长期以来信息安全对基于网络应用的外部防范技术关注较多,而通过系统内核加固技术对内网核心系统进行有效的保护,筑起数据安全的最后一道防线,正在成为继网络层应用层网络安全产品后已成为信息安全产品的发展趋势。
二、 安全产品的局限性
由于互联网应用的不断延伸,使得信息环境以及信息技术能够快速发展和层出不穷。 随着互联网环境的不断变化,信息安全产品和服务一定要保证开放式网络环境的安全。信息安全产品的发展也在适应着网络发展的需要,单纯的网络级安全产品已经不能适应日益复杂的网络安全需要。信息安全产品已经逐步的从被动的防止攻击,保护系统和网络不被入侵,发展到能够主动检测并防御系统和网络本身的信息安全产品。
新的发展趋势表明,越来越多的公司和机构把安全的中心转移到核心系统安全上来,这些服务器中存储了信息数据,因为信息安全的核心目的是保护服务器中的重要数据不被入侵和数据窃取。
Firewall的局限性:
? 只保护通过防火墙的通讯,而不是保护系统 ? 无法应对利用应用程序漏洞进行的攻击 ? 无法阻止内部人员的攻击
? 对防火墙策略不能进行合理的配置
Host IDS的局限性:
? 进行检测没有主动防御的功能
? 只有已知的攻击可以被检测
? 无法保护审计日志
? 无法对自身进行保护
Network IDS的局限性:
? 只有已知攻击可以被检测
? 高误报率使管理员无法应对
? 使用迂回的方法躲避入侵检测系统
? 只是对网络的检测,没有保护网络和系统的功能
三、 产品概述
内网核心安全最佳解决方案:
操作系统作为计算机系统的基础软件是用来管理计算机资源,它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可用性和信息的完整性、机密性,必须依赖于操作系统提供的系统软件基础。在网络环境中,网络系统的安全性依赖于网络中各系统的安全性,而系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。
所以,操作系统安全是计算机网络系统安全的基础。而服务器及其上的业务数据又是被攻击的最终目标。因此,部署安全产品,加强对关键服务器的安全控制,是增强系统总体安全性的核心一环。
S-NUMEN是国内一家自主知识产权支持跨平台的系统保护(安全操作系统)产品,它在操作系统的安全功能之上提供了一个安全保护层,通过从内核层截取文件访问控制方式,加强操作系统安全性。S-NUMEN支持IBM AIX、HP-UX、Solaris、Compaq Tru64以及RedHat Linux和Windows NT多种系统。即使一个未经授权的入侵者获得系统管理员权限,他也不能对系统及数据进行窃取或篡改,从而在根本上防止由于操作系统自身缺陷所造成的入侵。
百度搜索:99建筑网,查看数百万资料
四、技术原理
信达的S-NUMEN作为操作系统级系统保护产品,是在不改变操作系统内核的情况下,对核心服务器进行保护。
S-NUMEN工作原理如下:
Unix操作系统有一个系统调用表,包含指向每个系统调用的内存地址的指针。应用程序对资源的访问、对硬件设备的使用、进程间的通讯都是通过系统调用接口在操作系统内核中实现的。安全内核保存了该表中与安全有关的系统调用的指针,并把这些系统调用重定向到S-NUMEN的相应代码。当用户或程序执行一个与安全有关的系统调用时,S-NUMEN系统调用代码会检查S-NUMEN数据库。如果调用是被授权的,S-NUMEN调用原来的Unix系统调用,就像S-NUMEN没有安装一样。否则,安全内核返回权限错误,禁止该请求。
这种实现方式与应用级的安全产品比较有着明显的优势。系统入侵检测产品作为应用层产品出于本身安全性考虑以及功能上无法到达系统保护的功能。网络级入侵检测产品和防火墙作为网络级安全产品从技术原理上讲不具备内网核心安全的要求。
同时,S-NUMEN产品与其他系统保护产品的优势在于它不需要修改操作系统内核并且无需重启系统,这种方式完全满足现有高端服务器的要求。而其它系统保护产品不但使系统管理和支持复杂了,也会违背操作系统的供应商授权-使操作系统维护更困难,增加了巨大的开支。
五、产品特征
1.实现内网核心安全
当防火墙、入侵检测、VPN等网络级安全产品不能满足日益受到威胁的内网核心安全时,S-NUMEN作为系统级系统保护产品可以保证内网核心服务器的安全。由于来自于内部外部的网络入侵事件频频发生,企业的网络和其他重要的服务器前所未有地暴露在黑客及非授权内部人员的侵入和攻击的威胁下。S-NUMEN能够防止非授权的访问,使内网核心服务器安全运行。
2.基于数字签名的用户认证
大部分信息系统使用ID和口令保护自身安全。但是单独的口令不能带来充分的保护,它们很容易被共享和猜出来。有时候,口令会遭到野蛮攻击和词典攻击。S-NUMEN利用数字签名证书机制保证了用户身份识别的可靠性。
3.不修改操作系统内核,无需重启系统
S-NUMEN是系统级安全产品,在加强操作系统安全的同时,并不对系统的内核进行修改,从而保证了关键业务服务器的稳定运行。除此之外,在服务器安装S-NUMEN后,系统无需重启,避免了服务器重启所产生的不必要损失。
4.提升现有操作系统的安全级别
WINDOWS、UNIX系统大多为C2级,采用自主存取控制机制。安全性更高的B1级采用强制存取控制机制,强制存取控制(MAC) 提供了基于信息机密性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其有关的、指定范围的信息,从根本上防止信息的丢失泄密和访问混乱现象。尤其适用于军事、政府重要部门和金融、电力领域。
5.跨平台支持功能
S-NUMEN是国内第一家自主知识产权支持跨平台的系统保护(安全操作系统)产品,S-NUMEN能够提升每个系统的安全性,以满足整个业务的安全需求。S-NUMEN支持包括UNIX、
Linux和Windows在内的多种平台。
6.权限分离
操作系统访问控制以及操作系统漏洞的最佳策略是任务分离和最小权限原则。 S-NUMEN通过RBAC(角色访问控制)、MAC(强制访问控制)将安全管理员的权限分离。严格分开系统管理员和安全管理员的权限,以控制系统管理员的权限,来防止内外人员通过非法获得系统管理员权限破坏文件系统信息。
7.堆栈溢出保护
S-NUMEN能够防止黑客利用堆栈溢出的机会,从而可以阻止黑客执行任意指令、侵入系统。
六、产品功能
(1)数字签名认证机制
为了达到内网核心安全的目的,S-NUMEN采用了数字签名证书为基础并结合访问控制的技术。当安全内核安装后,没有通过数字签名证书认证的用户,即使获得了管理员权限,也不能访问被安全内核保护的资源。
S-NUMEN通过接管系统所有访问控制权限,实际上取消了“超级用户”(root)权限,通过使用数字签名证书认证机制,达到用户认证目的。用户或者其他非法入侵者即使获得了超级用户口令也无法访问系统重要资源。
对系统管理员或用户颁发数字签名证书,通过基于操作系统内核级的认证机制完成用户登录过程。
(2)帐号管理
S-NUMEN提供远程站点的unix用户帐户及组管理功能。S-NUMEN在内核层基于证书进行认证,提高安全强度,所以为控制安全管理员配置的文件要用安全管理员发行的证书得到认证。
(3)口令质量控制
S-NUMEN为管理员提供了口令质量控制的功能,管理员可以利用这项功能实现密码的质量控制,如:设置密码的最大长度和最小长度,密码中出现的特殊字符的最少数量,当口令更改后,该密码的使用期限等。通过S-NUMEN与系统结合,S-NUMEN提供了对用户登录口令的管理,S-NUMEN 将口令质量控制分为两部分:密码更改期限&密码登录限制和密码格式。 这些口令质量控制规则如下:
? 一旦口令被更改,那么该口令将在多少时间内不允许再次更改。
? 当口令更改后,该密码的使用期限。
? 该帐户被注销的期限。
? 帐户距注销时间还剩多少时对该用户进行通知。
? 试图更改密码的次数。
? 密码中存在数字的数量。
? 密码的最大长度和最小长度。
? 密码中存在的字符串大写字母和小写字母的最少数量。
? 密码中出现的数字的最少数量。
? 口令不能重复的期限。
? 密码中出现的特殊字符的最少数量。
? 与以前密码之间至少有多少个字符不一样。
? 创建的用户名至少与其他用户名有多少个字符的区别。
? 利用口令字典限制某些特定词做口令。
? 禁止使用的用户。
(4)文件的访问控制
S-NUMEN 允许已经通过认证的S-NUMEN 用户或该组访问由S-NUMEN保护的文件。S-NUMEN 可以控制多达17种的系统调用,S-NUMEN将对照相应的列表实现对用户的控制。UNIX本身用户对用户、组成员、其他用户拥有读、写、删除等控制权限,通过S-NUMEN 可以实现更强大的安全策略,由S-NUMEN 控制的文件,即使root用户也不能对其进行访问。 提供有条件的访问控制列表的方式对资源保护:
S-NUMEN 可根据用户的需求,依据用户、组、文件、任务、权限等配置安全策略,制定详细的访问控制,可管理23个以上的系统调用,对文件、系统、进程等系统资源进行保护。并可防止由攻击引起的对数据的篡改, 阻止非授权用户中断进程和守护进程,保障服务器的稳定运行。
限制访问资产的方式。:
按组、用户、操作等分类的多种访问控制功能。
(a)S-NUMEN 可以建立基于用户的访问控制,可以根据业务及责任建立信息策略。 (b)S-NUMEN 可以建立基于Group的访问控制。
(c)多样的Operation Control 功能(控制17个以上的 Permission),控制17个以上的访问控制。
注释:数据库中最基本的单位是文件,实现对文件访问权限控制即可达到对数据库的保护。
辽公网安备 21020302000024号工信部备案号: 辽ICP备15011726号-5
