(5)防止程序非法终止
S-NUMEN 提供进程保护功能,通过防止进程的非法终止保证服务器的稳定运行。被S-NUMEN 保护的进程无法kill,即使是root用户不通过认证也无法终止被保护的进程。进程被S-NUMEN 保护后, 除通过电子签名认证过程并取得认证的安全管理员之外,任何人都无法停止相应程序的运行。该功能设置到需要持续提供服务的程序(例如,Web服务器程序、DNS 程序、邮件服务器程序等)中,是非常有用的功能,可防止由于非法取得系统 root权限而引起中断服务的事故。
S-NUMEN提供了对进程的保护,截取发向进程的sigkill、sigstop和sigterm信号。被保护的进程可以正常或异常推出,但是不能被非授权用户(包括root)杀死。
传统的Unix没有对进程的保护措施。进程的属主和root可以用kill命令杀死正在运行的进程。实际上,一些关键的进程如数据库守护进程、应用程序进程等应该一直运行,不应该被杀死。
S-NUMEN 提供了对进程的保护,他截取了发向进程的sigkill、sigstop和sigterm信号。被保护的进程可以正常或异常退出,但是不能被非授权的用户(包括root)杀死。这就保护了误操作造成的关键进程的异常中止,保障了系统的可靠性,只有通过认证的超级用户(安全管理员)可以结束进程。
(6)程序自动权限设置
由于S-NUMEN 会控制未经过电子签名认证过程的用户(程序)访问已设置了访问权限的文件,所以,未获得认证的用户(程序)无法访问设置了访问权限的文件。
但是,如是在系统中不停运行的程序,它不是用户程序,所以无法经过认证过程。 如果对运行这种程序所需的文件设置了访问权限,程序无法被访问,因此会无法正常运行。
在这种情况下,S-NUMEN 通过“程序自动权限设置”,设置为赋予相应程序以适当的权限,可保障在运行相应程序时,自动分配相应权限,程序即可正常运行。
S-NUMEN 中对设置访问控制的文件通过证书进行认证,所以没有获得认证的用户(进程)不能访问受保护的文件。但作为在系统中运行的进程因不是用户不能进行认证过程.因这些进程无法访问不能正常运行。
在这样的情况下通过[自动权限文件设置]对相应进程赋与适当权限,这样可以保障进程的正常运行。
(7)Setuid 控制-特权程序控制
控制执行文件时UID变化的文件。例如象对系统的口令文件记录信息的 passwd 程序,为执行命令以root权限运行。SUID因临时对用户赋予更大的权限,所以对设置Setuid位的所有系统中的程序要监控它的变化。
S-NUMEN在安装时会自动检测系统中的特权程序,将这些特权程序加入S-NUMEN资源列表中,安全管理员可以通过配置,限制特权程序的使用,如果没有S-NUMEN的授权,即使root用户也不能使用特权程序,这样就可以进一步加强系统的安全性。通过S-NUMEN向用户颁发的数字签名证书,只有通过数字签名证书认证的用户可以使用特权程序。
(8)网络控制服务
S-NUMEN网络控制具备了系统防火墙功能,该功能控制远程对服务器IP或服务的访问。通过功能强大的网络服务及IP地址控制,可以很好的限制用户访问系统资源。
S-NUMEN 提供的系统防火墙功能允许对TCP、UDP以及ICMP等数据包进行内外访问的控制,并且可以对以用户为主体进行网络访问控制。
(9)登录服务控制
S-NUMEN 提供对登录服务的限制,这些服务包括 :
“telnet”、 “ftp”、 “rlogin”、“dtlogin”。 S-NUMEN 具备了识别不同登录过程中使用的系统调用序列来拦截用户登录过程,在S-NUMEN中添加相应的策略,可以限制用户使用telnet、ftp、rlogin、dtlogin、ssh等多种登录系统的方式。
a)过识别不同登录过程中使用的系统调用序列来拦截用户登录过程
S-NUMEN具备了识别不同登录过程中使用的系统调用序列来拦截用户登录过程,在S-NUMEN中添加相应的策略,可以限制用户使用telnet、ftp、rlogin、dtlogin、ssh等多
种登录系统的方式。
b)限制用户登录的终端
S-NUMEN具备用户登录访问控制功能,可以很好的实现限制用户登录终端的目的,通过S-NUMEN管理控制台,安全管理员可以设置系统用户允许登录的终端IP地址,该用户只有使用策略中允许的终端才可以登录到系统中。
c)限制用户的登录段
S-NUMEN可以对用户的登录时间段进行限制,这些策略包括用户在一周中的哪天可以登录,一天中的某个时间段可以登录,以及某个特定的时间段可以登录。
d)控制用户登录时可以输入错误口令的次数
通过S-NUMEN 控制台用户认证管理,可以设置用户登录输入错误口令的次数。并且当某种登录连接(例如:telnet、ftp)在一段时间没有任何操作时,S-NUMEN可以自动断开连接。
(10)入侵响应-系统IPS
当系统发生入侵行为或者违反安全策略的操作时,S-NUMEN利用自身功能对用户(程序)在网络层和系统内部对该用户(程序) 进行阻断,并且由系统向管理员进行报警。在报警条件中添加相应的报警规则,S-NUMEN可对入侵行为和违反安全策略的用户(程序)进行阻断。当有违反安全规则的情况出现时,S-NUMEN 服务器端会向特定的系统发送报警信息,S-NUMEN监控程序会以多种方式进行报警。
S-NUMEN IPS功能特点:
1)不同于网络级IPS产品,S-NUMEN IPS功能不存在误报率问题。网络级IPS可以对试图入侵的行为做出报警和主动响应,然而入侵者可以利用伪造IP地址发送数以万计的攻击数据包,从而造成大量的误报。同时,如果网络IPS规则应对不好,还会造成大量的合法IP地址被屏蔽。S-NUMEN IPS会主动攻击已经发生的入侵或者破坏行为,而不是攻击那些“试图”入侵行为,这从根本上避免了误报问题。
2)如果破坏者拥有“合法身份”,只要他违反了S-NUMEN IPS制定的规则,S-NUMEN IPS仍然会第一时间对这种入侵行为进行主动攻击。系统管理员拥有服务器最高操作权限,当一个用户通过某种方法获得该帐号,那么他都可以正常登录这台服务器。这时,网络级IPS不会对这个用户的任何操作做出响应,因为他是“正常”登录。然而只要这个用户做出具有
破坏行为的操作,S-NUMEN IPS就会对这个用户做出主动攻击。
3)S-NUMEN IPS可以制定任何主动防御规则,这个规则可以归纳为8个类型:文件 权限 登录 网络 进程 系统 认证 入侵。即使再复杂的系统,通过合理的规则制定,S-NUMEN IPS可以保证应对任何非法入侵或者破坏。
(11)日志系统及设置
日志审计和日志管理对于网络安全会起到重要作用,S-NUMEN拥有独立的日志审计系统,通过方便的检索可以方便安全管理员的工作。S-NUMEN的日志生成是在内核级上实现的,日志根据设置也可不生成,当生成时,还可以设置是否按项目设置生成,所以应视系统存储空间的大小进行适当设置来使用。S-NUMEN提供多种检索功能,方面管理员的管理工作。 注释:S-NUMEN的日志可以独立生成,也可通过系统本身(syslogd命令)结合成系统日志,这种方式对于大型网络,可以将日志记录在一个统一的日志服务器中进行管理。并且S-NUMEN支持各种第三方安全审计软件。
(12)程序自身保护功能(Self-Security)
作为一个安全产品,首先需要考虑自身的安全性,以防止当黑客入侵时,产品失去应有的安全保护功能。S-NUMEN采用内核密封(Kernel Sealing)技术,可防止内核模块的Loading/Uploading,阻断入侵者对内核层的恶意攻击;通过隐藏自身的安全模块(Kernel Stealth)的功能,尽可能避免了由于安全产品暴露所导致的黑客攻击,进一步降低安全风险,使非法者不能察觉S-NUMEN在系统中的存在;并且通过对安装程序的目录及文件的自动保护,来防止删除与卸载,S-NUMEN采用了以上多种技术保证了在自身安全的情况下持续的维护系统安全。
(13)跨平台管理
S-NUMEN支持主流操作系统(Linux/Sun Solaris/IBM AIX/HP UNIX/ Unixware /Windows NT、2000),在需要管理的服务器中如果有多操作系统平台的服务器,S-NUMEN 管理端可以进行统一的管理,实现必要的安全策略。S-NUMEN可以同时管理不同操作系统的服务器,并且在不同操作系统中功能完全一致,显示了良好的跨平台性。
(14)远程站点信息
用户通过S-NUMEN管理控制台可以查看系统的一些重要信息。利用S-NUMEN管理控制台连接到安装S-NUMEN的服务器上,用户可以通过界面化的方式,查看系统中的重要信息。这为管理员提供了一种十分便捷的管理方法。
可以显示远程站点的系统信息:
? 远程系统信息
? 远程系统磁盘信息
? 网络状态
? 系统信息
? 登录信息
(15)防止非法结束系统功能(reboot, shutdown 等)
黑客侵入系统后试图通过非法结束系统,如关机或重启的方式,来导致系统不能正常工作,S-NUMEN 可以防止未经授权的超级用户中断系统,只有获得认证的用户才能结束系统。
(16)当系统意外断电,启动后系统保持原有的安全设置
当系统断电重起后,系统保持原有的安全设置,这样避免由于系统重起的弱点而造成的安全隐患。
(17)提供"test"模式(模拟运行)功能
对所有安全控制策略的实施,S-NUMEN还提供了模拟运行--"TEST"模式,以此减少因配置安全策略引起的问题。在该模式下,S-NUMEN的安全策略不产生真正的控制和禁止动作,仍然允许用户象没有S-NUMEN一样访问资源,但是这些访问都被记录在审计日志中,供审计人员检查。在安全策略的实施过程中,我们先采用"TEST"模式,就可以检查设置的安全策略是否会影响业务的正常运行,是否真正保障系统的安全等等。这为我们顺利实施S-NUMEN提供了保障。
七、产品应用 (1)产品运行环境
(2)产品应用领域
产品适用范围: - 数据库服务器 - 网站服务器 - 邮件服务器 - 应用服务器
- 文件服务器等所有需要安全保护的系统。