◆麦兴宾

（国网西藏电力有限公司信息通信公司 西藏 850000）

虚拟补丁技术在生产环境中的应用研究

◆麦兴宾

（国网西藏电力有限公司信息通信公司 西藏 850000）

伴随着电力系统现代计算机技术发展迅速，新型攻击技术和手段层出不穷。而利用系统漏洞，窃取机要信息、实施破坏，远程监控，植入病毒等最常见的安全问题，通常都是由于没有及时安装安全和系统补丁导致。本文提出一种新的技术或新的安全解决方案，来应对由于系统漏洞而引发的安全风险。从而保障电力终端微机的安全防护水平。通过在实际电力信息系统中的部署和应用，检验了虚拟补丁技术的有效性。

虚拟补丁；虚拟化；信息安全风险；漏洞

0 前言

在信息安全日益严峻的今天，操作系统与应用程序的漏洞从来就没有真正消失，许多企业都在为系统和应用程序打补丁的工作付出超额的人力成本和经济成本，但测试和安装重要系统安全补丁的维护时段，则是一段艰难和危险的过程。况且，传统的IT补丁流程尚若未得到改善，不能足够快地修补漏洞，这与黑客多次利用零日（0day）漏洞大规模攻击形成鲜明对比[1]。

随着信息技术尤其是互联网技术的发展，企业的各项业务规模呈井喷式发展，信息量和新业务以几何级数增长，使得对信息计算和存储的需求进一步扩大，同时对信息安全防护思路、信息安全体系的前瞻性、安全防护体系的可扩展性等方面也提出了新的要求。在此背景下，现有的安全防护手段及技术能力无法很好的解决由未受支持的漏洞而引起的巨大安全风险。

在技术实现方面，我们必须需要用新型的技术形式来阻断漏洞产生的安全风险。需要通过虚拟补丁技术来对终端计算机提供漏洞层的保护，从而避免来自漏洞的威胁。

所谓虚拟补丁技术，是对检测入站流量并保护应用程序免受攻击，漏洞攻击的网络数据流的深层分析，而不是去篡改可执行程序。从而对应用程序和操作系统中的漏洞进行虚拟的补丁防护。虚拟补丁是一种基于主机的安全功能，把 IPS 技术应用到主机上，防护在未对漏洞进行永久补丁修复之前。同时，虚拟补丁技术融合了零日公布的漏洞防护信息和补丁通知，并可以通过对系统底层的DPI（深度包检测技术），对流量和应用的实时网络数据流监控过程中，自动发现应用程序和操作系统中的漏洞。漏洞的攻击数据包会应用特别的协议，虚拟补丁技术通过扫描进入主机的数据包的特征，比如IP、端口号、协议类型，、数据内容来判断有无攻击的行为[2]。以规则的方式统一管理，实现快速的安全规则部署，使主机获得第一时间安全防护，并持续提供保护，直到相应的安全补丁安装。

1 风险分析

CVE上公布了2000多个数据库安全漏洞，这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁，由于数据库打补丁工作的复杂性和对应用稳定性的考虑，大多数企业无法及时更新补丁。在一般情况下，一旦漏洞公布之后，网络攻击会在一天之后就会遍地开花。自动攻击带来的危害情况一般都发生在漏洞发布后的前10天内，而90%的攻击发生在30天内。曾有机构统计，现在企业用户所使用的系统和应用程序，每二千行代码中就有可能存在五至六个编码漏洞。由于操作系统和应用程序的开发商不可能对所有的代码进行严格的检查，在一般情况下，调查、成果和将补丁程序部署到操作系统可能需要10天或更多时间，对于应用程序来说，通常需要更久。而且，可能遭遇的情况就是，上一个严重漏洞还还没有修补，新的补丁更新程序却已经来到。应该说，在任何一个补丁的“空档期”，企业的安全架构都脆弱的[4]。

与此同时，几乎每个月都有数千个系统和应用程序漏洞被发现，而即时的修补大大耗费人力成本，还会因为兼容性问题出现“死机或者蓝屏”状况[5]，也必须的让计算机系统随时要做好“回滚”的准备。而且，通常对于尚在服役的旧版操作系统而言，由于需要单独付出费用，很多终端几乎是“赤裸”工作。许多网络管理员、系统管理员、数据库管理员也都对打补丁工作十分抵触，因为这已经占据了他们日常工作中的大量时间，而安全主管则需要随时提防数据泄露事件的发生。为了不在业务集中时段重新启动计算机，或者调整防火墙等安全策略，“打补丁”已经成为了IT运维工程师“加班”的代名词。

伴随着现代计算机技术发展迅速，新型攻击技术和手段层出不穷。而利用系统漏洞，窃取机要信息、实施破坏，远程监控，植入病毒等最常见的安全问题，通常都是由于没有及时安装安全和系统补丁导致。而随着Windows XP在2014年停止安全更新，新的安全漏洞将无法得到补丁修复，这将导致电力及下属各单位目前还在使用的Windows XP 办公桌面系统面临合规与安全风险的挑战。

结合当前安全威胁形势和同行业应用经验，我们了解到，针对系统的漏洞折射出来的安全风险主要包括：

需要花费数周或数月的时间来充分成果补丁外；

需要验证补丁不会与第三软件造成冲突，一些老旧的应用系统不能安装补丁可能会影响其正常使用；

漏洞被公布但是厂家还没提供补丁，可能受到Zero-day攻击；

终端计算机如果安装补丁后的重新启动会造成业务中断；

系统或应用厂家已经停止提供补丁（例如：微软已在2010/7/13停止支持Windows 2000，并将在2014年4月8日停止Windows XP的支持），使得新出现的系统漏洞再也无法得到厂家的安全补丁修复。

因此我们迫切需要一种新的技术或新的安全解决方案，来应对由于系统漏洞而引发的安全风险。从而保障电力终端微机的安全防护水平。

2 实现功能

以终端虚拟补丁持续对操作系统和应用程序的漏洞防护：虚拟补丁技术可凭借其坚实可靠的漏洞防护，可以在系统漏洞补丁还未发布或不再发布时无限期地保护终端计算机，也可在部署正式补丁之前迅速有效的保护您的终端免受侵害。

不同于传统补丁技术，虚拟补丁运行在 Windows操作系统与应用程序的外层，独立的检查进入到系统之前的数据并过滤针对漏洞的威胁。也就是说，虚拟补丁技术不需增加风险更改已终止支持的操作系统就可有效的做到漏洞防护。为了确保使用Windows XP 客户的系统安全，提供虚拟补丁技术的厂商将持续与国际安全机构的合作与投资在 Windows XP 漏洞的侦测与研发。

虚拟补丁技术主要功能包含：

（1）利用主机入侵防御系统（HIPS）规则抵挡已知漏洞。

（2）利用行为分析与自学能力阻止新威胁。

（3）利用首屈一指的成熟恶意软件防护防止漏洞被利用。

（4）虚拟补丁同时适用于物理桌面和虚拟桌面。

（5）应用程序白名单功能可根据名称、路径或证书来允许和阻止（拉黑）应用程序。

（6）高级应用程序白名单功能还可以将云模式应用程序数据库（软件认证服务）中的应用程序划分为不同类别。

（7）系统锁定可以通过防止执行任何新的应用程序来加固最终用户系统。

（8）用户自主开发的应用程序白名单功能可以允许和阻止客户应用程序和不明应用程序。

虚拟补丁方案，可以让IT 部门以有序方式安排补丁工作的部署，这为安排补丁优先级、永久补丁修复和软件源代码修正都争取了时间。在应对零日（0day）攻击方面，这项技术在厂商未推出正式补丁之前，以及不再提供商业支持的旧版软件（或许永久都不会出现补丁）提供相应的漏洞攻击防护。

虚拟补丁技术成果形式：

（1）实现对内网终端计算机系统和应用的补丁防护，避免受到漏洞攻击。

（2）不影响现有补丁管理安装流程，对于已经安装了系统补丁的计算机，虚拟补丁技术会对其进行扫描侦测，不会造成二次防护。

（3）简易化的管理，虚拟补丁技术主要是由策略形式防护，所以在补丁的下发和收回过程可以非常迅速，便于管理及维护。

3 技术原理

虚拟补丁是一种基于主机底层的安全防护功能，在未对漏洞进行永久性补丁修复之前，其工作原理不是修改可执行程序，而是针对网络数据流的深层分析，检测入站流量并保护应用程序免受攻击。同时，虚拟补丁整合了全球多项第一时间公布的漏洞防护和补丁通知，并可以通过深度包检测模块，在流量和系统的实时监控过程中，自动发现应用程序和操作系统中的漏洞。从而对系统中的已知漏洞（无论是否有相应的安全更新）进行防护[3]。

虚拟补丁是把 IPS 技术应用到主机上IPS 技术通常在网络上的布署，容易产生大量的误判，但虚拟补丁是针对单一系统的漏洞与应用防护。漏洞与应用都是用特定的协议，漏洞的攻击也会应用定的协议来攻击，虚拟补丁技术扫描进入主机的数据包来判别（根据数据包的特征，包括IP、端口、协议、数据内容）以此来确认有无攻击的数据包。

以虚拟补丁持续对操作系统和应用程序的漏洞防护：虚拟补丁可凭借其坚实可靠的漏洞防护，可以在系统漏洞补丁还未发布或不再发布时无限期地保护终端计算机，也可在部署正式补丁之前迅速有效的保护您的终端免受侵害。

3.1 虚拟补丁与传统补丁的区别

不同于传统补丁技术，虚拟补丁运行在 Windows操作系统与应用程序的外层，独立的检查进入到系统之前的数据并过滤针对漏洞的威胁。也就是说，虚拟补丁不需增加风险更改已终止支持的操作系统就可有效的做到漏洞防护。为了确保使用系统客户的系统安全，提供虚拟补丁的厂商将持续与国际安全机构的合作与投资在系统漏洞的侦测与研发[6]。

虚拟补丁可弥补传统软件修补程式管理的不足。它可为 IT人员争取到一些时间，防止系统已知漏洞遭到攻击，让 IT 人员按照既定的时程来完整测试幷部署软件修补程序。

（1）防护速度：虚拟补丁可在已知漏洞公布的数小时内立即提供防护。

（2）按部就班的 IT 修补步骤：安全团队可在自己的掌控下仔细研究、测试、部署传统的修补程序。虚拟补丁可为他们争取时间。

（3）降低对作业系统与应用程序的干扰：虚拟补丁会根据主机导向的规则来检查并净化网络流量，有效率地修正或拦截可能攻击漏洞的应用程序输入串流。部署或卸除规则完全不影响核心作业系统。因此，如果出现任何问题，只要关闭规则就好，作业系统完全不受影响。

（4）延后升级的成本，延长老旧系统的使用年限：虚拟补丁可保护已无修补程序或软体升级可用的老旧应用程序或作业系统。

3.2 价值分析

虚拟补丁是一种可以使运维人员摆脱和解决补丁安全防护困境的最佳解决方案。虚拟补丁技术旨在通过控制受影响的操作系统和应用程序的输入或输出，来改变或消除漏洞。它的好处：一是，可以在不影响应用程序和其相关库以及为其提供运行环境的操作系统的情况下，为应用程序安装补丁。二是，如果一个应用程序的早期版本已不再获得供应商支持，则此时虚拟补丁是支持该早期版本的唯一方法[9]。那么虚拟补丁到底能够帮助电力系统解决什么问题那？我们来看一下：

为停止支持的操作系统和应用程序提供补丁防护，从而延长旧有系统的使用寿命，节省升级或改造成本。许多组织都有不再具有或者不能升级补丁的应用程序或操作系统，虚拟补丁可以对这些系统提供保护。比如使用Windows XP系统即将退出市场，微软不在支持，还有很多人使用，当有新的漏洞出现时无法防御，这时就可以使用虚拟补丁技术。

解决由于更打补丁造成的业务中断和蓝屏等现象，从而降低运维风险。服务器的补丁部署，往往需要重新启动，会造成业务中断，甚至造成系统蓝屏等现象。使用虚拟补丁不需要重新启动电脑，也不会对系统和应用有任何的影响，因为其没有对系统做任何操作。维持生产应用程序以实现更佳的运行时间和 性能。通过虚拟补丁修复，无需预设非工作时间的停机，即可保护关键应用程序免受漏洞威胁。

解决非Windows系统漏洞威胁。在服务器区域提供服务的操作系统包含Linux、Solaris等非Windows系统，在这些系统上往往运行关键业务系统，而近些年来这些系统发现越来越多系统漏洞，并被黑客掌握和病毒感染，对业务系统及网络造成严重影响。虚拟补丁可以对这些系统提供漏洞保护，从而减少盲点。

反应快速，可缓解关键服务器和桌面暴露于新漏洞威胁的情况，有效避免泄露事件发生。虚拟补丁修复可及时提供漏洞防护，而无需进行应用程序修改，从而缩短了测试和部署关键补丁程序所需的时间，通过快速消除服务器和桌面中的关键漏洞。

降低运维成本。安全漏洞补丁在厂商发布后，经过内部标准的测试、发布、部署等过程，在漏洞修复过程中占用大量带宽资源和人力资源运维、检查。许多网络管理员、系统管理员、数据库管理员也都对打补丁工作十分抵触，因为这已经占据了他们日常工作中的大量时间，“打补丁”已经成为了IT运维工程师“加班”的代名词。虚拟补丁可以减少由于补丁管理而产生的大量工作，让管理员从繁重的补丁管理中解脱出来，从而降低运维成本。

针对目前漏洞攻击事件的危害性和实时性，我们列举两个近期发生的漏洞攻击事件。

案例分享：2014年4月10日互联网爆发了被称为“心脏出血”式的严重安全事件。SSL协议是为网络通信提供安全及数据完整性的一种安全协议，也是互联网上最大的“门锁”。而此次曝出的OPENSSL漏洞让这个“门锁”形同虚设，可以让攻击者获得服务器内存中的数据内容，甚至导致网络账户与密码、网银资金、电子邮件等重要信息的泄漏！虚拟补丁，可以帮助用户避免重要数据泄露[7]。

OPENSSL 是一个应用广泛的开源跨平台工具包（代码库），用以实现SSL /TSL 协议。此次的漏洞让SSL这个“门锁”成为虚设，入侵者即使没有“钥匙”也可以畅通无阻的反复读取服务器内存中的64K信息，可直接获取用户的账户密码、电子邮件等重要信息。最新完成的扫描数据显示，全国160万个443端口中，有3.3万个受到本次OpenSSL漏洞影响。更严重的是，OpenSSL常用于电商、网银等安全性极高的网站。漏洞一旦被恶意利用，将给用户的网络金融资产带来极为严重的威胁。

“这个漏洞针对使用了Open SSL的Web服务器的内存泄漏漏洞，攻击者可以通过构造恶意代码直接从目标服务器读取内存信息，每次可读取64k的数据，并可反复读取，这使得网络黑客可以从多次读取中拼凑出有重大价值的数据。据趋势科技监测，此次漏洞影响的SSL版本为1.0.1，我们建议还在使用该版本Open SSL的用户务必要尽快升级，以避免被不法分子找到可乘之机。”

案例分享：US-CERT 于（9月24日）公布了一个严重的 Bash安全漏洞（漏洞名称为Shellshock），相关的漏洞编号为CVE-2014-6271 和CVE-2014-7169。

该漏洞是由于BASH在处理环境变量时，对用户的输入没有进行正确处理所引发的。鉴于Bash是一个在Linux，BSD，MAC OS X中普遍使用的开源命令行外壳，而该漏洞可能导致程序代码被远程执行，其影响可能比“心脏出血”更严重。

由于Linux被广泛使用在互联网、安卓手机和物联网中使用，使该漏洞的覆盖范围非常广，另外远程代码执行使该漏洞的可造成明显的危害，且漏洞的利用也非常简单。所有linux系统都有此漏洞，虚拟补丁可以帮助所有linux系统进行漏洞防护。

通过以上案例可以看出虚拟补丁可以帮助用户在威胁来源之后第一时间解决漏洞攻击的防护。为了满足合规要求，电力企业单位都有对于补丁管理的要求，国网也有规定。所以系统和应用必须要及时解决漏洞问题。使用虚拟补丁技术可以最快速的让你满足要求。

4 结束语

虚拟补丁区实际上在一定程度上降低了企业的服务应用程序的风险，提升了企业对系统的整体拥有时间，有效的降低了企业的IT运维成本。

毫无疑问，虚拟补丁是一个极具有远观价值的新型技术，可减少企业和厂商补丁之间的时间间隔或者由于公司缺乏定期测试和部署补丁所需人手造成的风险。从企业安全防护角度来看，虽然虚拟补丁不能完全替代打补丁的流程，但如果你能够实现实时的对操作系统和应用程序供应商的补丁和公开披露的漏洞的最新进展，虚拟补丁可以为企业提供应急之道，并关闭试图利用系统等待官方补丁时的漏洞的攻击者的机会之窗[8]。

[1]大幅降低人力成本．虚拟补丁阻击“零日攻击” ．中国计算机报．

[2]使用虚拟补丁简化补丁管理流程．补丁管理．TT安全．

[3]使用虚拟补丁简化补丁管理流程．网络安全．CNW．com．cn!．

[4]趋势科技紧急提供虚拟补丁解决方案．科技频道．

[5]刘源． 2009．

[6]零日攻击的原理与防范方法．嘉文IT资讯网|嘉文IT|IT资讯网|IT平台|江西IT资讯网|山东IT资讯网．

[7]刘源．零日攻击的原理与防范方法．

[8]XP系统安全过渡方案研究．

[9]趋势科技．紧急提供虚拟补丁解决方案．科技频道．