免費會員
具體成交價以合同協議為準
¥面議
計算機安全涉及到的各方面內容中,操作系統、網絡系統、數據庫管理系統的安全是主要問題,其中操作系統安全尤為關鍵。操作系統是計算機資源的直接管理者,所有應用軟件都是基于操作系統來運行的,不能保障操作系統安全,也就不能保障數據庫安全、網絡安全及其他應用軟件的安全問題。因此構建一個安全的操作系統,成為提高計算機信息系統安全性的重要手段。操作系統安全是計算機網絡系統安全的基礎。而服務器以及業務數據又是被攻擊的最終目標。因此,部署安全產品,加強對關鍵服務器的安全控制,是增強系統總體安全性的核心一環。
網神公司的網神SecSSM 3600服務器安全加固與管理系統是一款服務器安全內核保護系統,它不用更改操作系統就可以安裝,操作方便宜于系統管理和安全管理。網神SecSSM 3600服務器安全加固與管理系統在操作系統的安全功能之上提供了一個安全保護層。通過截取系統調用實現對文件系統的訪問控制,以加強操作系統安全性。它具有完整的用戶認證,訪問控制及審計的功能,采用集中式管理,克服了分布式系統在管理上的許多問題。
網神SecSSM 3600服務器安全加固與管理系統是一個支持跨平臺的訪問控制軟件,它支持AIX、HP-UX、Solaris、Tru64以及Linux和Windows NT/2000/XP/2003等多種操作系統。可對多種操作系統進行統一管理,為管理員提供方便,可以保障服務器安全地提供持續的客戶服務。
1、控制超級用戶
我們知道,超級用戶在操作系統中具有非常特殊的地位。超級用戶具有不受資源權限限制,以權限訪問所有資源的特點。但是在實際的商用模型中,系統管理員的權限不應該包括窺探和篡改業務數據。所以,商用需求和技術實現之間就存在這樣的矛盾。
網神SecSSM將超級用戶當作一般用戶看待,即超級用戶也無法跨越網神SecSSM的安全屏障去訪問未經的文件。這樣既可以防止敏感數據(如財務、人事等)泄露,也可以防止由于超級用戶誤操作而給系統帶來的損失。網神SecSSM把不同的權限分配給不同的角色,從而分散了超級用戶的權力。網神SecSSM由安全管理員進行制定、實施安全策略。但安全管理員不一定具有系統本身的用戶帳戶。安全管理員只是在系統安全基礎之上再做一層安全配置。這樣不管是什么用戶想獲得相應的權限他必須同時具有操作系統的權限和安全管理員賦予給他的網神SecSSM的權限。任何一個人的操作都是由安全內核來監督的。這樣,即便是超級用戶,也無法超越訪問資源,從而解決了需求和技術實現之間的矛盾。同時,取得了超級用戶權限,也無法突破網神SecSSM的安全策略,訪問敏感資源。
2、強訪問控制
網神SecSSM對資源的保護采用訪問控制列表(ACL)的方式。哪些人對哪些資源有什么樣的訪問權限*是由對系統及安全有較深理解的安全管理員確定的,從而避免了上述問題。網神SecSSM的訪問控制保護與操作系統原有的訪問控制相比,還具有如下明顯的增強:
操作系統采用自主存取控制機制。安全性更高的B1級采用強制存取控制機制,強制存取控制(MAC, Mandatory Access Control) 提供了基于信息機密性的存取控制方法,用于將系統中的用戶和信息進行分級別、分類別管理,強制限制信息的共享和流動,使不同級別和類別的用戶只能訪問到與其有關的、范圍的信息,從根本上防止信息的丟失和訪問混亂現象。尤其適用于軍事、政府重要部門和金融領域。
強制訪問控制是“強加"給訪問主體的,即系統強制主體服從訪問控制政策。強制訪問控制(MAC)的主要特征是對所有主體及其所控制的客體(例如:進程、文件、段、設備)實施強制訪問控制。為這些主體及客體敏感標記,這些標記是等級分類和非等級類別的組合,它們是實施強制訪問控制的依據。系統通過比較主體和客體的敏感標記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的敏感標記,從而系統可以防止特洛伊木馬的攻擊。
強制訪問控制一般與自主訪問控制結合使用,并且實施一些附加的、更強的訪問限制。一個主體只有通過了自主與強制性訪問限制檢查后,才能訪問某個客體。用戶可以利用自主訪問控制來防范其它用戶對自己客體的攻擊,由于用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層以防止其它用戶偶然或故意地濫用自主訪問控制。
3、審計跟蹤
審計是對訪問控制的必要補充,是訪問控制的一個重要內容。審計會對用戶使用何種信息資源、使用的時間,以及如何使用(執行何種操作)進行記錄與監控。審計和監控是實現系統安全的道防線,處于系統的層。審計與監控能夠再現原有的進程和問題,這對于責任追查和數據恢復非常有必要。
審計跟蹤是系統活動的流水記錄。該記錄按事件從始至終的途徑,順序檢查、審查和檢驗每個事件的環境及活動。審計跟蹤通過書面方式提供應負責任人員的活動證據以支持訪問控制職能的實現(職能是指記錄系統活動并可以跟蹤到對這些活動應負責任人員的能力)。審計跟蹤記錄系統活動和用戶活動。系統活動包括操作系統和應用程序進程的活動;用戶活動包括用戶在操作系統中和應用程序中的活動。通過借助適當的工具和規程,審計跟蹤可以發現違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助于幫助系統管理員確保系統及其資源免遭非法用戶的侵害,同時還能提供對數據恢復的幫助。
網神SecSSM的用戶追蹤功能,可實時收集和追蹤訪問服務器的時間、訪問者、訪問內容等等。可以以用戶/ip的形式來查看跟蹤記錄,即使服務器被非法入侵,刪除系統、安全等日志,也可以通過查看網神SecSSM日志來進行事后的審計追蹤。
4、系統監控
網神SecSSM的系統監控功能可對服務器的資源進行監控,主要包含以下功能:
系統監控:
?系統設置:設置系統的各種監控閥值
?進程監視:查看進程狀態,設置進程監控的各種數據
?進程設置:設定進程使用的限制
?文件設置:設定文件系統使用情況的監控
?網絡狀態:設定各種網絡服務監控狀態
?系統性能:設置系統性能監控
系統設置屬性包括以下類型:
?CPU使用率
?隊列數量
?頁面掃描數量
?可用交換分區大小
?磁盤 I/O
?進程數量
?進程限制(CPU)
在系統監控設置中可以對服務器監控資源設置各種閥值,系統的各種屬性達到閥值的設置時網神SecSSM就會執行相關的動作并會向特定的主機發送報警信息,網神SecSSM監控程序會以多種方式進行報警,包括發送報警信息和電子郵件等。
一.安全需求
隨著國民經濟和社會事業的發展,網絡信息技術在人們的日常工作和生活中發揮著越來越重要的作用,人們在積極參與國民經濟和社會信息化進程的同時,也在充分享受信息技術為我們工作和生活所帶來的便利。各種網站所面臨的Web應用安全問題越來越復雜,安全威脅正在飛速增長,尤其混合威脅的風險,如攻擊、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用等,極大地困擾著用戶,給組織的信息網絡和核心業務造成嚴重的破壞。能否及時發現并成功阻止網絡的入侵和攻擊、保證Web應用系統的安全和正常運行成為目前所面臨的一個重要問題。
二.網神SecSSM 3600服務器安全加固與管理系統產品部署
網神SecSSM 3600服務器安全加固與管理系統采用C/S接入方式,在單位部署過程中,不對服務器配置做任何更改,也不改變網絡結構,其具體部署如下圖所示:
三.方案優點
采用網神SecSSM 3600服務器安全加固與管理系統對操作系統加固后,從技術和管理層面減少了用戶的風險,增強了方便性。在系統安全,權限分離,服務器監控,日常維護各個方面改善了用戶的操作經驗。
1.服務器整體安全保證
在操作系統層面,加固涵蓋了從身份鑒別,用戶管理,網絡訪問,文件訪問,注冊表保護,進程保護等系統安全的每個階段。
加強認證,采用證書的方式來提高認證和的級別和強度
對操作系統本身的加固,防止緩沖區溢出等攻擊
對進程穩定運行的保護,確保正常服務的提供
對注冊表進行保護,禁止非修改
*的模式,非程序無法運行
系統用戶的權限分離,尤其是超級用戶
系統資源如文件、目錄等強訪問控制,擴展操作系統本身的訪問屬性,并進一步對訪問的時間、來源進行控制
2.服務器狀態統一監控
在管理多個同構或異構服務器時,能夠監控每臺服務器的內存、硬盤、網絡訪問狀態等信息,并可方便的實時設置用戶及文件權限,簡化了用戶的操作。
3.分級的全面實現
由網神公司獲得的基于數字簽名證書保護文件系統的方法和裝置,能夠根據用戶的身份進行,結合給用戶發放的數字證書,對不同用戶的操作權限進行了限制,特別適用于多級管理的用戶,不同級別的用戶行使不同的權限。
4.安全策略的清晰體現
為便于對服務器的日常維護,需要對服務器的安全策略進行導入導出,既可以對同類服務器快速部署,也便于對服務器進行策略恢復。網神產品能夠將服務器安全策略導出為文件,同時還能將策略另存為EXCEL文件,方便對策略的整體查看和管理。
5.安全狀況的完整報告
網神SecSSM 3600服務器安全加固與管理系統對系統審計日志和訪問控制審計日志通過多種圖表形式生成報告,利用網神SecSSM 3600服務器安全加固與管理系統自帶的報表工具,能夠對當前的日志情況進行分析,了解系統當前的安全狀況。
四.網神SecSSM 的主要功能實現及特點
1.安全功能
強制的訪問控制功能:內核級實現文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制,服務強制訪問控制。
安全審計功能:文件的完整性檢測、服務的完整性檢測,WEB請求監測過濾。
系統自身的保護功能:保護系統自身進程不被異常終止、偽造、信息注入。
2.安全等級
提供國家第三級安全等級標準的安全功能。
3.可操作性
*兼容Windows 、Linux、Unix系統,專業的、人性化的操作界面,運行開銷小,不會引起能察覺的系統延時,對用戶透明。
跨平臺管理
網神SecSSM支持AIX、HP-UX、Solaris、Tru64以及Linux和Windows NT/2000/XP/2003等多種操作系統,并且同一平臺支持不同的操作系統。
訪問控制
訪問控制分為強制訪問控制和自主訪問控制,強制訪問控制主要是一個客體只能是由一個主體才能訪問,自主訪問控制是一個客體可以為多個主體訪問,根據不同的主體分配不同的權限。
用戶追蹤
網神SecSSM的用戶追蹤功能,可實時收集和追蹤訪問服務器的時間、訪問者、訪問內容等等。可以以用戶/ip的形式來查看跟蹤記錄,即使服務器被非法入侵,刪除系統、安全等日志,也可以通過查看網神SecSSM日志來進行事后的審計追蹤。
注冊表保護機制
網神SecSSM對系統注冊表提供保護功能,可以對注冊表鍵值進行保護,防止用戶或程序非法修改注冊表。
進程保護機制
網神SecSSM提供了一套進程保護機制,可以防止惡意用戶破壞系統或重要進程,從而保障系統的正常運轉。
完整性保護技術
提供系統存儲數據的完整性保護,提供系統服務的完整性保護。
網絡控制機制
網神SecSSM在網絡控制管理功能實際上調用了主機的防火墻模塊,通過圖形化的方式來配置策略從而降低操作的復雜性。根據TCP、UDP協議控制網絡的進出,通過功能強大的網絡服務及IP地址控制,可以很好的限制用戶訪問系統資源。
