠游戲：漏洞被別人發(fā)現(xiàn)，等待廠商補(bǔ)丁，倉促的嘗試在攻擊者到達(dá)之前手工調(diào)整安全策略、或者停止針對性的服務(wù)，等待數(shù)周之后才能完成兼容性測試而安裝補(bǔ)丁。而未雨綢繆則是讓用戶利用縱深防御架構(gòu)，為系統(tǒng)打入"免疫針"，結(jié)束這個(gè)持續(xù)且被動的危機(jī)管理過程。

　　對于企業(yè)服務(wù)器來說，漏洞、后門等安全問題的發(fā)生幾乎是不可避免的。但如果只是在事件爆發(fā)時(shí)才能夠引起社會對安全風(fēng)險(xiǎn)的關(guān)注和警覺，稍經(jīng)時(shí)日便又習(xí)以為常，這將導(dǎo)致累積起來的安全風(fēng)險(xiǎn)越來越大。

　　然而，目前市場上的主流信息安全產(chǎn)品如防病毒軟件、防火墻等都是從網(wǎng)絡(luò)層和系統(tǒng)上層通過黑名單的方式對已知病毒和木馬進(jìn)行安全防護(hù)，國內(nèi)缺少成熟的自主可控的操作系統(tǒng)產(chǎn)品及相關(guān)核心安全技術(shù)，市場迫切需要針對主機(jī)安全而提供的解決方案和產(chǎn)品。為此，浪潮通過對SSR產(chǎn)品進(jìn)行的技術(shù)創(chuàng)新，研制出了針對主機(jī)的"疫苗"，在幫助用戶達(dá)到等級保護(hù)三級要求的同時(shí)，有效應(yīng)對已知及未知的漏洞。