XP操作系統(tǒng)安全專家-2

北京優(yōu)炫軟件股份有限公司

——操作系統(tǒng)及數據庫安全專家

XP停服事件及操作系統(tǒng)安全態(tài)勢優(yōu)炫操作系統(tǒng)安全增強系統(tǒng)XP專版北京優(yōu)炫軟件股份有限公司簡介中國工程物理院XP安全產品測試報告優(yōu)炫核心數據保護產品簡介一、北京優(yōu)炫軟件股份有限公司簡介

北京優(yōu)炫軟件股份有限公司（430208）

公司簡介：北京優(yōu)炫軟件股份有限公司，成立于2009年，2013年1月上市新三板，股票簡稱“優(yōu)炫軟件”，代碼:430208。公司為大數據安全、管理及挖掘提供產品、服務和整體安全方案，Windows、Linix及Unix操作系統(tǒng)等安全產品獲涉密產品及軍密產品資質，公司獲高新技術和雙軟企業(yè)認證，用戶遍布金融、國防、政府及能源領域。公司2013年收入過1億，利潤過2千萬，同比增長超200%。注冊資本：4250萬元人民幣員工人數:112人，研發(fā)人員超過80%分支機構：北京總部、貴陽希望優(yōu)炫子公司、、成都分公司、武漢分公司、深圳分公司、新疆辦事處、沈陽辦事處、上海辦事處、西安辦事處。研發(fā)機構：北京總部研發(fā)中心&北京大學信息安全實驗室

技術力量：北京總部技術部、成都技術部及各地辦事處技術人員。北京上海廣州深圳武漢杭州西安重慶沈陽服務保障團隊由專業(yè)的技術支持人員并依托北大安全實驗所專家的技術力量，組成實力雄厚的技術支撐平臺；成熟的產品序列與廣泛的行業(yè)客戶群體，形成完備的服務管理流程與質量保證體系。現(xiàn)有行業(yè)擁有穩(wěn)定的優(yōu)質客戶、較大市場份額；全局部署的技術服務、售后服務網絡與響應體系：北京總部、貴陽子公司、成都分公司、深圳分公司、武漢分公司、新疆辦事處等。成都貴陽技術支持及服務保障體系烏魯木齊二、XP停服事件及操作系統(tǒng)安全態(tài)勢

1、WindowsXP停止服務事件2009年4月14日，微軟停止WindowsXP的技術支持，新版IE、DirectX、MSN等微軟服務不能在XP上使用；2013年10月18日，微軟宣布WindowsXPSP3將于2014年4月8日停止服務；2014年4月8日，微軟停止對WindowsXP所有官方技術支持服務，和WindowsXP一起停止官方技術支持的還有Office2003辦公套件。2014年5月8日，中國工程院院士沈昌祥在第十五屆中國信息安全大會透露，工信部XP停服研討會達成共識，WindowsXP停止更新是重大信息安全事件，不鼓勵WindowsXP系統(tǒng)升級到Win7/Win8，操作系統(tǒng)安全加固是當前解決WindowsXP問題的有效辦法。

沈院士還透露，中央領導曾批示：希望在非常短時間內能夠形成自主可控安全可信的智能操作系統(tǒng)。2、XP操作系統(tǒng)的脆弱性默認依賴自主訪問控制機制（ACL），用戶可自主變更訪問控制默認開發(fā)Administrator權限，普通用戶的系統(tǒng)賬戶權限過大，可隨意添加新賬戶，修改注冊表等系統(tǒng)自帶日志審計顆粒度太大涉密網絡的網絡過濾訪問控制不能自定義惡意軟件識別過度依賴于特征庫，無法識別未知威脅系統(tǒng)組件、應用等組件安全漏洞高發(fā)、本地提權相對較為容易（無ASLR、SEHOP、DEP等機制防護）3、XP停服的影響及技術難題當前面臨的技術難題個人用戶XP系統(tǒng)

總的安全漏洞高達10萬個，未知漏洞存在被黑客利用的可能性；企業(yè)用戶

國內企業(yè)用戶裝機量超過43%，對安全性要求更高；政府和行業(yè)用戶對安全性要求最高，部分單位已有自己的安全防護系統(tǒng)；ATM機全球95%，對安全性要求更高；未知漏洞影響甚大！已發(fā)現(xiàn)的漏洞如何修復(4月8號之后)安全漏洞補丁如何制作安全漏洞補丁如何認證未知漏洞如何防范補丁發(fā)布真空期如何防護4、政府及學術界業(yè)界動態(tài)2014年2月14日中國工程院院士倪光南在接受人民網采訪時表示，對中國而言，XP停止服務是一個“重大的信息安全事件”，相關各方應該立即行動，采取果斷措施，提升國家信息安全的保障力度。推進具有自主知識產權的國產操作系統(tǒng)可信計算項目（如“安全云服務”）建成31省區(qū)市政務終端安全配置應用支撐平臺建設國家漏洞庫、參與XP系統(tǒng)新型補丁的安全認證工作推動協(xié)調安全廠商對漏洞補丁的制作規(guī)范國家相關法規(guī)建設

5、安全廠商業(yè)界動態(tài)優(yōu)炫公司——“操作系統(tǒng)安全增強系統(tǒng)—XP專版”北信源公司——“金甲防線”奇虎360公司——“360盾甲XP加固版”金山公司——“金山毒霸XP防護盾”騰訊公司——“電腦管家XP專版”百度公司——“百度衛(wèi)士XP專版”可信華泰公司——“白細胞"操作系統(tǒng)免疫平臺深圳安盾椒圖公司——“XP鎖”三、優(yōu)炫操作系統(tǒng)安全增強系統(tǒng)XP專版

2、產品設計架構3、產品核心技術自主掌握全部源代碼，自由定制安全產品APIHOOK技術第二代文件過濾驅動技術基于Windows

NDIS中間層過濾驅動技術基于Windows令牌控制的進程權限控制技術系統(tǒng)安全環(huán)自保護技術Windows系統(tǒng)消息劫持技術白名單控制策略4、產品和技術的持續(xù)服務可根據企業(yè)和行業(yè)需求自由定制安全產品及服務（與中國工程物理研究院的合作案例）提供內核式安全服務，解決與其它軟件的兼容及沖突問題提供云計算虛擬機安全及行業(yè)標準級的信息安全整體解決方案，全面提升企業(yè)信息安全的自主控制與主動管理能力持續(xù)快速的應急服務5、產品特點安全性可定制性功能性各功能模塊完善、穩(wěn)定、獨立支持前端操作及后臺管理（安全管理中心）通信加密（OPEN-SSL）開機自保護關鍵配置文件保護三權分立（操作員、管理員、審計員）針對涉密網絡的可定制性（與核九院）專業(yè)工具掃描提升軟件健壯性不聯(lián)網，拒絕隱私泄露脫機幫助文檔Ms08067漏洞攻擊演示

（cve-2008-4250）

優(yōu)炫操作系統(tǒng)安全增強系統(tǒng)——XP專版功能演示

環(huán)境：WindowsXPSP36、產品功能演示

四、中國工程物理院XP安全產品測試報告

客戶端操作系統(tǒng)WindowsXPSP3管理端操作系統(tǒng)WindowsServer2003處理器Intel?Core?2DuoCPUE4600@2.40GHz內存1G1、測試環(huán)境

產品

名稱

性能北京優(yōu)炫北信源騰訊奇虎360百度金山操作系統(tǒng)安全增強系統(tǒng)—XP專版V2.0金甲防線（版本：3.1.8.23）電腦管家XP專版（版本：8.9.10962.232）360盾甲XP加固版（版本：1.0.0.1041）百度衛(wèi)士XP專版（版本：2.1.11.21）金山毒霸XP防護盾（版本：SP7.0_99_50）

是否有企業(yè)版√

√

×√

×√

是否有涉密版√

√

××××是否依賴互聯(lián)網√

×√

√

√

√

2、測試結果（典型企業(yè)指標）軟件廠商是否有涉密產品資質公安部公共信息網絡安全監(jiān)察局頒發(fā)的銷售許可證《計算機信息系統(tǒng)安全專用產品銷售許可證》《計算機信息系統(tǒng)安全專用產品銷售許可證》××××國家保密科技測評中心頒發(fā)的涉密產品資質√×××××

《軍用信息安全產品認證證書》√×××××內存消耗62M100.3MB100.4MB44.1MB115.3MB66MBCPU消耗19.3%21.6%50.2%33.8%45.3%18.6%與已有系統(tǒng)環(huán)境的兼容性兼容“格爾終端安全登錄與文件保護系統(tǒng)”√√√√√√兼容“中安源主機監(jiān)控與審計系統(tǒng)”√√√√√√兼容“金山安全終端V8.0”√√√√√√可靠性有數據備份×√××××用戶輸入錯誤時，提示準確√√√√√√易用性導航測試√√√√√√圖形測試√√√√√√內容測試√√√√√√整體界面測試√√√√√√與現(xiàn)有防護措施的功能冗余無安全體檢殺毒日志報表電腦加速殺毒文件保險箱清理垃圾系統(tǒng)清理實時監(jiān)控痕跡粉碎軟件管理漏洞修復

U盤管理電腦體檢軟件管理

系統(tǒng)優(yōu)化漏洞修復

審計日志

服務能力一個技術支持團隊，本地應急響應全國五個大型技術支持中心，30個服務網點在線支持人工在線支持線下救援站無

3、測試結論

報告對六家公司的XP安全產品，從是否有企業(yè)版、軟件廠商是否有涉密產品資質、是否有涉密版、內存和CPU消耗、與已有系統(tǒng)環(huán)境的兼容性、可靠性、可用性、與現(xiàn)有防護措施的功能冗余以及服務能力等多個方面進行測試，并調研不同廠商所采取的解決方案，對方案特點進行比較、歸納和評價，最后得出結論：

優(yōu)炫產品相比于北信源、奇虎360、金山、騰訊及百度等產品優(yōu)勢明顯，因此，我們推薦選用優(yōu)炫產品“操作系統(tǒng)安全增強系統(tǒng)—XP專版”。五、優(yōu)炫核心數據保護產品介紹

核心數據保護系統(tǒng)解決方案@系統(tǒng)系統(tǒng)加固、數據庫安全審計、數據庫透明加密、整體解決方案安全防護現(xiàn)狀邊界防護內網防護系統(tǒng)防護數據保護FirewallAVGatewayUTMIDSIPSClientsServers提供輸入，身份信息等產出輸出，審計信息等數據庫防火墻身份認證及監(jiān)控系統(tǒng)核心數據保護系統(tǒng)第一部分操作系統(tǒng)加固

美國國防部于1983年提出并于1985年批準的"可信計算機系統(tǒng)安全評價準則(TCSEC)"將計算機系統(tǒng)的安全可信性分為七個級別：D 最低安全性;C1 主存取控制;C2 較完善的自主存取控制(DAC)、審計;B1 強制存取控制(MAC);B2 良好的結構化設計、形式化安全模型;B3 全面的訪問控制、可信恢復;A1 形式化認證。各商用操作系統(tǒng)的安全級別如下表所示:操作系統(tǒng)安全級別第一部分操作系統(tǒng)加固B1級和C2級操作系統(tǒng)對比C2自主存取控制賬號與口令基于權限的訪問超級用戶超級權限超級用戶和屬主可更改權限B1強制存取控制電子簽名認證基于信息保密策略的訪問超級用戶安全管理權限分離安全管理員管理權限第一部分操作系統(tǒng)加固系統(tǒng)安全的重要性

第一部分操作系統(tǒng)加固工作原理系統(tǒng)及核心數據防護為防止由于操作系統(tǒng)(OS)內在的缺陷引起的各種攻擊,在基本的操作系統(tǒng)(OS)內部加入結合安全功能的安全內核(SecurityKernel).因對控制系統(tǒng)本身的操作系統(tǒng)(OS)加強安全功能,比起應用級的安全程序提供更強的安全功能.根源上阻斷由操作系統(tǒng)或應用程序的漏洞引起的攻擊.第一部分操作系統(tǒng)加固v優(yōu)炫系統(tǒng)加固主要功能用一個管理工具監(jiān)控及管理多個服務器，可對多個服務器同時進行安全管理基于系統(tǒng)用戶，對特定文件和文件夾的安全屬性進行控制；敏感文件的讀、寫、刪、建等權限分離系統(tǒng)狀態(tài)監(jiān)控(網絡，磁盤，進程狀態(tài)等)，用戶帳號及組管理對有潛在危險的setuid程序等安全危險要素管理根據端口，IP控制，設置詳細的審計日志實時傳送日志，系統(tǒng)自身日志計(syslog)統(tǒng)一管理網絡訪問控制文件安全防護豐富的審計日志危險因數管理系統(tǒng)管理服務分散部署，集中管理第一部分操作系統(tǒng)加固優(yōu)炫數據保護產品對環(huán)境無影響測試模式通過測試模式方式減少由安全策略應用而發(fā)生的問題通過測試模式的結果分析應用安全策略自身保護保護產品目錄及模塊KernelSealingKernelStealth防止非法的ModuleUnload&UninstallDLKM(DynamicLoadableKernelModule)方式不修改/影響OriginalKernel安裝及卸載時不需Rebooting第一部分操作系統(tǒng)加固優(yōu)炫數據庫安全審計–概要完整全面的審計日志自動化的，易于查看的，提供完整全面的信息供審計人員使用實時攻擊防護針對未授權的訪問和惡意攻擊進行實時警告和阻攔業(yè)務緊密關聯(lián)的報告和分析內置可自定義的各種報告和分析工具，可快速方便的法規(guī)遵從豐富的數據庫安全功能和專業(yè)的數據庫安全支持團隊提供定期的數據庫安全評估更新，專業(yè)的評估工具，數據庫用戶權限管理等具備數據庫敏感信息防護、數據庫狀態(tài)異常檢測等防護技術。專業(yè)的技術支持專家和大量的實際部署經驗

第二部分數據庫安全審計三層審計user通過Web表當獲取用戶信息user通過企業(yè)應用獲取用戶信息(fromSQLStream)ID=‘user’userSqluser捕獲共享賬號后的真實用戶信息第二部分數據庫安全審計DBDBDB優(yōu)炫數據庫防火墻功能模塊

提供數據庫狀態(tài)監(jiān)控、弱點（漏洞）掃描、SQL注入攻擊檢測、緩沖區(qū)溢出攻擊檢測、數據庫防火墻、數據庫審計、數據庫加密等系列功能。從數據庫的運行環(huán)境、實時訪問控制、審計分析到安全存儲等方面提升數據庫的整體安全水平。第二部分數據庫安全審計集中管理是前提身份管理是基礎訪問控制是手段權限控制是核心操作審計是保證最小化人為操作風險、提供事后追溯審計功能管理模式你是誰？你能去哪？你能做什么？你做了什么？智能運維管理系統(tǒng)第三部分智能運維管理系統(tǒng)智能運維管理系統(tǒng)IT運維流程管理模塊，從用戶運維申請-審批-操作-審計全過程跟蹤記錄。自動化運維管理模塊，將用戶日常重復性操作，簡化為定時腳本或命令推送功能，并將執(zhí)行結果合并。身份認證模塊：實現(xiàn)共享帳號后操作身份不唯一的問題。系統(tǒng)賬號密碼管理模塊：解決系統(tǒng)密碼定期維護問題。單點登錄模塊：實現(xiàn)后臺系統(tǒng)賬號的統(tǒng)一管理，實現(xiàn)單點登錄。用戶操作權限管理模塊：實現(xiàn)操作人員對核心數據訪問的操作權限分配功能。用戶操作行為管理模塊：用戶實時跟蹤操作者的操作行為，對危險操作可實時阻斷，可定義用戶操作行為是否合規(guī)。審計報表模塊：可出具各種規(guī)范性審計報表，也可根據用戶需要實現(xiàn)自定義報表功能。第三部分智能運維管理系統(tǒng)智能運維管理系統(tǒng)-運維流程管理模塊身份認證Web登陸智能運維管理系統(tǒng)認證交互發(fā)起運維申請選取運維人員選取運維設備及賬號定義運維時間填寫或上傳運維事由選擇運維審核人獲取運維人員、運維設備、主機賬號列表運維人員審核人員郵件通知登陸審核生成授權策略審核通過后寫入堡壘機授權。復核人員運維結束后將運維過程推送到流程管理平臺第三部分智能運維管理系統(tǒng)

數據庫透明加密

防止數據存儲介質丟失、DBA權限泄漏、直接復制文件等情況造成的數據泄密字段加密有選擇性的對用戶最重要、最敏感的數據進行字段級別的加密分離存儲將敏感數據與普通數據分離存儲密文索引采用自主專利的密文索引技術，避免全表解密，提高檢索效率數據庫透明加密系統(tǒng)第四部分數據庫透明加密系統(tǒng)

加密效果uxsino

Transparen