網(wǎng)神SecSSM3600服務(wù)器安全加固與管理系統(tǒng)技術(shù)白皮書V2.0

..網(wǎng)神SecSSM3600服務(wù)器安全加固與管理系統(tǒng)技術(shù)白皮書LegendsecSecSSM3600TechnologyWhitepaper<LS-SP-P-SSM-2.0>網(wǎng)御神州科技〔北京..版權(quán)說明本文的內(nèi)容是網(wǎng)神SecSSM3600服務(wù)器安全加固與管理系統(tǒng)技術(shù)白皮書。文中的資料、說明等相關(guān)內(nèi)容的版權(quán)歸網(wǎng)御神州科技〔北京所有和保留。本文中的任何部分未經(jīng)網(wǎng)御神州科技〔北京〔以下簡稱"網(wǎng)御神州"許可,不得轉(zhuǎn)印、影印或復(fù)印、發(fā)行。2006-2010?版權(quán)所有網(wǎng)御神州科技〔北京商標(biāo)聲明本手冊中所談及的網(wǎng)御神州產(chǎn)品的名稱是網(wǎng)御神州的商標(biāo)。手冊中涉及的其他公司的注冊商標(biāo)屬各商標(biāo)注冊人所有,恕不逐一列明。聯(lián)系信息北京海淀區(qū)上地開拓路7號先鋒大廈二段1層2Section1F,XianfengBuilding,No.7KaituoRoadShangdiInformationIndustrayBase,HaidianDistrict,Beijing客服熱線〔CustomerServiceHotline：400-610-8220010-87002000〔FaxPostCode：100085目錄一、產(chǎn)品背景5二、產(chǎn)品概述6三、技術(shù)原理7四、產(chǎn)品結(jié)構(gòu)圖74.1產(chǎn)品邏輯結(jié)構(gòu)圖7五、產(chǎn)品特征85.1控制超級用戶85.2訪問控制9⑴強訪問控制10⑵自主訪問控制115.3審計跟蹤115.4系統(tǒng)監(jiān)控11六、產(chǎn)品功能146.1跨平臺管理146.2站點信息146.3外部程序146.4帳號管理146.5安全角色管理156.6文件的訪問控制156.7登錄服務(wù)控制156.8網(wǎng)絡(luò)控制166.9資源共享管理〔windows166.10注冊表訪問控制〔Windows166.11完整性檢查176.12防止程序非法終止〔unix176.13Setuid控制<Unix>186.14防黑客攻擊〔unix186.15Su控制<unix>196.16進程管理〔unix196.17運行模式196.18系統(tǒng)監(jiān)控196.19分布式策略206.20產(chǎn)品的安裝和卸載216.21程序自身保護功能216.22拒絕運行的程序216.23允許運行的程序216.24日志檢索216.25用戶追蹤226.26進程追蹤226.27報告向?qū)?36.28Agent信息導(dǎo)出23七、產(chǎn)品運行環(huán)境247.1網(wǎng)神SecSSMForAgent：247.2網(wǎng)神SecSSMESM：25..一、產(chǎn)品背景隨著Internet應(yīng)用的廣泛深入,信息安全問題日益引起人們的高度重視。目前常見的網(wǎng)絡(luò)安全防范措施主要是采用防火墻、入侵檢測系統(tǒng)、防病毒等安全產(chǎn)品。然而網(wǎng)絡(luò)安全是一項系統(tǒng)的工程,上述產(chǎn)品只能針對某一方面,解決部分安全問題。如今,黑客完全有可能透過防火墻將黑客工具裝入網(wǎng)絡(luò)發(fā)動內(nèi)部進攻。許多黑客也綜合采用多種手段來攻擊,如果只解決某一方面的安全問題,不能起到真正的安全作用,所以必需采用系統(tǒng)的解決方法。信息安全的最終目的就是對信息數(shù)據(jù)的安全保護。而和信息數(shù)據(jù)安全相接近的就是操作系統(tǒng)的安全。當(dāng)系統(tǒng)遭受了攻擊,就可能造成重要的數(shù)據(jù)、資料丟失,關(guān)鍵的服務(wù)器丟失控制權(quán)等極其嚴(yán)重的后果。長期以來網(wǎng)絡(luò)安全界對基于網(wǎng)絡(luò)應(yīng)用的外部邊界防范技術(shù)關(guān)注較多,而通過系統(tǒng)內(nèi)核加固對用戶信息的保密性、完整性、可靠性進行有效的防護,以守住數(shù)據(jù)安全的最后一道防線,正在成為繼應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品后又一行之有效的技術(shù)手段。二、產(chǎn)品概述計算機安全涉及到的各方面內(nèi)容中,操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的安全是主要問題,其中操作系統(tǒng)安全尤為關(guān)鍵。操作系統(tǒng)是計算機資源的直接管理者,所有應(yīng)用軟件都是基于操作系統(tǒng)來運行的,不能保障操作系統(tǒng)安全,也就不能保障數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全及其他應(yīng)用軟件的安全問題。因此構(gòu)建一個安全的操作系統(tǒng),成為提高計算機信息系統(tǒng)安全性的重要手段。操作系統(tǒng)安全是計算機網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)。而服務(wù)器以及業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)。因此,部署安全產(chǎn)品,加強對關(guān)鍵服務(wù)器的安全控制,是增強系統(tǒng)總體安全性的核心一環(huán)。網(wǎng)御神州公司的SecSSM是一款服務(wù)器安全內(nèi)核保護系統(tǒng),它不用更改操作系統(tǒng)就可以安裝,操作方便宜于系統(tǒng)管理和安全管理。網(wǎng)神SecSSM在操作系統(tǒng)的安全功能之上提供了一個安全保護層。通過截取系統(tǒng)調(diào)用實現(xiàn)對文件系統(tǒng)的訪問控制,以加強操作系統(tǒng)安全性。它具有完整的用戶認(rèn)證,訪問控制及審計的功能,采用集中式管理,克服了分布式系統(tǒng)在管理上的許多問題。網(wǎng)神SecSSM是一個支持跨平臺的訪問控制軟件,它支持AIX、HP-UX、Solaris、Tru64以及Linux和WindowsNT/2000/XP/2003等多種操作系統(tǒng)?？蓪Χ喾N操作系統(tǒng)進行統(tǒng)一管理,為管理員提供方便,可以保障服務(wù)器安全地提供持續(xù)的客戶服務(wù)。三、技術(shù)原理網(wǎng)神SecSSM在操作系統(tǒng)級別實現(xiàn)安全保護,它在不改變系統(tǒng)執(zhí)行文件,不修改內(nèi)核的情況下變成操作系統(tǒng)的一部分,可以在不重新編譯內(nèi)核的情況下實現(xiàn)安全控制功能。網(wǎng)神SecSSM工作原理如下：Unix操作系統(tǒng)有一個系統(tǒng)調(diào)用表,包含指向每個系統(tǒng)調(diào)用的內(nèi)存地址的指針。應(yīng)用程序?qū)Y源的訪問、對硬件設(shè)備的使用、進程間的通訊都是通過系統(tǒng)調(diào)用接口在操作系統(tǒng)內(nèi)核中實現(xiàn)的。安全內(nèi)核保存了該表中與安全有關(guān)的系統(tǒng)調(diào)用的指針,并把這些系統(tǒng)調(diào)用重定向到網(wǎng)神SecSSM的相應(yīng)代碼。當(dāng)用戶或程序執(zhí)行一個與安全有關(guān)的系統(tǒng)調(diào)用時,網(wǎng)神SecSSM系統(tǒng)調(diào)用代碼會檢查網(wǎng)神SecSSM數(shù)據(jù)庫。如果調(diào)用是被授權(quán)的,網(wǎng)神SecSSM調(diào)用原來的Unix系統(tǒng)調(diào)用,就象網(wǎng)神SecSSM沒有安裝一樣。否則,安全內(nèi)核返回權(quán)限錯誤,禁止該請求。這種實現(xiàn)方式與操作系統(tǒng)之上的實現(xiàn)方式比較具有巨大的優(yōu)勢。某些產(chǎn)品會替換某些系統(tǒng)工具<如/bin/su>,但還是可以被繞過,還會造成系統(tǒng)管理和維護的復(fù)雜。安全內(nèi)核也與某些永久更改操作系統(tǒng)的安全技術(shù)不同。這些技術(shù)不但使系統(tǒng)管理和支持復(fù)雜了,也會違背操作系統(tǒng)的供應(yīng)商授權(quán)-使操作系統(tǒng)維護更困難,費用增加。 由于系統(tǒng)實現(xiàn)方式不同,Windows系統(tǒng)上網(wǎng)神SecSSM實現(xiàn)方式是有不同的地方的,但是從原理來說都是相同的。四、產(chǎn)品結(jié)構(gòu)圖4.1產(chǎn)品邏輯結(jié)構(gòu)圖五、產(chǎn)品特征5.1控制超級用戶我們知道,超級用戶在操作系統(tǒng)中具有非常特殊的地位。超級用戶具有不受資源權(quán)限限制,以最大權(quán)限訪問所有資源的特點。但是在實際的商用模型中,系統(tǒng)管理員的權(quán)限不應(yīng)該包括窺探和篡改業(yè)務(wù)數(shù)據(jù)。所以,商用需求和技術(shù)實現(xiàn)之間就存在這樣的矛盾。更為嚴(yán)重的是,由于超級用戶的特殊性,某人一旦獲得了超級用戶權(quán)限,就可以改變審計記錄,抹去他的活動記錄。對于攻擊者來說,超級用戶變成了一個有效的目標(biāo),一旦得到超級用戶權(quán)限,就可為所欲為。攻擊者可以通過各種途徑成為超級用戶,如猜口令,利用不夠完善的系統(tǒng)配置策略、緩沖區(qū)溢出等等。一旦攻擊者獲得了超級用戶權(quán)限,他們就可以完全控制系統(tǒng),影響可用性,改變內(nèi)容,刪除數(shù)據(jù),開始進攻其他系統(tǒng),留下后門等等。而且,在現(xiàn)在的實際生產(chǎn)環(huán)境中,為了使軟件易于安裝和應(yīng)用,許多應(yīng)用軟件都需要以超級用戶權(quán)限運行,許多提供Web,mail等網(wǎng)絡(luò)服務(wù)的程序也需要以超級用戶權(quán)限來運行。系統(tǒng)管理員們不妨回顧一下自己的生產(chǎn)系統(tǒng),絕大部分系統(tǒng)或應(yīng)用軟件都是以超級用戶安裝或運行的：其中有些軟件的設(shè)計本身要求以超級用戶身份運行,有些是系統(tǒng)管理員在安裝時為了方便讓其使用超級用戶權(quán)限。這就造成了權(quán)限的濫用,這些軟件中只要有一個存在安全漏洞,就會被黑客利用,完全控制計算機。網(wǎng)神SecSSM將超級用戶當(dāng)作一般用戶看待,即超級用戶也無法跨越網(wǎng)神SecSSM的安全屏障去訪問未經(jīng)授權(quán)的文件。這樣既可以防止敏感數(shù)據(jù)<如財務(wù)、人事等>泄露,也可以防止由于超級用戶誤操作而給系統(tǒng)帶來的損失。網(wǎng)神SecSSM把不同的權(quán)限分配給不同的角色,從而分散了超級用戶的權(quán)力。網(wǎng)神SecSSM由安全管理員進行制定、實施安全策略。但安全管理員不一定具有系統(tǒng)本身的用戶帳戶。安全管理員只是在系統(tǒng)安全基礎(chǔ)之上再做一層安全配置。這樣不管是什么用戶想獲得相應(yīng)的權(quán)限他必須同時具有操作系統(tǒng)的權(quán)限和安全管理員賦予給他的網(wǎng)神SecSSM的權(quán)限。任何一個人的操作都是由安全內(nèi)核來監(jiān)督的。這樣,即便是超級用戶,也無法超越授權(quán)訪問資源,從而解決了需求和技術(shù)實現(xiàn)之間的矛盾。同時,即使"黑客"取得了超級用戶權(quán)限,也無法突破網(wǎng)神SecSSM的安全策略,訪問敏感資源。5.2訪問控制美國國防部于1983年提出并于1985年批準(zhǔn)的"可信計算機系統(tǒng)安全評價準(zhǔn)則<TCSEC>"將計算機系統(tǒng)的安全可信性分為七個級別：D 最低安全性;C1 主存取控制;C2 較完善的自主存取控制<DAC>、審計;B1 強制存取控制<MAC>;B2 良好的結(jié)構(gòu)化設(shè)計、形式化安全模型;B3 全面的訪問控制、可信恢復(fù);A1 形式化認(rèn)證。各商用操作系統(tǒng)的安全級別如下表所示：操作系統(tǒng)類型安全級別HP-UXC2AIXC2DOSDSolarisC2OSF/1B1SCOOpenServerC2WindowsNTC2從表中可以看出,商用操作系統(tǒng)的安全級別一般最高達到C2級。它采取自主存取控制<DAC>按用戶意愿進行存取控制?；谶@種機制,用戶可以說明其私人資源允許系統(tǒng)中哪個<些>用戶以何種權(quán)限進行共享。在這種方式下,資源允許哪些用戶進行什么樣的訪問完全是由資源的主人決定的。在實際的應(yīng)用系統(tǒng)中,某些關(guān)鍵資源的主人往往是業(yè)務(wù)人員,他們很難對系統(tǒng)和安全有深入的了解,也就很難準(zhǔn)確地設(shè)置資源的安全屬性,防止被非法訪問。網(wǎng)神SecSSM對資源的保護采用訪問控制列表<ACL>的方式。哪些人對哪些資源有什么樣的訪問權(quán)限完全是由對系統(tǒng)及安全有較深理解的安全管理員確定的,從而避免了上述問題。網(wǎng)神SecSSM的訪問控制保護與操作系統(tǒng)原有的訪問控制相比,還具有如下明顯的增強：=1\*GB2⑴強訪問控制如上所述,C2級操作系統(tǒng)采用自主存取控制機制。安全性更高的B1級采用強制存取控制機制,強制存取控制<MAC,MandatoryAccessControl>提供了基于信息機密性的存取控制方法,用于將系統(tǒng)中的用戶和信息進行分級別、分類別管理,強制限制信息的共享和流動,使不同級別和類別的用戶只能訪問到與其有關(guān)的、指定范圍的信息,從根本上防止信息的丟失泄密和訪問混亂現(xiàn)象。尤其適用于軍事、政府重要部門和金融領(lǐng)域。強制訪問控制是"強加"給訪問主體的,即系統(tǒng)強制主體服從訪問控制政策。強制訪問控制〔MAC的主要特征是對所有主體及其所控制的客體〔例如：進程、文件、段、設(shè)備實施強制訪問控制。為這些主體及客體指定敏感標(biāo)記,這些標(biāo)記是等級分類和非等級類別的組合,它們是實施強制訪問控制的依據(jù)。系統(tǒng)通過比較主體和客體的敏感標(biāo)記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的敏感標(biāo)記,從而系統(tǒng)可以防止特洛伊木馬的攻擊。強制訪問控制一般與自主訪問控制結(jié)合使用,并且實施一些附加的、更強的訪問限制。一個主體只有通過了自主與強制性訪問限制檢查后,才能訪問某個客體。用戶可以利用自主訪問控制來防范其它用戶對自己客體的攻擊,由于用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層以防止其它用戶偶然或故意地濫用自主訪問控制。=2\*GB2⑵自主訪問控制自主訪問控制〔DiscretionaryAccessControl是一個接入控制服務(wù),其強制執(zhí)行一個基于系統(tǒng)實體身份和它們訪問系統(tǒng)資源的授權(quán)的安全政策。這包括設(shè)置文件,文件夾和共享資源的許可。DAC的含義是有訪問許可的主體能夠直接或間接地向其他主體轉(zhuǎn)讓訪問權(quán)。自主訪問控制是在確認(rèn)主體身份以及〔或它們所屬的組的基礎(chǔ)上,控制主體的活動,實施用戶權(quán)限管理、訪問屬性〔讀、寫、執(zhí)行管理等,是一種最為普遍的訪問控制手段。自主訪問控制的主體可以按自己的意愿決定哪些用戶可以訪問他們的資源,亦即主體有自主的決定權(quán),一個主體可以有選擇地與其它主體共享他的資源。DAC的主要特征體現(xiàn)在主體可以自主地把自己所擁有客體的訪問權(quán)限授予其它主體或者從其它主體收回所授予的權(quán)限,訪問通常基于訪問控制表〔ACL。訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。5.3審計跟蹤審計是對訪問控制的必要補充,是訪問控制的一個重要內(nèi)容。審計會對用戶使用何種信息資源、使用的時間,以及如何使用〔執(zhí)行何種操作進行記錄與監(jiān)控。審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線,處于系統(tǒng)的最高層。審計與監(jiān)控能夠再現(xiàn)原有的進程和問題,這對于責(zé)任追查和數(shù)據(jù)恢復(fù)非常有必要。審計跟蹤是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑,順序檢查、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤通過書面方式提供應(yīng)負(fù)責(zé)任人員的活動證據(jù)以支持訪問控制職能的實現(xiàn)〔職能是指記錄系統(tǒng)活動并可以跟蹤到對這些活動應(yīng)負(fù)責(zé)任人員的能力。審計跟蹤記錄系統(tǒng)活動和用戶活動。系統(tǒng)活動包括操作系統(tǒng)和應(yīng)用程序進程的活動；用戶活動包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動。通過借助適當(dāng)?shù)墓ぞ吆鸵?guī)程,審計跟蹤可以發(fā)現(xiàn)違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。審計跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶的侵害,同時還能提供對數(shù)據(jù)恢復(fù)的幫助。網(wǎng)神SecSSM的用戶追蹤功能,可實時收集和追蹤訪問服務(wù)器的時間、訪問者、訪問內(nèi)容等等?？梢砸杂脩?ip的形式來查看跟蹤記錄,即使服務(wù)器被非法入侵,黑客刪除系統(tǒng)、安全等日志,也可以通過查看網(wǎng)神SecSSM日志來進行事后的審計追蹤。5.4系統(tǒng)監(jiān)控當(dāng)今社會信息化、網(wǎng)絡(luò)化和數(shù)字化發(fā)展迅猛趨勢,用戶IT系統(tǒng)越來越多,網(wǎng)絡(luò)、設(shè)備和產(chǎn)品越來越復(fù)雜,業(yè)務(wù)越來越依賴于穩(wěn)定可靠的系統(tǒng)運行,快速、有效、直觀的IT管理工具讓用戶受益匪淺。如果IT資源的顯現(xiàn)度低,IT部門將面臨以下難題,其主要表現(xiàn)如下：IT管理員必須通過各種命令語句,來管理和關(guān)注這些復(fù)雜的IT資源,造成IT部門被動響應(yīng)式的工作方式。手動監(jiān)控方式,效率低下,很難及時發(fā)現(xiàn)和預(yù)見問題的發(fā)生。IT支持部門的人力資源嚴(yán)重不足,關(guān)鍵人員的工作負(fù)荷過重。不間斷的對關(guān)鍵業(yè)務(wù)流程及支持它們的應(yīng)用和基礎(chǔ)架構(gòu)進行可視化監(jiān)管理,可以衡量效率并減少風(fēng)險。因此,自動、不間斷、直觀地監(jiān)控IT運營狀況,將實現(xiàn)持續(xù)性的IT運營,從而降低維護成本、改善工作效率的軟件,越來越成為用戶不可缺少的重要工具。網(wǎng)神SecSSM的系統(tǒng)監(jiān)控功能可對服務(wù)器的資源進行監(jiān)控,主要包含以下功能：系統(tǒng)監(jiān)控：? 系統(tǒng)設(shè)置：設(shè)置系統(tǒng)的各種監(jiān)控閥值? 進程監(jiān)視：查看進程狀態(tài),設(shè)置進程監(jiān)控的各種數(shù)據(jù)? 進程設(shè)置：設(shè)定進程使用的限制? 文件設(shè)置：設(shè)定文件系統(tǒng)使用情況的監(jiān)控? 網(wǎng)絡(luò)狀態(tài)：設(shè)定各種網(wǎng)絡(luò)服務(wù)監(jiān)控狀態(tài)? 系統(tǒng)性能：設(shè)置系統(tǒng)性能監(jiān)控系統(tǒng)設(shè)置屬性包括以下類型：? CPU使用率? 隊列數(shù)量? 頁面掃描數(shù)量? 可用交換分區(qū)大小? 磁盤I/O? 進程數(shù)量? 進程限制<CPU>在系統(tǒng)監(jiān)控設(shè)置中可以對服務(wù)器監(jiān)控資源設(shè)置各種閥值,系統(tǒng)的各種屬性達到閥值的設(shè)置時網(wǎng)神SecSSM就會執(zhí)行相關(guān)的動作并會向特定的主機發(fā)送報警信息,網(wǎng)神SecSSM監(jiān)控程序會以多種方式進行報警,包括發(fā)送報警信息和電子郵件等。六、產(chǎn)品功能功能介紹中沒有表明Unix和Windows的內(nèi)容表明此功能支持所有操作系統(tǒng)。這些通用功能有些以Unix操作系統(tǒng)來參考進行了功能說明,但在Windows系統(tǒng)中也具有此功能,而且原理和功能基本都相同。6.1跨平臺管理網(wǎng)神SecSSM支持AIX、HP-UX、Solaris、Tru64以及Linux和WindowsNT/2000/XP/2003等多種操作系統(tǒng),網(wǎng)神SecSSM可以同時管理不同操作系統(tǒng)的服務(wù)器,實施安全策略,并且在不同操作系統(tǒng)中功能基本一致,顯示了良好的跨平臺性,并且可以導(dǎo)入和導(dǎo)出配置文件,提高配置效率6.2站點信息通過網(wǎng)神SecSSM管理控制臺可以查看agent端的一些重要信息：如站點信息、磁盤信息、系統(tǒng)性能、客戶端版本、agent模塊狀態(tài)等。可以實時查看連接的服務(wù)器上的各種信息,例如機器名、操作系統(tǒng)版本、系統(tǒng)已運行時間、警報信息、CPU、內(nèi)存使用狀態(tài)、硬件信息、已安裝的軟件信息等,方便用戶可以直接通過管理控制臺進行一些常規(guī)的管理和維護。6.3外部程序網(wǎng)神SecSSM的外部程序功能,用戶可以自定義一個程序〔如ssh客戶端、telnet客戶端等,在agent列表使用右鍵點擊該快捷菜單,就會自動調(diào)用事先定義好的程序如〔SecureCRT來連接agent主機,方便對agent進行管理和維護工作,提高工作效率。6.4帳號管理網(wǎng)神SecSSM提供對遠(yuǎn)程站點的用戶帳戶及組管理功能?？梢圆榭?添加,刪除用戶和組,可以設(shè)定用戶帳戶的有效期,密碼策略等6.5安全角色管理網(wǎng)神SecSSM可以通過創(chuàng)建SO〔securityofficer、SA〔systemadmins角色來賦予用戶不同的管理權(quán)限,例如只可以查看策略,或者只能修改某種策略、監(jiān)控系統(tǒng)、管理用戶、執(zhí)行特殊的程序等等。通過創(chuàng)建這些不同權(quán)限的角色,來實現(xiàn)對操作系統(tǒng)的細(xì)致化的管理控制。6.6文件的訪問控制通過細(xì)化用戶的文件訪問權(quán)限,嚴(yán)格定義用戶對文件的訪問。例如可以設(shè)置保護的文件即使超級用戶也只能讀,不能進行修改等。網(wǎng)神SecSSM可以防止來自于內(nèi)部和外部對系統(tǒng)的攻擊。以Unix舉例來說,Unix對每一個文件或目錄的訪問者分為文件的屬主用戶<Owner>、同組用戶<Group>和其他用戶<Others>三類,這三類用戶對該文件可以有讀、寫、執(zhí)行三種訪問權(quán)限。文件的屬主、所屬用戶組以及訪問權(quán)限都作為文件的屬性保存在文件的描述之中。操作系統(tǒng)內(nèi)核在訪問文件時,把訪問進程<用戶>的uid和gid與文件的相應(yīng)屬性匹配,確定該進程對文件的存取權(quán)限。網(wǎng)神SecSSM采取了訪問控制列表的方式確定用戶對文件的訪問權(quán)限,因此每一個不同的用戶都可以對文件有不同的權(quán)限,而不僅僅限于屬主、同組者和其用戶他三種情況,這就增加了控制的靈活性。網(wǎng)神SecSSM也對文件和目錄的訪問權(quán)限進行了更為細(xì)致地劃分。我們知道,對文件的讀、寫、執(zhí)行三種權(quán)限并不能真正反映復(fù)雜業(yè)務(wù)系統(tǒng)的需要。例如,某些業(yè)務(wù)人員的職責(zé)是進行日常交易,反映在業(yè)務(wù)系統(tǒng)中可能是更新<讀、寫>某些文件；但文件的建立和維護應(yīng)該是由系統(tǒng)維護人員進行的,業(yè)務(wù)人員不應(yīng)刪除這些文件。但是在Unix中,對文件有寫的權(quán)限,就能刪除該文件。如果該業(yè)務(wù)人員由于誤操作或心存不軌,刪除了這些文件,就會對業(yè)務(wù)造成不可彌補的損失。網(wǎng)神SecSSM把對文件的訪問權(quán)限擴展為讀、寫、執(zhí)行、創(chuàng)建、刪除、改模式、改屬主等多種,對目錄的訪問權(quán)限擴展為進入、搜索和刪除,就大大增加了控制的細(xì)致靈活程度。6.7登錄服務(wù)控制網(wǎng)神SecSSM提供對登錄服務(wù)的限制,這些服務(wù)包括"telnet"、"ftp"、"rlogin"、"ssh"、windows用戶登錄等。網(wǎng)神SecSSM具備了識別不同登錄過程中使用的系統(tǒng)調(diào)用序列來攔截用戶登錄過程,在網(wǎng)神SecSSM中添加相應(yīng)的策略,可以限制用戶使用多種登錄系統(tǒng)的方式。通過識別不同登錄過程中使用的系統(tǒng)調(diào)用序列來攔截用戶登錄過程網(wǎng)神SecSSM具備了識別不同登錄過程中使用的系統(tǒng)調(diào)用序列來攔截用戶登錄過程,在網(wǎng)神SecSSM中添加相應(yīng)的策略,可以限制用戶使用telent、ftp、rlogin、ssh、Winlogon等多種登錄系統(tǒng)的方式。限制用戶的登錄時段網(wǎng)神SecSSM可以對用戶的登錄時間段進行限制,這些策略包括用戶在一周中的哪天可以登錄,一天中的某個時間段可以登錄,以及某個特定的時間段可以登錄。限制用戶的登錄ip網(wǎng)神SecSSM可以對登陸者的ip地址進行過濾,例如可以設(shè)置某個用戶只有使用指定IP才能訪問服務(wù)器。6.8網(wǎng)絡(luò)控制網(wǎng)神SecSSM在網(wǎng)絡(luò)控制管理功能實際上調(diào)用了主機的防火墻模塊,通過圖形化的方式來配置策略從而降低操作的復(fù)雜性。根據(jù)TCP、UDP協(xié)議控制網(wǎng)絡(luò)的進出,通過功能強大的網(wǎng)絡(luò)服務(wù)及IP地址控制,可以很好的限制用戶訪問系統(tǒng)資源。6.9資源共享管理〔windows網(wǎng)神SecSSM的資源共享功能,可以刪除系統(tǒng)的默認(rèn)共享,可以靈活地添加、修改、刪除服務(wù)器的共享資源。6.10注冊表訪問控制〔Windows注冊表是Windows操作系統(tǒng)中硬件設(shè)備以及客戶應(yīng)用程序得以正常運行和保存設(shè)置的核心"數(shù)據(jù)庫",它記錄了用戶安裝在機器上的軟件和每個程序的相互關(guān)聯(lián)關(guān)系；它包含了計算機的硬件配置,包括自動配置的即插即用的設(shè)備和已有的各種設(shè)備說明、狀態(tài)屬性以及各種狀態(tài)信息和數(shù)據(jù)等。網(wǎng)神SecSSM對系統(tǒng)注冊表提供保護功能,可以對注冊表鍵值進行保護,防止用戶或程序非法修改注冊表。6.11完整性檢查對unix管理員來說,主機系統(tǒng)的安全一直是個課題,一方面管理員通過更新patch,安裝軟硬件防火墻等手段努力使自己的系統(tǒng)可靠性增強,而另一方面unix操作系統(tǒng)的漏洞總是不斷被發(fā)現(xiàn)并被公布出來,互聯(lián)網(wǎng)上沒有安全的主機。任何一臺放在Internet上的主機被入侵的潛在可能性是不可逃脫的,而且,對入侵者而言,利用漏洞進入系統(tǒng)往往只是第一步,如果想得到更多的,如超級用戶的密碼,數(shù)據(jù)庫的口令等,往往需要下點功夫,最便捷也是最有效的就是改動或特洛伊化受侵害的主機上的文件,如放置自己的監(jiān)聽程序,替代某些關(guān)鍵文件,修改編輯可信文件,設(shè)置suid文件等。一些管理員通unix自帶的命令來檢查文件的安全性,如檢查文件生成的時間戳,但這樣的可靠性微乎其微,有經(jīng)驗的入侵者可以很輕松的修改文件生成時間。網(wǎng)神SecSSM具備文件完整性檢查功能,使用哈希算法來進行完整性檢查,網(wǎng)神SecSSM會根據(jù)管理員的設(shè)置針對要監(jiān)控的文件進行讀取,對每個文件生成相應(yīng)的數(shù)字簽名,并將這些結(jié)果保存在自己的數(shù)據(jù)庫中,當(dāng)完整性檢查完畢后會記錄下檢查時間和檢查結(jié)果。當(dāng)懷疑系統(tǒng)被入侵時,可由網(wǎng)神SecSSM根據(jù)先前生成的數(shù)據(jù)庫文件來做一次數(shù)字簽名的對照,如果文件被替換,則與網(wǎng)神SecSSM數(shù)據(jù)庫內(nèi)相應(yīng)數(shù)字簽名不匹配,這時網(wǎng)神SecSSM會報告相應(yīng)文件被更動并以紅色字體標(biāo)明當(dāng)然,當(dāng)管理員自身對某些文件更動時,網(wǎng)神SecSSM的數(shù)據(jù)庫必然是需要隨之更新的,這時需要更新完整性檢查列表中的相應(yīng)文件。網(wǎng)神SecSSM完整性檢查功能支持自定義添加,可定期對完整性檢查列表中的文件進行完整性檢查并通報。完整性檢查功能不但可以檢查服務(wù)器端的文件,還支持對ESM產(chǎn)品自身進行完整性檢查。6.12防止程序非法終止〔unix網(wǎng)神SecSSM可以防止未經(jīng)授權(quán)的超級用戶非法終止重要進程及后臺守護進程,保證服務(wù)器的正常運行。一些關(guān)鍵的進程如數(shù)據(jù)庫守護進程、應(yīng)用程序進程等應(yīng)該一直運行,不應(yīng)該被殺死。網(wǎng)神SecSSM提供了對進程的保護,可以截取發(fā)向系統(tǒng)的進程結(jié)束信號。被保護的進程可以正常或異常退出,但是不能被非授權(quán)的用戶<包括超級用戶>殺死。這就保護了誤操作造成的關(guān)鍵進程的異常中止,保障了系統(tǒng)的可靠性,只有通過認(rèn)證的超級用戶可以結(jié)束進程。6.13Setuid控制<Unix>Unix的用戶都知道,setuid<0>的文件在系統(tǒng)中存在著潛在的風(fēng)險,可以讓非root用戶來執(zhí)行一些root才能執(zhí)行的工作,為了控制風(fēng)險,網(wǎng)神SecSSM提供了對Setuid屬性程序的控制,控制執(zhí)行文件時UID變化的文件。例如象對系統(tǒng)的口令文件記錄信息的passwd程序,為執(zhí)行命令以root權(quán)限運行。SUID因臨時對用戶賦予更大的權(quán)限,所以對設(shè)置Setuid位的所有系統(tǒng)中的程序要監(jiān)控它的變化。常規(guī)的針對setuid的程序控制,一般采用修改文件權(quán)限或?qū)傩缘姆绞絹砜刂?而網(wǎng)神SecSSM在不修改文件屬性的前提下控制suid程序。例如對passwd命令進行了控制,當(dāng)再次使用passwd命令,普通用戶無法使用它修改密碼.6.14防黑客攻擊〔unix<1>入侵防護功能入侵防護功能主要保證系統(tǒng)不受以下幾種方式的入侵? FIFO保護：可以設(shè)置成只對某個用戶開放FIFO。? 符號鏈接保護：可以保護利用文件符號鏈接來獲取root權(quán)限的攻擊。? 硬鏈接保護：防止創(chuàng)建文件或者目錄的硬鏈接。? CHROOT保護：保護系統(tǒng)不被攻擊者利用chroot來獲取root權(quán)限。<2>系統(tǒng)防護功能系統(tǒng)防護功能可以保護系統(tǒng)因為各種使用不當(dāng)所引起的安全問題：? 自動檢測混雜模式：自動檢測網(wǎng)卡是否是處在混雜模式下,并且生成相關(guān)日志注：.檢測混雜模式的目的主要是為了檢查是否有sniffer程序在運行。? 隱藏安全模塊功能：在操作系統(tǒng)中隱藏網(wǎng)神SecSSM的安全模塊,避免惡意用戶針對安全保護的破壞。? 進程隱藏：限制用戶只能查看屬于自己的進程信息。注：進程隱藏功能只適用于Solaris系統(tǒng)。6.15Su控制<unix>SU是用來改變用戶身份的命令,一旦用戶改變成超級用戶將具有最高的ROOT權(quán)限,所以需要限制用戶通過SU命令轉(zhuǎn)換成超級用戶的策略,從而使得權(quán)限的變更更加安全。6.16進程管理〔unix網(wǎng)神SecSSM可以通過管理控制臺實時顯示連接站點的進程狀態(tài)?？梢赃x擇進程添加/刪除訪問控制和發(fā)送信號<也就是軟中斷跟硬中斷不同>。可實時查看當(dāng)前進程,對進程設(shè)置防kill保護,還可以對進程發(fā)送信號,以及追蹤進程等,方便管理員管理維護系統(tǒng),及時的停止掉可疑程序或進程。注：只有Unix下才有發(fā)送進程信號的功能。6.17運行模式對所有安全控制策略的實施,網(wǎng)神SecSSM提供了3種不同的模式,正常模式〔on、關(guān)閉模式〔off還提供了模擬運行--"warning"模式,以此減少因配置安全策略引起的問題。在warning模式下,網(wǎng)神SecSSM的安全策略不產(chǎn)生真正的控制和禁止動作,警告模式的時候只記錄日志并沒有啟用安全策略。根據(jù)每個系統(tǒng)調(diào)用或功能可以設(shè)置正常,警告,關(guān)閉等選項,處于警告模式時安全策略沒有啟用,仍然允許用戶象沒有網(wǎng)神SecSSM一樣訪問資源,但是這些訪問都被記錄在審計日志中,供審計人員檢查。在安全策略的實施過程中,我們先采用"warning"模式,就可以檢查設(shè)置的安全策略是否會影響業(yè)務(wù)的正常運行,是否真正保障系統(tǒng)的安全等等。這為我們順利實施網(wǎng)神SecSSM提供了保障。6.18系統(tǒng)監(jiān)控網(wǎng)神SecSSM的系統(tǒng)監(jiān)控功能可對服務(wù)器的資源進行監(jiān)控,主要包含以下功能：系統(tǒng)監(jiān)控：? 系統(tǒng)設(shè)置：設(shè)置系統(tǒng)的各種監(jiān)控閥值? 進程監(jiān)視：查看進程狀態(tài),設(shè)置進程監(jiān)控的各種數(shù)據(jù)? 進程設(shè)置：設(shè)定進程使用的限制? 文件設(shè)置：設(shè)定文件系統(tǒng)使用情況的監(jiān)控? 網(wǎng)絡(luò)狀態(tài)：設(shè)定各種網(wǎng)絡(luò)服務(wù)監(jiān)控狀態(tài)? 系統(tǒng)性能：設(shè)置系統(tǒng)性能監(jiān)控系統(tǒng)設(shè)置屬性包括以下類型：? CPU使用率? 隊列數(shù)量? 頁面掃描數(shù)量? 可用交換分區(qū)大小? 磁盤I/O? 進程數(shù)量? 進程限制<CPU>在系統(tǒng)監(jiān)控設(shè)置中可以對服務(wù)器監(jiān)控資源設(shè)置各種閥值,系統(tǒng)的各種屬性達到閥值的設(shè)置時網(wǎng)神SecSSM就會執(zhí)行相關(guān)的動作并會向特定的主機發(fā)送報警信息,網(wǎng)神SecSSM監(jiān)控程序會以多種方式進行報警,包括發(fā)送報警信息和電子郵件等。6.19分布式策略在生產(chǎn)環(huán)境中,若針對同一類應(yīng)用的多臺服務(wù)器批量部署網(wǎng)神SecSSM時,可以使用分布式策略功能,把網(wǎng)神SecSSM的配置策略發(fā)布到其他agent機器上?？赏瑫r對多臺agent服務(wù)器進行發(fā)布。6.20產(chǎn)品的安裝和卸載網(wǎng)神SecSSM產(chǎn)品在安裝和卸載產(chǎn)品時均不需要重啟操作系統(tǒng),可以保障一些重要的服務(wù)器不怠機,為客戶提供持續(xù)穩(wěn)定的服務(wù)。安裝以后不需重啟系統(tǒng)可以直接使用此產(chǎn)品,并應(yīng)用安全策略,并且卸載以后也無需重啟系統(tǒng),并且保持操作系統(tǒng)的原樣。6.21程序自身保護功能作為一個安全程序,首先需要作好自身的安全,以防被黑客入侵時刪除,失去應(yīng)的安全保護的功能。通過隱藏自身的安全模塊<HidingKernelModule>,這盡可能避免了由于安全產(chǎn)品暴露所導(dǎo)致的黑客攻擊,來降低安全風(fēng)險,使非法者不知有此程序在運行中；通過對安裝程序的目錄及文件的自動保護,來防止刪除安全程序,以保持提供持續(xù)的安全功能。6.22拒絕運行的程序網(wǎng)神SecSSM的CommandControlList功能,可以針對重要的程序進行保護,如shutdown、reboot、halt等指令。防止未經(jīng)授權(quán)的超級用戶中斷系統(tǒng),導(dǎo)致系統(tǒng)不能正常工作,只有獲得認(rèn)證的用戶才能結(jié)束系統(tǒng)運行6.23允許運行的程序如果一個文件的屬性被賦予了只有so用戶才能訪問的權(quán)限,若想讓SystemAdmin成員或root用戶能直接訪問該程序,此時我們就用到了CommandPermitManagement功能。6.24日志檢索網(wǎng)神SecSSM對在內(nèi)核層生成的系統(tǒng)調(diào)用提供日志記錄功能。日志根據(jù)設(shè)置包含不同項目,還可以設(shè)置某些項目是否要記錄日志,這樣可以根據(jù)磁盤空間進行日志設(shè)置。網(wǎng)神SecSSM不僅收集安全日志,而且也收集系統(tǒng)日志。網(wǎng)神SecSSM可以設(shè)置日志文件的位置,還可以設(shè)置文件大小和循環(huán)的的文件個數(shù),并且支持日志的備份。網(wǎng)神SecSSM可以對安全日志和系統(tǒng)日志進行詳細(xì)的記錄和保護,并進行了詳細(xì)的分類在文件操作方面,管理員可以通過管理器程序,可以很方便查詢到用戶對系統(tǒng)中的受保護的資源的訪問記錄,包括對文件的讀、寫、刪除、修改、改名、是否執(zhí)行的行為記錄。在對系統(tǒng)中的服務(wù)的保護方面,網(wǎng)神SecSSM對中斷、殺死系統(tǒng)中的重要的服務(wù)進行了保護并記錄日志中。在網(wǎng)絡(luò)連接使用情況,網(wǎng)神SecSSM對授權(quán)和未授權(quán)的網(wǎng)絡(luò)連接進行記錄,方便管理員隨時查閱網(wǎng)絡(luò)使用情況。網(wǎng)神SecSSM管理器除了看網(wǎng)神SecSSM記錄的日志以外還可以查看UNIX記錄的標(biāo)準(zhǔn)日志。6.25用戶追蹤網(wǎng)神SecSSM的用戶追蹤功能,可實時收集和追蹤訪問服務(wù)器的時間、訪問者、訪問內(nèi)容等等?？梢砸杂脩?ip的形式來查看跟蹤記錄,即使服務(wù)器被非法入侵,黑客刪除系統(tǒng)、安全等日志,也可以通過查看網(wǎng)神SecSSM日志來進行事后的審計追蹤。6.26進程追蹤網(wǎng)神SecSSM的進程追蹤功能可以顯示進程打開的文件,使用的端口等信息每行顯示一個打開的文件,輸出各列信息的意義如下：COMMAND：進程的名稱PID：進程標(biāo)識符PPID：父進程標(biāo)識符USER：進程所有者FD：文件描述符,應(yīng)用程序通過文件描述符識別該文件。如cwd、txt等TYPE：文件類型,如DIR、REG等DEVICE：指定磁盤的名稱SIZE：文件的大小NODE：索引節(jié)點〔文件在磁盤上的標(biāo)識NAME：打開文件的確切名稱6.27報告向?qū)ЬW(wǎng)神SecSSM提供了報告功能?？赏ㄟ^日志報告工具生成各種日志報告,可對報告內(nèi)容進行預(yù)覽、打印,可以以多種形式導(dǎo)出報表。6.2