芻議虛擬補丁技術

辛銳++吳軍英

摘 要

伴隨著電力系統現代計算機技術發展迅速，新型攻擊技術和手段層出不窮。而利用系統漏洞，竊取機要信息、實施破壞，遠程監控，植入病毒等最常見的安全問題，通常都是由于沒有及時安裝安全和系統補丁導致。本文提出一種新的技術或新的安全解決方案，來應對由于系統漏洞而引發的安全風險。從而保障電力終端微機的安全防護水平。通過在實際電力信息系統中的部署和應用，檢驗了虛擬補丁技術的有效性。

【關鍵詞】虛擬補丁 虛擬化 信息安全風險 漏洞

1 定義

隨著計算機網絡的普遍應用，信息安全問題日漸突出，操作系統和應用程序的漏洞層出不窮，面對規模龐大的黑客攻擊漏洞，傳統的IT補丁流程已經不能夠快速的修補漏洞，給系統帶來的是更多的威脅。

隨著信息技術尤其是互聯網技術的發展，企業的各項業務規模呈井噴式發展，使得對信息計算和存儲的需求進一步擴大，同時對信息安全防護思路、信息安全體系的前瞻性、安全防護體系的可擴展性等方面也提出了新的要求。現有的安全防護手段及技術能力無法很好的解決由漏洞引起的巨大安全風險。我們必須引入新型的虛擬補丁技術來阻斷漏洞產生的安全風險，從而提升對終端計算機的保護。如圖1所示。

所謂虛擬補丁技術，是指通過檢測入站的流量，對漏洞攻擊的網絡數據流進行深層次地分析，達到對應用程序和操作系統中漏洞防護的目的。它是一種基于主機的安全功能，防護在未對漏洞進行永久補丁修復之前。同時，該技術融合了零日公布的漏洞防護信息和補丁通知，可第一時間獲得最新漏洞信息，更有利于防護工作。它實現快速的安全規則部署，統一管理，使主機獲得第一時間安全防護，并持續提供保護，直到相應的安全補丁安裝。

2 風險分析

CVE為入侵者打開了大門，源于它公布的超過2000個的數據庫安全漏洞。數據庫廠商會定期的推出漏洞補丁，考慮數據庫修補工作的復雜性及穩定性，多數企業無法及時更新補丁。通常還會遇到更糟糕情況：上一個嚴重漏洞還沒有補完，新的補丁程序又要更新了。對于企業而言，在任何一個補丁的“空檔期”，其安全架構都是很脆弱的，容易被攻擊的。

頻繁地發現修復漏洞工作耗費大量人工、時間和成本的同時，還需要隨時提防數據泄露，發布時可能還會因為兼容性問題出現“死機或者藍屏”狀況 ，必須讓計算機系統隨時做好“回滾”的準備。

伴隨著現代計算機技術發展迅速，新型攻擊技術和手段層出不窮。利用系統漏洞，竊取機要信息、實施破壞，遠程監控，植入病毒等最常見的安全問題，通常都是由于沒有及時安裝安全和系統補丁導致。隨著Windows XP在2014年停止安全更新，新的安全漏洞將無法得到修復，這對于電力系統中仍在使用Windows XP系統的單位無疑是一個重大的挑戰，安全問題不可忽視。

結合當前安全威脅形勢和同行業應用經驗，我們了解到，針對系統的漏洞折射出來的安全風險主要包括：

需要花費數周或數月的時間來充分成果補丁外；

需要驗證補丁與第三軟件的兼容性，可能會影響老舊的應用系統的正常使用；

漏洞被公布但是廠家還沒提供補丁，可能受到Zero-day攻擊；

終端計算機如果安裝補丁后的重新啟動會造成業務中斷；

系統或應用廠家已經停止提供補丁（例如：微軟停止Windows 2000，Windows XP的支持），使得新出現的系統漏洞再也無法得到廠家的安全補丁修復。

因此我們迫切需要一種新的技術或新的安全解決方案，來應對由于系統漏洞而引發的安全風險。從而保障電力終端微機的安全防護水平。

3 實現功能

以終端虛擬補丁持續對操作系統和應用程序的漏洞防護：虛擬補丁技術可憑借其堅實可靠的漏洞防護，在系統漏洞補丁還未發布或不再發布時無限期地保護終端計算機，同時也可以有效的保護用戶的計算機免受攻擊。

虛擬補丁運行在 Windows操作系統與應用程序的外層，獨立檢查進入到系統之前的數據并過濾針對漏洞的威脅。換句話說，虛擬補丁技術不需要更改已終止支持的操作系統就能做到有效的漏洞防護，大大降低了風險。為了確保使用 Windows XP 客戶的系統安全，提供虛擬補丁技術的廠商將持續與國際安全機構合作投資 Windows XP 漏洞的偵測與研發。

虛擬補丁技術主要功能包含：

（1）利用主機入侵防御系統 （HIPS） 規則抵擋已知漏洞 ；

（2）利用行為分析與自學能力阻止新威脅 ；

（3）利用首屈一指的成熟惡意軟件防護防止漏洞被利用 ；

（4）虛擬補丁同時適用于物理桌面和虛擬桌面 ；

（5）應用程序白名單功能可根據名稱、路徑或證書來允許和阻止（拉黑）應用程序；

（6）高級應用程序白名單功能還可以將云模式應用程序數據庫（軟件認證服務）中的應用程序劃分為不同類別；

（7）系統鎖定可以通過防止執行任何新的應用程序來加固最終用戶系統；

（8）用戶自主開發的應用程序白名單功能可以允許和阻止客戶應用程序和不明應用程序。

虛擬補丁方案，可以讓IT 部門以有序方式安排補丁工作，這為安排補丁優先級、永久修復補丁和軟件源代碼修正都爭取了時間。在應對零日（0day）攻擊方面，這項技術在廠商未推出正式補丁之前，以及不再提供商業支持的舊版軟件（或許永久都不會出現補丁）提供相應的漏洞攻擊防護。

虛擬補丁技術成果形式：

（1）實現對內網終端計算機系統和應用的補丁防護，避免受到漏洞攻擊；

（2）不影響現有補丁管理安裝流程，對于已經安裝了系統補丁的計算機，虛擬補丁技術會對其進行掃描偵測，不會造成二次防護；

（3）簡易化的管理，虛擬補丁技術主要是由策略形式防護，所以在補丁的下發和收回過程可以非常迅速，便于管理及維護。

4 技術原理

虛擬補丁技術提供一種安全防護功能，它基于主機底層，在系統或者應用程序漏洞未得到永久性修復之前，它的工作原理是深度的分析網絡數據流，對入站的流量進行監測并保護應用程序或系統免受網絡攻擊。除此之外，它還整合了全球多項第一時間公布的漏洞防護和補丁通知，可以通過深度包檢測模塊，實時地監測流量和系統的應用情況，進而自動發現操作系統和應用程序中的漏洞，從而進行防護。如圖2所示。

虛擬補丁是把 IPS 技術應用到主機上，針對單一系統的漏洞與應用防護。與漏洞應用相同，漏洞的攻擊也會應用特定的協議，虛擬補丁技術通過掃描進入主機的數據包（根據數據包的特征，包括IP、端口、協議、數據內容） 來判別其攻擊性，進而發現漏洞，對終端系統和應用程序進行有效防護。

4.1 虛擬補丁與傳統補丁的區別

與傳統補丁技術不同，虛擬補丁技術是運行于操作系統和應用程序的外層，能夠獨立檢查進入操作系統以及應用程序之前的數據，并過濾掉可能對系統存在威脅的數據。兩者對比情況如表1所示。

虛擬補丁技術可以彌補傳統軟件修補補丁的不足，表現在以下幾個方面：

4.1.1 防護速度

在已知漏洞公布的幾小時內，虛擬補丁技術可以提供有效的防護。

4.1.2 按部就班的 IT 修補步驟

虛擬補丁可為IT 運維人員研究、測試部署傳統的修補程序爭取時間。

4.1.3 降低對操作系統與應用程序的干擾

虛擬補丁會根據主機導向的規則來檢查并凈化網絡流量，有效地修正或攔截可能攻擊漏洞的應用程序。部署或卸除規則完全不影響核心作業系統，若出現問題，關閉規則即可。

4.1.4 降低升級成本，延長老舊系統使用年限

虛擬補丁可以對已經沒有修補程序或者沒有軟件升級的老舊應用程序或操作系統進行保護。

4.2 價值分析

如若IT運維人員想要擺脫補丁安全防護的困境，虛擬補丁技術無疑是最佳解決方案，它通過控制應用程序以及操作系統的輸入輸出，進而消除或者改變漏洞。那么虛擬補丁到底能夠幫助電力系統解決什么問題？我們來看一下：

（1）為停止支持的操作系統和應用程序提供補丁防護，從而延長其使用壽命，節省成本。如微軟不再維護Windows XP系統，還有很多人使用，可以使用虛擬補丁技術為其防御漏洞。

（2）它可以解決由于更打補丁造成的業務中斷和藍屏等現象，從而降低了IT運維風險。服務器的補丁部署，往往需要重新啟動，會造成業務中斷，甚至造成系統藍屏等現象。使用此技術可避免此問題，降低風險。

（3 ）解決非Windows系統漏洞威脅。服務器大多使用Linux、Solaris等非Windows系統，近些年來被發現越來越多系統漏洞，虛擬補丁可以對這些系統提供漏洞保護，從而減少盲點。

（4）反應快速，可緩解關鍵服務器和桌面暴露于新漏洞威脅的情況，有效避免泄露事件發生。虛擬補丁可快速獲取最新的漏洞信息，并進行有效防護。

（5）降低運維成本。安全漏洞補丁需要經過開發、測試、發布、部署等過程，必須要在非工作時間進行，耗費了大量時間和成本，而虛擬補丁不涉及此問題，降低運維成本。

針對目前漏洞攻擊事件的危害性和實時性，我們列舉兩個近期發生的漏洞攻擊事件。

案例分享1：2014年4月10日互聯網爆發了被稱為“心臟出血”式的嚴重安全事件。SSL（Secure Sockets Layer 安全套接層）協議是為網絡通信提供安全及數據完整性的一種安全協議，也是互聯網上最大的“門鎖”。而此次曝出的OPENSSL漏洞讓這個“門鎖”形同虛設。

OPENSSL 是一個應用廣泛的開源跨平臺工具包（代碼庫），用以實現SSL /TSL 協議 。此次的漏洞使入侵者即使沒有“鑰匙”也可以暢通無阻的反復讀取服務器內存中的64K信息，可直接獲取用戶的賬戶密碼、電子郵件等重要信息。最新完成的掃描數據顯示，全國160萬個443端口中，有3.3萬個受到本次OpenSSL漏洞影響。更嚴重的是，OpenSSL常用于電商、網銀等安全性極高的網站。漏洞一旦被惡意利用，將給用戶的網絡金融資產帶來極為嚴重的威脅。虛擬補丁，可以幫助用戶避免重要數據泄露。

“這個漏洞針對使用了Open SSL的Web服務器的內存泄漏漏洞，攻擊者可以通過構造惡意代碼直接從目標服務器讀取內存信息，每次可讀取64k的數據 ，并可反復讀取，這使得網絡黑客可以從多次讀取中拼湊出有重大價值的數據。據趨勢科技監測，此次漏洞影響的SSL版本為1.0.1，我們建議還在使用該版本Open SSL的用戶務必要盡快升級，以避免被不法分子找到可乘之機。”

案例分享2：US-CERT 于9月24日公布了一個嚴重的 Bash 安全漏洞（名稱為Shellshock） ，相關的漏洞編號為CVE-2014-6271 和CVE-2014-7169。

該漏洞是由于BASH在處理環境變量時，對用戶的輸入沒有進行正確處理引發的。鑒于Bash是一個在Linux，BSD，MAC OS X中普遍使用的開源命令行外殼，而該漏洞可能導致程序代碼被遠程執行，其影響可能比“心臟出血”更嚴重。

由于Linux被廣泛使用在互聯網、安卓手機和物聯網中使用，使該漏洞的覆蓋范圍非常廣，另外遠程代碼執行使該漏洞的可造成明顯的危害，且漏洞的利用也非常簡單。所有linux系統都有此漏洞，虛擬補丁可以幫助所有linux系統進行漏洞防護。

通過以上案例可以看出虛擬補丁可以幫助用戶在威脅來源之后第一時間解決漏洞攻擊的防護。為了滿足合規要求，電力企業單位都有對于補丁管理的要求，國網也有規定。所以系統和應用必須要及時解決漏洞問題。使用虛擬補丁技術可以最快速的讓你滿足要求。

5 結束語

虛擬補丁區實際上在一定程度上降低了企業的服務應用程序的風險，提升了企業對系統的使用年限，有效的降低了企業的IT運維成本。

非常確認的是，虛擬補丁技術是一個極具有遠觀價值以及實用性的新型防漏洞技術，能夠減少企業和補丁廠商的時間間隔，為補丁更新爭取時間。雖然虛擬補丁技術并不能完全替代傳統的打補丁的過程，但是從企業的安全角度而言，虛擬補丁技術為我們實時了解操作系統以及應用程序供應商的補丁和漏洞情況提供了一條便捷通道，在官方補丁還沒有出來之前，關閉攻擊者的機會窗 。

參考文獻

[1]大幅降低人力成本虛擬補丁阻擊，零日攻擊[J].中國計算機報，2005.

作者單位

國網河北省電力公司信息通信分公司 河北省石家莊市 050021