久久建筑网(m.kkreddy.com)致力打造一个专业的建筑学习分享平台! 用户登陆 免费注册 | 每日签到 | 金币充值| 会员中心 | 上传资料
  位置提示: 主页 > 隐藏域 > 资料库 > 正文

电力系统自动化系统核心防护.doc(5)

//m.kkreddy.com 15-09-29 点 击: 1 字体: 【


(5)防止程序非法终止

S-NUMEN 提供进程保护功能,通过防止进程的非法终止保证服务器的稳定运行。被S-NUMEN 保护的进程无法kill,即使是root用户不通过认证也无法终止被保护的进程。进程被S-NUMEN 保护后, 除通过电子签名认证过程并取得认证的安全管理员之外,任何人都无法停止相应程序的运行。该功能设置到需要持续提供服务的程序(例如,Web服务器程序、DNS 程序、邮件服务器程序等)中,是非常有用的功能,可防止由于非法取得系统 root权限而引起中断服务的事故。

S-NUMEN提供了对进程的保护,截取发向进程的sigkill、sigstop和sigterm信号。被保护的进程可以正常或异常推出,但是不能被非授权用户(包括root)杀死。

传统的Unix没有对进程的保护措施。进程的属主和root可以用kill命令杀死正在运行的进程。实际上,一些关键的进程如数据库守护进程、应用程序进程等应该一直运行,不应该被杀死。

S-NUMEN 提供了对进程的保护,他截取了发向进程的sigkill、sigstop和sigterm信号。被保护的进程可以正常或异常退出,但是不能被非授权的用户(包括root)杀死。这就保护了误操作造成的关键进程的异常中止,保障了系统的可靠性,只有通过认证的超级用户(安全管理员)可以结束进程。

(6)程序自动权限设置

由于S-NUMEN 会控制未经过电子签名认证过程的用户(程序)访问已设置了访问权限的文件,所以,未获得认证的用户(程序)无法访问设置了访问权限的文件。

但是,如是在系统中不停运行的程序,它不是用户程序,所以无法经过认证过程。 如果对运行这种程序所需的文件设置了访问权限,程序无法被访问,因此会无法正常运行。

在这种情况下,S-NUMEN 通过“程序自动权限设置”,设置为赋予相应程序以适当的权限,可保障在运行相应程序时,自动分配相应权限,程序即可正常运行。

S-NUMEN 中对设置访问控制的文件通过证书进行认证,所以没有获得认证的用户(进程)不能访问受保护的文件。但作为在系统中运行的进程因不是用户不能进行认证过程.因这些进程无法访问不能正常运行。

在这样的情况下通过[自动权限文件设置]对相应进程赋与适当权限,这样可以保障进程的正常运行。


(7)Setuid 控制-特权程序控制

控制执行文件时UID变化的文件。例如象对系统的口令文件记录信息的 passwd 程序,为执行命令以root权限运行。SUID因临时对用户赋予更大的权限,所以对设置Setuid位的所有系统中的程序要监控它的变化。

S-NUMEN在安装时会自动检测系统中的特权程序,将这些特权程序加入S-NUMEN资源列表中,安全管理员可以通过配置,限制特权程序的使用,如果没有S-NUMEN的授权,即使root用户也不能使用特权程序,这样就可以进一步加强系统的安全性。通过S-NUMEN向用户颁发的数字签名证书,只有通过数字签名证书认证的用户可以使用特权程序。

(8)网络控制服务

S-NUMEN网络控制具备了系统防火墙功能,该功能控制远程对服务器IP或服务的访问。通过功能强大的网络服务及IP地址控制,可以很好的限制用户访问系统资源。

S-NUMEN 提供的系统防火墙功能允许对TCP、UDP以及ICMP等数据包进行内外访问的控制,并且可以对以用户为主体进行网络访问控制。

(9)登录服务控制

S-NUMEN 提供对登录服务的限制,这些服务包括 :

“telnet”、 “ftp”、 “rlogin”、“dtlogin”。 S-NUMEN 具备了识别不同登录过程中使用的系统调用序列来拦截用户登录过程,在S-NUMEN中添加相应的策略,可以限制用户使用telnet、ftp、rlogin、dtlogin、ssh等多种登录系统的方式。

a)过识别不同登录过程中使用的系统调用序列来拦截用户登录过程

S-NUMEN具备了识别不同登录过程中使用的系统调用序列来拦截用户登录过程,在S-NUMEN中添加相应的策略,可以限制用户使用telnet、ftp、rlogin、dtlogin、ssh等多


种登录系统的方式。

b)限制用户登录的终端

S-NUMEN具备用户登录访问控制功能,可以很好的实现限制用户登录终端的目的,通过S-NUMEN管理控制台,安全管理员可以设置系统用户允许登录的终端IP地址,该用户只有使用策略中允许的终端才可以登录到系统中。

c)限制用户的登录段

S-NUMEN可以对用户的登录时间段进行限制,这些策略包括用户在一周中的哪天可以登录,一天中的某个时间段可以登录,以及某个特定的时间段可以登录。

d)控制用户登录时可以输入错误口令的次数

通过S-NUMEN 控制台用户认证管理,可以设置用户登录输入错误口令的次数。并且当某种登录连接(例如:telnet、ftp)在一段时间没有任何操作时,S-NUMEN可以自动断开连接。

(10)入侵响应-系统IPS

当系统发生入侵行为或者违反安全策略的操作时,S-NUMEN利用自身功能对用户(程序)在网络层和系统内部对该用户(程序) 进行阻断,并且由系统向管理员进行报警。在报警条件中添加相应的报警规则,S-NUMEN可对入侵行为和违反安全策略的用户(程序)进行阻断。当有违反安全规则的情况出现时,S-NUMEN 服务器端会向特定的系统发送报警信息,S-NUMEN监控程序会以多种方式进行报警。

S-NUMEN IPS功能特点:

1)不同于网络级IPS产品,S-NUMEN IPS功能不存在误报率问题。网络级IPS可以对试图入侵的行为做出报警和主动响应,然而入侵者可以利用伪造IP地址发送数以万计的攻击数据包,从而造成大量的误报。同时,如果网络IPS规则应对不好,还会造成大量的合法IP地址被屏蔽。S-NUMEN IPS会主动攻击已经发生的入侵或者破坏行为,而不是攻击那些“试图”入侵行为,这从根本上避免了误报问题。

2)如果破坏者拥有“合法身份”,只要他违反了S-NUMEN IPS制定的规则,S-NUMEN IPS仍然会第一时间对这种入侵行为进行主动攻击。系统管理员拥有服务器最高操作权限,当一个用户通过某种方法获得该帐号,那么他都可以正常登录这台服务器。这时,网络级IPS不会对这个用户的任何操作做出响应,因为他是“正常”登录。然而只要这个用户做出具有


破坏行为的操作,S-NUMEN IPS就会对这个用户做出主动攻击。

3)S-NUMEN IPS可以制定任何主动防御规则,这个规则可以归纳为8个类型:文件 权限 登录 网络 进程 系统 认证 入侵。即使再复杂的系统,通过合理的规则制定,S-NUMEN IPS可以保证应对任何非法入侵或者破坏。

(11)日志系统及设置

日志审计和日志管理对于网络安全会起到重要作用,S-NUMEN拥有独立的日志审计系统,通过方便的检索可以方便安全管理员的工作。S-NUMEN的日志生成是在内核级上实现的,日志根据设置也可不生成,当生成时,还可以设置是否按项目设置生成,所以应视系统存储空间的大小进行适当设置来使用。S-NUMEN提供多种检索功能,方面管理员的管理工作。 注释:S-NUMEN的日志可以独立生成,也可通过系统本身(syslogd命令)结合成系统日志,这种方式对于大型网络,可以将日志记录在一个统一的日志服务器中进行管理。并且S-NUMEN支持各种第三方安全审计软件。

(12)程序自身保护功能(Self-Security)

作为一个安全产品,首先需要考虑自身的安全性,以防止当黑客入侵时,产品失去应有的安全保护功能。S-NUMEN采用内核密封(Kernel Sealing)技术,可防止内核模块的Loading/Uploading,阻断入侵者对内核层的恶意攻击;通过隐藏自身的安全模块(Kernel Stealth)的功能,尽可能避免了由于安全产品暴露所导致的黑客攻击,进一步降低安全风险,使非法者不能察觉S-NUMEN在系统中的存在;并且通过对安装程序的目录及文件的自动保护,来防止删除与卸载,S-NUMEN采用了以上多种技术保证了在自身安全的情况下持续的维护系统安全。

(13)跨平台管理

S-NUMEN支持主流操作系统(Linux/Sun Solaris/IBM AIX/HP UNIX/ Unixware /Windows NT、2000),在需要管理的服务器中如果有多操作系统平台的服务器,S-NUMEN 管理端可以进行统一的管理,实现必要的安全策略。S-NUMEN可以同时管理不同操作系统的服务器,并且在不同操作系统中功能完全一致,显示了良好的跨平台性。


(14)远程站点信息

用户通过S-NUMEN管理控制台可以查看系统的一些重要信息。利用S-NUMEN管理控制台连接到安装S-NUMEN的服务器上,用户可以通过界面化的方式,查看系统中的重要信息。这为管理员提供了一种十分便捷的管理方法。

可以显示远程站点的系统信息:

? 远程系统信息

? 远程系统磁盘信息

? 网络状态

? 系统信息

? 登录信息

(15)防止非法结束系统功能(reboot, shutdown 等)

黑客侵入系统后试图通过非法结束系统,如关机或重启的方式,来导致系统不能正常工作,S-NUMEN 可以防止未经授权的超级用户中断系统,只有获得认证的用户才能结束系统。

(16)当系统意外断电,启动后系统保持原有的安全设置

当系统断电重起后,系统保持原有的安全设置,这样避免由于系统重起的弱点而造成的安全隐患。

(17)提供"test"模式(模拟运行)功能

对所有安全控制策略的实施,S-NUMEN还提供了模拟运行--"TEST"模式,以此减少因配置安全策略引起的问题。在该模式下,S-NUMEN的安全策略不产生真正的控制和禁止动作,仍然允许用户象没有S-NUMEN一样访问资源,但是这些访问都被记录在审计日志中,供审计人员检查。在安全策略的实施过程中,我们先采用"TEST"模式,就可以检查设置的安全策略是否会影响业务的正常运行,是否真正保障系统的安全等等。这为我们顺利实施S-NUMEN提供了保障。


七、产品应用 (1)产品运行环境

(2)产品应用领域

产品适用范围: - 数据库服务器 - 网站服务器 - 邮件服务器 - 应用服务器

- 文件服务器等所有需要安全保护的系统。

Word文件下载:电力系统自动化系统核心防护.doc(5).doc







  ※相关链接
  • ·综述电力系统自动化技术 (2015/10/07)
  • 热点排行 更多>>
    · 免费农村房屋设计图 附效果图
    · 结构力学视频教程[同济大学]80集
    · 新农村住宅设计图3套
    · 200多个施工工艺动画打包
    · 全套别墅施工图纸(cad文件)
    · 建筑施工手册第四版高清完整(共267M).rar
    · 广联达计价软件GBQ4.0初级视频教程
    · 一套别墅的施工效果图 CAD 3D模型
    · 02S701 砖砌化粪池图集免费
    · 05J909工程做法图集
    · 12J201平屋面建筑构造
    · 建筑专业标准规范大全
    · 12J1工程做法图集
    · 12J003室外工程图集
    · cad字体全集能显示钢筋符号
    · 11G329-1~3图集(合订本)
    · 12G901系列图集(1-3)
    · 2010广东省建筑与装饰工程综合定额(PDF版)
    · 广联达安装算量软件GQI2013视频教程全集
    · 建筑工程资料员一本通
    · 12G614-1 砌体填充墙结构构造
    · 常用建筑工程验收标准
    · 豪华别墅CAD全套+室内效果图
    · 三层超豪华别墅建筑和结构CAD图纸+效果
    · 施工组织设计实例大全
    · 2013建设工程工程量清单计价规范完整版
    · 05s502图集阀门井
    · 12G901-1~3
    · 07FJ02-《防空地下室建筑构造》图集(PDF清晰版
    · GB50268-2008 《给水排水管道工程施工及验收规
    · [福建]框架核心筒结构超高层商务综合体总承包工程
    · 2017年《造价管理》教材电子版
    · 给排水规范大全(2016)
    · 3层单家独院式别墅全套图纸(值得珍藏)
    · 工程监理新人岗前培训ppt课件
    · 2017年版一建-市政新思维标注考点版
    · GB50500-2013全套清单规范(内含所有专业)
    · 建筑老司机都懂的施工安全常识
    · 12YJ1-6图集大全
    · 2017年造价工程师考试用书
    · 一级建造师法规17教材
    · 宁夏标准图集大全
    · 建筑设计资料集精华本
    · 注册岩土工程师全套规范
    · 公共设施施工组织设计大全
    · 西南j11合订本
    · 供配电历年真题
    · JGJ39-2016托儿所幼儿园建筑设计规范
    · 一份完整的工程案例(图纸、算量稿)
    · 浙江省安装工程预算定额
    · 2016年一级建造师电子版教材
    · 中国暴雨统计参数图集(2006版)
    · 水工设计手册第一版(八卷全)
    · 西南11J图集合集
    · 2015造价师考试建设工程技术与计量安装教材
    · 民用建筑电气设计手册(第二版)
    · 给排水实践教学及见习工程师图册
    · 创意庭院
    · 中国十大著名地标建筑
    · 05图集电气
  • 数百万工程资料下载
    久久建筑网提供 图纸/书籍/方案/图集

  • 《梦幻西游》案例分析.ppt
    《梦幻西游》案例分析.ppt文献资料!

  • 日本佛教史
    日本佛教史。

  • 通达信文件修改对比工具Portable.exe
    通达信文件修改对比工具Portable.exe,所有同类文件同步比较,非常方便的一款对比工具。

  • 危险化学品安全管理条例(最新2011)
    危险化学品安全管理条例(最新2011),2011年3月发布的《危险化学品安全管理条例》。。

  • GBJ13-86 室外给水设计规范
    GBJ13-86 室外给水设计规范.pdfGBJ13-86 室外给水设计规范

  • 公务员辅导专家锁定21组经典公务员面试题
    公务员辅导专家锁定21组经典公务员面试题,公务员面试 公务员辅导专家锁定组经典公务员面试题表格 公

  • 2002版《水利工程施工机械台时费定额
    2002版《水利工程施工机械台时费定额2002版《水利工程施工机械台时费定额2002版《水利工程施工机械

  • 你是学生??
    最佳答案: //m.kkreddy.com 久久建筑网 是的!!!!建筑设计!! http://www.99jianzhu.

  • lecture07-2005
    lecture07-2005,代数图论--图的谱理论--最小割 与最大割 参考资料。

  • 卫生专业资格考试神经电生理(脑电图)技术考试练习题
    卫生专业资格考试神经电生理(脑电图)技术考试练习题,卫生专业资格考试神经电生理(脑电图)技术考

  • 百家讲坛之道德与法律
    百家讲坛之道德与法律.txt,百家讲坛。 “硫酸泼熊”引发的思考袁济喜 主讲人简介: 袁济喜中国人民

  • 求最大重复子串.ppt
    求最大重复子串.ppt,OI论文 字符串 ACM。

  • 2011昌平区初三一模数学试题(含答案)
    2011昌平区初三一模数学试题(含答案),2011中考复习资料之真题篇,新年华学校010-51663232。 金属

  • 作业十一
    作业十一,11。

  • 桥涵(上册)
    桥涵(上册).pdf

  • 育明教育:北京大学风景园林考研参考书,北大风景园林
    育明教育:北京大学风景园林考研参考书,北大风景园林考研复试线,北大考研专业课辅导 ,育明教育,五

  • DLT 5187.2-2004 火力发电厂运煤设计技术规程 第2部分
    DLT 5187.2-2004 火力发电厂运煤设计技术规程 第2部分:煤尘防治.pdf

  • 开童装注意事项
    开童装注意事项,s。 如何做好童装零售微软中国表格 如何做好童装零售?如何开好童装店? 分享到空间分

  • 西方经济学复习要点
    西方经济学复习要点,挺全的,应该有用。 《宏微观经济学》的期末复习大纲年月日朱志芬細明?、、、、

  • 复式楼装修方案dwg
    复式楼装修方案_dwg