TECHNOLOGY
抵抗未知漏洞攻擊的新物種--云瀏覽器系統(tǒng)
一、背景
隨著《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》發(fā)布,國(guó)家進(jìn)一步對(duì)涉及國(guó)計(jì)民生的國(guó)防、電力、交通、通信、電子政務(wù)等關(guān)鍵領(lǐng)域加大保護(hù)力度。如何保證這些領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定和高效運(yùn)行,是關(guān)系到國(guó)家安全、網(wǎng)絡(luò)安全和社會(huì)穩(wěn)定的重大命題,處理好這個(gè)問題,也是我黨執(zhí)政能力的體現(xiàn)。各國(guó)政府重點(diǎn)保護(hù)的這些關(guān)鍵信息基礎(chǔ)設(shè)施也是黑客及敵對(duì)勢(shì)力眼里的高價(jià)值目標(biāo)。網(wǎng)絡(luò)攻擊日益猖獗,網(wǎng)絡(luò)安全問題頻發(fā),威脅越來越大。
近年來,許多對(duì)用戶信息系統(tǒng)的攻擊來自互聯(lián)網(wǎng),不安全的網(wǎng)絡(luò)環(huán)境已經(jīng)成為網(wǎng)絡(luò)攻擊的重要途徑。通過誘導(dǎo)用戶瀏覽網(wǎng)頁,攻擊者可以設(shè)法繞過本地安全屏障直接侵入系統(tǒng)內(nèi)部。遭入侵的案例比比皆是,遠(yuǎn)的案例有2006年,伊朗國(guó)家級(jí)核設(shè)施遭到震網(wǎng)病毒攻擊,導(dǎo)致離心機(jī)大面積損毀,核工業(yè)遭受嚴(yán)重打擊。近的2021年5月,美國(guó)燃油管道運(yùn)營(yíng)商Colonial Pipeline遭遇勒索病毒攻擊,導(dǎo)致8000公里的輸油管道被關(guān)閉,影響美國(guó)東部近一半人口。
在涉及瀏覽器的網(wǎng)絡(luò)攻擊中,瀏覽器內(nèi)部引擎和各種插件等是主要攻擊點(diǎn)之一。如何保證瀏覽器承載的各種業(yè)務(wù)向前兼容、高效運(yùn)行的同時(shí),又確??蛻魞?nèi)部其他辦公系統(tǒng)免遭木馬、勒索病毒等威脅,同時(shí)確保內(nèi)部敏感資料無法通過瀏覽器外泄,是用戶的迫切需求,也是海泰方圓關(guān)注的重點(diǎn)。
二、云瀏覽器系統(tǒng)簡(jiǎn)介
- 云瀏覽器系統(tǒng)基本概念
云瀏覽器系統(tǒng)是一種通過虛擬化技術(shù)、遠(yuǎn)程瀏覽器隔離技術(shù)實(shí)現(xiàn)的,將Web使用者的頁面瀏覽活動(dòng)以及相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)與其本地網(wǎng)絡(luò)和基礎(chǔ)設(shè)施進(jìn)行安全隔離,杜絕本地高價(jià)值目標(biāo)遭到通過頁面瀏覽等行為導(dǎo)致的入侵和破壞,有效保障本地安全和資料外泄的綜合軟件系統(tǒng)。與傳統(tǒng)瀏覽器安全不同,云瀏覽器系統(tǒng)把所有Web內(nèi)容視為不受信任,把對(duì)Web的訪問限制在隔離的安全域內(nèi)部,解決頁面瀏覽的威脅。如下面圖一所示,云瀏覽器系統(tǒng)服務(wù)端遠(yuǎn)程運(yùn)行、遠(yuǎn)程呈現(xiàn)來自外部網(wǎng)絡(luò)的Web業(yè)務(wù)系統(tǒng),任何有潛在威脅的JavaScript、VB等可執(zhí)行腳本,有風(fēng)險(xiǎn)的高權(quán)限瀏覽器插件,以及來自應(yīng)用商店的五花八門的眾多擴(kuò)展小程序和CSS、HTML等文件,最終被重新統(tǒng)一編碼成視頻格式形式,通過網(wǎng)閘設(shè)備的單向數(shù)據(jù)擺渡功能,向用戶的云瀏覽器客戶端傳送并由后者播放此視頻,完成遠(yuǎn)程瀏覽。
圖一、云瀏覽器系統(tǒng)工作原理
三、紅蓮花云瀏覽器系統(tǒng)基本介紹
基于多年的技術(shù)積淀,我們推出新一代遠(yuǎn)程瀏覽器隔離安全產(chǎn)品—紅蓮花云瀏覽器系統(tǒng)。通過Docker等虛擬化隔離技術(shù)以及瀏覽器遠(yuǎn)程呈現(xiàn)技術(shù),威脅被限制在紅蓮花云瀏覽器系統(tǒng)服務(wù)端所處隔離區(qū),紅蓮花云瀏覽器系統(tǒng)客戶端所在信息系統(tǒng)的基礎(chǔ)設(shè)施得以充分保護(hù),同時(shí),因用戶無法在本地通過紅蓮花云瀏覽器客戶端上傳文件從而杜絕網(wǎng)頁瀏覽泄密的風(fēng)險(xiǎn)。這一產(chǎn)品應(yīng)用得當(dāng),將顯著增強(qiáng)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)力度,必將對(duì)我國(guó)信息安全做出重要貢獻(xiàn)。
紅蓮花云瀏覽器系統(tǒng)包括三部分:客戶端,服務(wù)端,管控端。
圖二、紅蓮花云瀏覽器系統(tǒng)工作流程
客戶端集成了工具欄、網(wǎng)址欄、導(dǎo)航按鍵、視頻播放區(qū)等等。服務(wù)端實(shí)現(xiàn)瀏覽器的基礎(chǔ)功能,包括頁面繪制、頁面渲染和頁面布局等等功能。管控端實(shí)現(xiàn)策略管控、權(quán)限分配、行為管控、插件管控、水印與溯源等等功能。客戶端、服務(wù)端、管控端三者結(jié)合實(shí)現(xiàn)了紅蓮花云瀏覽器完整系統(tǒng),專門為政企用戶打造一個(gè)專用、安全、省心、高效的業(yè)務(wù)辦公環(huán)境。
四、紅蓮花云瀏覽器系統(tǒng)各部分作用
- 紅蓮花云瀏覽器系統(tǒng)服務(wù)端
紅蓮花云瀏覽器系統(tǒng)服務(wù)端,是一款融合瀏覽服務(wù)虛擬化、平臺(tái)切換智能化、安全隔離動(dòng)態(tài)化、瀏覽計(jì)算協(xié)同化的云技術(shù)服務(wù)產(chǎn)品,可同時(shí)承載多個(gè)Web業(yè)務(wù)系統(tǒng)。
具體功能包括:國(guó)密算法,單雙向 SSL 鏈接,NPAPI、PPAPI 控件,國(guó)密 SKF 接口硬件數(shù)字證書,證書管理,下載管理,擴(kuò)展管理,插件管控,證書管控,安全沙箱,內(nèi)置安全文件檢測(cè),支持中國(guó)可信計(jì)算技術(shù)框架3.0標(biāo)準(zhǔn)。
- 紅蓮花云瀏覽器系統(tǒng)客戶端
紅蓮花云瀏覽器系統(tǒng)客戶端,運(yùn)行在用戶端的計(jì)算機(jī)上,供用戶訪問Web頁面時(shí)使用,實(shí)現(xiàn)安全的業(yè)務(wù)系統(tǒng)展示交互功能。它有正常的地址欄、工具欄等瀏覽器外觀界面,看起來就是一個(gè)普通的瀏覽器。
紅蓮花云瀏覽器系統(tǒng)客戶端和普通瀏覽器有本質(zhì)區(qū)別,主要區(qū)別如下:
1、客戶端不連接Web業(yè)務(wù)系統(tǒng),斷絕來自外部網(wǎng)絡(luò)的入侵威脅。由于采用RBI物理隔離技術(shù),客戶端不能接觸危險(xiǎn)文件,不能下載、解析、渲染具有潛在威脅的各種各樣的網(wǎng)頁資源,包括可執(zhí)行腳本、樣式文件、插件等等。
2、客戶端接收來自紅蓮花云瀏覽器系統(tǒng)服務(wù)端的視頻并解碼顯示。
具體功能包括:支持可信技術(shù)框架,支持地址欄、前進(jìn)、后退、刷新、書簽等操作按鈕,支持網(wǎng)絡(luò)通訊等功能。
- 紅蓮花云瀏覽器系統(tǒng)管控端
紅蓮花云瀏覽器系統(tǒng)管控端,全稱是紅蓮花云瀏覽器系統(tǒng)安全應(yīng)用管控端,服務(wù)對(duì)象是云瀏覽器系統(tǒng)服務(wù)端。它是一款融合智能平臺(tái)切換技術(shù),能夠?qū)g覽器服務(wù)端進(jìn)行插件管控、多核切換、證書管理等管理功能,實(shí)現(xiàn)統(tǒng)一兼容、統(tǒng)一入口、統(tǒng)一管理的服務(wù)平臺(tái)。
其他具體功能還包括:態(tài)勢(shì)感知中心,組織管理,用戶管理,設(shè)備管理,應(yīng)用管理,安全策略管理,消息管理,日志管理,升級(jí)管理策略等等豐富的管理功能。
五、紅蓮花云瀏覽器系統(tǒng)價(jià)值總結(jié)
- 安全性高。解決網(wǎng)頁木馬攻擊、網(wǎng)頁安全問題、控件安全等問題。提供強(qiáng)大的安全隔離,避免了原有來自Web業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)。
- 防止敏感信息泄露。用戶無法在本地通過紅蓮花云瀏覽器客戶端上傳下載任何文件。
- 集成管控功能。提供策略配置、用戶行為分析、安全審計(jì)等強(qiáng)大管控功能。
- 兼容性好。紅蓮花云瀏覽器系統(tǒng)服務(wù)端自適應(yīng)包括信創(chuàng)在內(nèi)的多種CPU和OS平臺(tái),適應(yīng)各種業(yè)務(wù)系統(tǒng)。充分解決了各種平臺(tái)的Web業(yè)務(wù)系統(tǒng)復(fù)雜性。另外,紅蓮花云瀏覽器系統(tǒng)客戶端是獨(dú)立軟件,與客戶原有軟件不沖突,不影響客戶原有其他軟件的正常工作。
- 業(yè)務(wù)系統(tǒng)免改造。通過紅蓮花云瀏覽器服務(wù)端IE內(nèi)核、Chrome內(nèi)核等模式,使客戶Web業(yè)務(wù)系統(tǒng)免改造,避免投入改造成本,額外導(dǎo)致錯(cuò)誤發(fā)生。