椒图科技常务副总李科：从“云锁”看企业系统安全痛点-安全-火龙果软件工程

椒图科技常务副总李科：从“云锁”看企业系统安全痛点

作者夏梦竹整理火龙果软件发布于 2014-07-22

2613 次浏览

椒图科技是一家从事信息安全技术的高科技企业，集研究、开发、生产、经营为一体。近日，我们有幸采访到了椒图科技常务副总李科，请他分享椒图公司产品理念、云锁的研发之道以及云计算、大数据时代企业的安全问题。

椒图科技是一家从事信息安全技术的高科技企业，集研究、开发、生产、经营为一体。其标识取自龙九子之一的椒图原型，取其秉性好闭，以保安全之意。一直以来椒图在信息安全行业方面专注于操作系统安全领域的研究，先后推出了多款网站应用防护系统，包括：“JHSE椒图主机安全环境系统”、“JMAC椒图强制访问控制系统”等。凭借多年的企业级产品经验，成功打造了“云锁”这款免费的服务器及网站软件。近日，我们有幸采访到了椒图科技常务副总经理李科，请他分享椒图公司产品理念、“云锁”的研发之道以及云计算、大数据时代的企业安全问题。

椒图科技常务副总经理?李科

1.请先简单介绍一下您自己以及目前所负责的工作。

李科，椒图科技常务副总经理，椒图科技云锁项目创始人兼项目负责人之一，专注于操作系统安全技术领域研究，拥有十余年信息安全行业经验，现全面负责云锁项目的产品运营工作。

2.椒图科技现在安全解决方案上的布局是怎样的？云锁这款产品在内部的定位是什么，主要解决用户哪些问题？

椒图科技团队多年来在信息安全行业内聚焦于操作系统安全领域的研究，是信息安全行业金字塔尖的企业，公司针对企业级用户的主力产品JHSE（椒图主机安全环境系统）在这一领域已获得巨大成功，其适用范围含盖Windows、Linux、HP-UX、Solaris、Aix等国家命脉行业中的核心服务器操作系统。目前已经大规模应用于能源、金融、政府等重要行业，公司未来计划往云计算、国产操作系统等安全问题的方向拓展，积极迎合我国信息安全的国防战略。

椒图科技的传统产品主要针对企业级市场，在中小用户领域，公司在未来会提供一系列基于互联网安全的相关产品，力求在产品上覆盖更广阔的市场领域。

云锁是一款免费服务器及网站安全软件，立足于主机安全，在操作系统层面，帮助站长解决服务器及网站安全问题，使站长们无需承受高额成本，就可以免费享受到高端安全技术带来的保障。云锁的“云”有两重概念，首先，云锁本身是利用云计算技术不断提升自身能力的一款安全产品；其次，云锁可以应用的环境不但包含普通的服务器，而且还支持虚拟化的云环境，目前主流应用都在逐渐云化。而“锁”的概念是“安全之锁”，信息资产虽然在云端，但安全如钥匙一般牢牢掌握在站长自己手中。

云锁旨在解决针对网站的各种安全问题

例如：sql注入、跨站、cc、盗链等常见应用层攻击；而针对操作系统的保护，则采用十年积累的内核加固技术，独创Web沙箱技术，将iis、apache这种中间件的权限和操作系统进行隔离，防止通过Web应用攻击对操作系统进行提权、安装后门等，并且在运维上也给站长们提供了服务器配置优化、巡检、服务器状态实时监控等功能。

3.相对于市场上的竞争对手，云锁推出的时间为何现在推出来（晚）？

十年磨一剑，慢工出细活

追求精品是椒图科技的产品理念，椒图科技团队之前一直在传统企业级安全产品领域中专研，积累了深厚的技术功底，先后推出了 “JHSE椒图主机安全环境系统”、“JMAC椒图强制访问控制系统”、“JWEB椒图网站应用防护系统”等明星产品，多年的企业级产品经验为椒图科技团队推出云锁产品打下了坚实的基础。公司在去年获得第二轮融资后，决定将成熟的产品技术开始往互联网转型，因此我们很快就在半年内推出云锁产品的Windows版本，8月份Linux版本也将发布，这标志着云锁进入快速迭代的阶段。

4.云锁的立项是在什么时候，研发用了多长时间？开发过程中难点在哪，遇到了哪些困难，你们如何解决的？

如上所说，云锁的正式立项是在2014年初，我们仅用半年时间就推出目前的产品，这对一般的互联网产品来说，速度是很快的。云锁从立项到研发并不是偶然或者草率的，这半年里，我们在整合技术资源，云锁产品中使用的内核技术，正是椒图科技在传统企业级产品中打磨10年的技术，其技术稳定性、防范的强壮性检验远远不止半年，而是数年的功底。

开发过程中遭遇瓶颈

开发过程中难点不能说没有，应该说基于各种安全模型的应用，特别是B1级操作系统的功能如何适应站长的需求，如何抉择，采用哪些功能，保护策略应该如何配置，这些是难点。前期在企业环境中，防护强度要求很高，而对于站长来说要保证其灵活的易用性，不能有过高的使用门槛，在安全和应用之间做取舍这是很难的事情，而我们采用的方法则是和用户一起来定。通过大量的调研、访谈，邀请站长顾问们在、参与云锁的开发过程中，与其说今天的云锁是我们定义的，倒不如说是用户定义的。在用户需求的推动下，我们最终形成了共识，这就是我们解决问题的方法。

5.云锁在产品功能和技术上相对于同类产品的核心竞争力是什么？云锁有哪些自己的特色和优势？

云锁的核心竞争力来自于椒图科技团队在操作系统安全上的深厚功底，相比同类产品，我们技术在大规模的企业服务器群中有过很多成熟应用，在面对命脉行业中多达数千种的复杂应用实施过程中，椒图科技的技术驾驭游刃有余，完全自主知识产权的发明专利技术被应用到云锁当中，这是同类产品并不具备的。

四大优势：极速、精准、深入、高效

所谓极速，从云锁的部署模式就可以看到，我们采用的是类似CS的架构，运行于服务器上，如此功能强大的产品消耗内存仅仅20m左右，并且在操作的时候，无需登录服务器，服务器无需承担界面、图形等输出的开销，仅需和客户端交互即可。

所谓精准，椒图科技多年来的丰富实战经验，加上站长顾问团的共同认知，在产品的功能上专挑重点，痛点。

比如sql注入、跨站脚本、cc攻击、盗链、敏感词、多线程下载等，是站长们每天面临实实在在的威胁，针对这些威胁，云锁的每一项功能，都在实验室里模拟出多种攻击场景，针对这些攻击技术进行分析总结，最后形成防护技术。针对Web中间件的防护，我们也是以一套代码来支持多个环境，不会给用户带来选择的困扰，一个服务端涵盖了操作系统防护和iis、apahce等多个中间件的防护，在精准上下足了功夫。

所谓深入，是指对操作系统的底层内核研究的透彻，例如前面讲到的Web沙箱，从前大家都把浏览器放到沙箱当中，而我们把Web应用放到了沙箱里，这样的保护技术既保证应用的正常使用，又能起到明显的防护效果。将内核级的强制访问控制模型引入到网站防护这一思路是云锁的一大创举，当然这一模式还可以用于保护其它应用，深入到系统最底层实现，防止被攻击者绕过。

所谓高效，云锁产品的设计交互能够让用户简便快速的上手使用。此外，很多功能都已经事先内置了规则，站长无需做过多的调整，就可以直接发挥作用，像巡检，优化甚至都可以一键完成。

6.相对于前两年，这两年来在服务器安全领域安全形势如何？出现了哪些新的攻击模式趋势？请结合云锁来谈谈是如何应对的。

芯片、操作系统是我国信息安全体系中的“短板

随着国际形势的日益变化，我国在信息安全领域中受制于人的被动地位日益突出，芯片、操作系统是我国信息安全体系中的“短板”，短期来看期望完全国产化的目标还有很长的路要走。而目前针对服务器的攻击已经呈现规模化、组织化的趋势，例如震惊业内的“震网”病毒、“火焰”病毒，这些都是利用服务器漏洞来进行攻击达到破坏生产系统的目的，而“棱镜门”事件，不但有对主干网络设备的监听，还存在对运营商服务器的渗透，进而获取短信的行为。

对于网站来说，大规模的泄密事件频发，如酒店开房数据泄露、小米数据库被盗，攻击者把目标都指向网站的敏感数据。特别是OpenSSL心脏出血漏洞的危害，让整个原本看似牢固的加密体系为止一震，这也体现出高危漏洞对服务器安全的威胁，已经真正威胁到广大网民的日常生活。

云锁的定位是主机＋应用一体化的安全防护体系，不但防止攻击者对操作系统的攻击，同时针对Web应用的常见攻击也做了有力的防范，针对操作系统级的远程攻击，云锁的内核加固技术能够起到免疫的作用，震网、火焰没有任何发作的机会，同时针对Web应用的攻击又保障了业务和数据的安全，保障数据不被泄漏，OpenSSL这种畸形的请求也被完全过滤掉，是一种全方位保护的形态，给互联网网站服务器提供了完整的解决方案。

7.如何看待企业面临的APT攻击现状？如何防范？

针对事前、事中、事后三个阶段完善企业防范体系

企业面临APT的攻击应该来说多数未被暴露，未暴露不代表不存在，从专业角度来看，这是普遍存在的问题。APT的存在，体现出整体企业系统安全层面的缺失，前面有提到过“震网”病毒、“火焰”病毒、“棱镜门”等事件都是在形成严重后果以后才被暴露出来。那么，企业应当在信息系统上部署更高效的安全防护产品，针对事前、事中、事后的三个阶段来完善企业的防范体系。例如：事前可以规划出系统状态异常的阈值，通过监控CPU、内存、网络带宽等数据来发现异常，配置好安全策略来防范APT的异常行为；事中则采用报警来及时提醒管理员，将威胁及时的发现出来；事后则采用审计来追查事故由来，并提供还原机制。每个企业的信息系统构架不同，但从道理上来说是这样一个相同的体系。

8.如何理解云计算、大数据时代的企业安全问题？请从云计算、大数据两个层面来谈。

云计算的基础是虚拟化技术，那么从IASS、PASS、SASS的三层架构来看，IASS层面是底层基础，基于虚拟化技术的基础服务，在此之上虚拟出来Guest OS，也就是通用的操作系统（Windows、Linux）、数据库、网络、存储设备等基础单元，既然已经有了虚拟化的结构，那么相应的网络安全问题同样存在。例如：目前我们去购买的云主机，在利用云主机搭建网站或者应用的时候，面临的风险和原来是一样的。更多的区别在于硬件形态的边界防护产品无法适应这种虚拟的环境，因为云的构架下，边界已经变得很模糊。那么对于Guest OS这一环境，需要藕合度高的软件产品来适应，操作系统加固和应用防护的软件产品更适合这种虚拟化的环境，这也是云锁名字的由来。

数据安全是用户关注重点

大数据方面，因为数据大集中，数据安全更是用户关注的重点，数据的完整性、机密性、可用性显得尤为重要。椒图科技的企业级产品在大数据的保护上优势也十分明显，针对数据的保护规则细致到进程的访问控制，而云锁产品对Web应用也起到防止敏感数据泄漏，敏感词过滤等作用，顺应趋势的发展。

9.接下来在云锁的产品研发和市场推广上有哪些规划？

云锁的产品方向更偏重中小企业市场，从用户网站安全到网站运营的各个方面，未来可以为用户提供更多的安全和运营功能。

市场方面，我们会和更多的友商展开合作，椒图科技这些年积累了很多合作伙伴，结合我们在市场运营方面的经验，与友商在中小企业以及站长这块市场共同挖掘更多用户需求，合力推广，形成共赢！

2613 次浏览