服務器加固方案（通用）

1、<p>　　***服務器安全解決方案</p><p><b>　　目錄</b></p><p><b>　　1、背景1</b></p><p>　　2、面臨的威脅及攻擊手段分析1</p><p>　　2.1系統(tǒng)安全漏洞問題1</p><p>　　2.2操作系統(tǒng)

2、完整性破壞2</p><p>　　2.3重要資源泄密的安全威脅2</p><p>　　2.4數(shù)據(jù)完整性破壞2</p><p>　　2.5沒有足夠強度身份驗證的安全威脅3</p><p>　　2.6沒有可執(zhí)行程序控制帶來的安全威脅3</p><p>　　2.7接入移動存儲設備的安全威脅4</p>

3、<p>　　2.8缺乏統(tǒng)一的服務器管理4</p><p>　　3、服務器加固解決方案4</p><p>　　4、服務器加固部署實施計劃6</p><p>　　5、節(jié)點-操作系統(tǒng)安全加固（服務器版）詳細功能介紹7</p><p>　　5.1服務器運行安全8</p><p>　　5.1.1身份鑒別8

4、</p><p>　　5.1.2執(zhí)行程序控制9</p><p>　　5.1.3網(wǎng)絡訪問控制9</p><p>　　5.2服務器數(shù)據(jù)安全10</p><p>　　5.2.1自主訪問控制10</p><p>　　5.2.2強制訪問控制10</p><p>　　5.2.3數(shù)據(jù)完整性保護10

5、</p><p>　　5.2.4數(shù)據(jù)保密性保護10</p><p>　　5.2.5移動介質權限管理11</p><p>　　5.3服務器安全管理11</p><p>　　5.3.1用戶權限控制11</p><p>　　5.3.2管理員職責分離11</p><p>　　5.3.3行為審計

6、監(jiān)控11</p><p>　　6、實施后可實現(xiàn)的效果12</p><p>　　6.1構建業(yè)務系統(tǒng)源于底層安全環(huán)境，抵御各種入侵行為12</p><p>　　6.2以技術手段輔助管理，防止內部人員的非法訪問12</p><p>　　6.3彌補常規(guī)防護手段的不足，提高整體防御力12</p><p>　　6.4構建

7、統(tǒng)一安全管理平臺，集中管控全部服務器12</p><p><b>　　1、背景</b></p><p>　　隨著計算機網(wǎng)絡技術的迅速發(fā)展和進步，信息和計算機網(wǎng)絡系統(tǒng)現(xiàn)在已經(jīng)成為社會發(fā)展的重要保證。由信息和計算機網(wǎng)絡系統(tǒng)構成的信息系統(tǒng)中，最薄弱、易受攻擊、而保護力度又相對缺乏的就是對服務器的保護。服務器是信息系統(tǒng)中敏感信息的直接載體，也是各類應用運行的平臺，因此對服務

8、器的保護是保證整個信息系統(tǒng)安全的基礎，而對服務器操作系統(tǒng)安全保障又是保證服務器安全的核心所在。</p><p>　　2、面臨的威脅及攻擊手段分析</p><p><b>　　***企業(yè)網(wǎng)絡是</b></p><p>　　***網(wǎng)絡在信息安全建設中已經(jīng)投入了大量的資金，在邊界安全及傳輸安全方面部署了大量的安全產(chǎn)品，***企業(yè)網(wǎng)絡能夠在相當程度上阻

9、來自網(wǎng)絡的攻擊行為，然而***企業(yè)網(wǎng)絡的眾多服務器仍然面臨安全威脅，主要原因是由于邊界類安全產(chǎn)品的安全機制容易被惡意攻擊者通過某些技術手段旁路，并且也無法防御新型攻擊和來自局域網(wǎng)內部攻擊的安全威脅。</p><p>　　2.1系統(tǒng)安全漏洞問題</p><p>　　操作系統(tǒng)存在較多安全漏洞，每一年報告給CERT/CC的漏洞數(shù)量也在成倍增長，如僅在2009年一年，微軟公司就發(fā)布了72個補丁修復

10、了近190個安全漏洞。而其中很多漏洞會被黑客利用，成為黑客攻擊的目標或跳板。對于服務器管理員來說想要跟上補丁的步伐是很困難的。另外，每年都會發(fā)現(xiàn)新的類型的漏洞。對于新的漏洞類型的代碼實例分析常常導致數(shù)以百計的其他不同軟件漏洞的發(fā)現(xiàn)。而且，入侵者往往能夠在軟件廠商更正這些漏洞之前首先發(fā)現(xiàn)這些漏洞。</p><p>　　面對操作系統(tǒng)安全漏洞，用戶所能做的往往是以“打補丁”的方式為操作系統(tǒng)不斷的升級更新。這種方式最大的

11、缺陷是系統(tǒng)補丁的滯后性：（1）從補丁測試到分發(fā)，需要較長周期。在此期間，操作系統(tǒng)安全仍然無法得到保障；（2）補丁永遠是在漏洞之后，且補丁永遠“打不完”；（3）隨著發(fā)現(xiàn)漏洞的工具的自動化趨勢，留給服務器管理員打補丁的時間越來越短。</p><p>　　因此這種事后補救的方式存在著較大的安全隱患，往往在補丁沒有發(fā)布之前，黑客就已經(jīng)利用這些漏洞對服務器造成極大的破壞。</p><p>　　除操作

12、系統(tǒng)外，服務器上的第三方軟件也會存在或多或少的漏洞，這些漏洞中有不少可被利用，嚴重威脅服務器安全。此情況也同時困擾著***的信息系統(tǒng)服務器，成為管理員極為頭痛的問題。</p><p>　　2.2操作系統(tǒng)完整性破壞</p><p>　　服務器操作系統(tǒng)完整性破壞是當前服務器面臨的主要安全威脅。現(xiàn)有服務器操作系統(tǒng)，從開機啟動到運行服務過程中，對執(zhí)行代碼不做任何完整性檢查，導致病毒、木馬程序可以嵌

13、入到執(zhí)行代碼程序或者直接替換原有程序，實現(xiàn)病毒、木馬等惡意代碼的傳播。這些惡意代碼一旦被激活，就會繼承當前用戶的權限，從而肆無忌憚地進行傳播，為所欲為地破壞服務器操作系統(tǒng)的完整性，例如在服務器管理員毫不知情的情況下修改或刪除服務器中的重要信息，導致服務器操作系統(tǒng)無法正常運作等。</p><p>　　雖然用戶往往在服務器上部署了病毒查殺類產(chǎn)品，但是目前的病毒查殺類產(chǎn)品都是采用病毒庫的方式，因此只能防范已知的病毒、木

14、馬、攻擊程序等惡意代碼，對于新型的、未知的病毒、木馬、攻擊程序等惡意代碼是無能為力的，這種被動防御的方式帶來的安全滯后性問題將嚴重威脅服務器的安全。</p><p>　　另外執(zhí)行程序運行過程中不滿足最小權限原則，使得非法操作者和惡意代碼能夠擁有至高無上的權限，從而給破壞服務器操作系統(tǒng)完整性的行為預留了空間。顯然，為了保障服務器的安全，必須防范各種已知及未知破壞系統(tǒng)完整性的攻擊，從根本上保證系統(tǒng)的完整可信。<

15、/p><p>　　2.3重要資源泄密的安全威脅</p><p>　　***同時應用著多種信息系統(tǒng)，某些服務器（FTP、samba、nfs等）會保存公司的重要文件（工資單、技術文檔、標書，機密資料等），但是在對重要文件的訪問沒有進行嚴格的控制，一旦這些重要的資料泄漏對政府、企業(yè)都會帶來極其嚴重的影響，甚至威脅國家安全或企業(yè)利益。網(wǎng)絡訪問的威脅</p><p>　　服務器會

16、通過網(wǎng)絡對外提供網(wǎng)絡服務，然而服務器無法對訪問服務器的客戶端進行驗證，對于通過網(wǎng)絡向客戶端進行輸入的數(shù)據(jù)無法進行驗證，網(wǎng)絡訪問給服務器帶來更多威脅。</p><p>　　來自局域網(wǎng)內部的非授權訪問</p><p>　　局域網(wǎng)內部針對服務器的訪問行為一般是通過傳統(tǒng)的操作系統(tǒng)的口令認證方式實現(xiàn)，這種安全機制很容易被內部惡意用戶利用提權、密碼攻擊等方式破解，所以往往無法防止來自內部的非授權訪問問

17、題，這種非授權訪問帶來的主要威脅是通過內部網(wǎng)絡竊取重要資源和機密文件、植入病毒木馬等惡意代碼威脅局域網(wǎng)安全。</p><p>　　2.4數(shù)據(jù)完整性破壞</p><p>　　數(shù)據(jù)完整性面臨的威脅主要指服務器中的重要數(shù)據(jù)在存儲期間被惡意篡改，使得重要數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負面影響，惡意用戶可以通過網(wǎng)絡或其他方式對沒有采取安全措施的服務器上存放的重要數(shù)據(jù)進行修改或傳達

18、一些虛假信息，從而影響工作的正常進行。</p><p>　　2.5沒有足夠強度身份驗證的安全威脅</p><p>　　目前服務器普遍存在的問題就是管理員身份單一，致使管理員權限過大，這樣會對服務器帶來一定的安全隱患。并且出于服務器業(yè)務操作和運行維護的需要，服務器經(jīng)常是混用的，即多人可對同一臺服務器進行操作。而服務器操作系統(tǒng)本身只提供用戶名/口令認證方式，因此多人不得不共用服務器賬戶和口令，

19、這樣就造成服務器用戶身份鑒別不明，難以根據(jù)用戶的身份和角色分配權限，無法進行嚴格地訪問控制，容易產(chǎn)生誤操作；也不能根據(jù)用戶身份進行行為審計，無法實現(xiàn)事后追查。另外，單純的用戶名/口令認證方式容易受到字典攻擊等攻擊方式，導致黑客獲取口令執(zhí)行惡意操作。</p><p><b>　　攻擊手段如下：</b></p><p><b>　　緩沖區(qū)溢出攻擊</b&g

20、t;</p><p>　　惡意攻擊者利用緩沖區(qū)溢出的攻擊方式獲得管理員的權限，以管理員的身份登錄服務器，從事其他惡意操作行為。</p><p><b>　　字典攻擊</b></p><p>　　惡意攻擊者從預定義好的通用或預計的密碼列表中嘗試使用每一個可能的密碼，從而能夠破解用戶帳號和密碼。雖然密碼被存儲在安全系統(tǒng)中某個賬戶的數(shù)據(jù)庫文件內，并且

21、用散列加密的方式存在，但是使用逆向散列匹配的密碼攻擊工具仍然能夠破解密碼。</p><p>　　一旦惡意攻擊者利用以上攻擊方式獲得操作系統(tǒng)用戶的身份，由于操作系統(tǒng)的執(zhí)行程序按照用戶“宣稱”的身份進行訪問控制，所以惡意攻擊者就此獲得了這些用戶的權限，對操作系統(tǒng)進行破壞。</p><p>　　2.6沒有可執(zhí)行程序控制帶來的安全威脅</p><p>　　服務器的操作系統(tǒng)自

22、身有很多的可執(zhí)行程序，當這些可執(zhí)行程序執(zhí)行或修改的時候，操作系統(tǒng)對其執(zhí)行或修改行為沒有嚴格的控制手段，無法驗證其是否是安全的操作行為，是否會給服務器的安全帶來威脅；服務器上還會安裝支撐服務的軟件，這些軟件本身存在諸多漏洞會增加服務器的風險，對于這些軟件的執(zhí)行或修改的操作行為無法進行安全驗證。攻擊手段如下：</p><p><b>　　惡意程序攻擊</b></p><p&g

23、t;　　向服務器植入未知的病毒、木馬、竊取軟件等惡意代碼躲避殺毒軟件的查殺，他們將破壞服務器的操作系統(tǒng)及應用服務系統(tǒng)，盜取用戶機密信息，感染操作系統(tǒng)的可執(zhí)行程序使操作系統(tǒng)無法正常使用，向訪問該服務器的終端傳播病毒造成更嚴重的破壞。</p><p><b>　　安裝不安全軟件</b></p><p>　　由于操作系統(tǒng)本身不會對安裝軟件等行為的安全性進行驗證，服務器用戶在

24、未授權的情況下，可以在服務器安裝任何的軟件，一些帶有漏洞甚至本身就不安全的軟件有可能被安裝在服務器上，威脅服務器的安全。</p><p>　　2.7接入移動存儲設備的安全威脅</p><p>　　服務器對于接入的移動存儲設備（U盤等）沒有進行安全認證，會給其帶來安全威脅。攻擊手段如下：</p><p><b>　　竊取重要資源</b></

25、p><p>　　由于對接入的移動存儲設備缺乏認證，內部的惡意用戶可以通過接入移動存儲設備的方式竊取重要的資源和機密文件。</p><p><b>　　植入惡意代碼</b></p><p>　　內部惡意用戶還能夠通過移動存儲設備向服務器植入新型的病毒、木馬等惡意代碼，使服務器和終端無法正常工作，通過移動存儲設備竊取重要的資源和機密文件。</p&

26、gt;<p>　　2.8缺乏統(tǒng)一的服務器管理</p><p>　　目前大多數(shù)服務器仍采用單機管理模式，即服務器管理員對每一臺服務器單獨進行管理維護，這樣的管理模式會存在一定的安全滯后性。服務器要實現(xiàn)真正有效的安全管理，必須能實現(xiàn)對所有服務器的統(tǒng)一集中管理、統(tǒng)一安全策略下發(fā)，以及安全事件的統(tǒng)一監(jiān)控和協(xié)同處理，才有可能構建健康的服務器安全管理體系。</p><p>　　3、服務器

27、加固解決方案</p><p>　　服務器加固總體設計思路：</p><p>　　在充分對***當前網(wǎng)絡安全建設情況和面臨的威脅調研分析后，我們提出以先進的可信計算技術為基礎，以有效的訪問控制為核心，操作系統(tǒng)安全支持應用系統(tǒng)安全，構造完整可信的信息安全立體防護體系的設計思路。在安全管理中心的統(tǒng)一管控下，通過基于“白名單”的主動防御機制，從操作系統(tǒng)層出發(fā)，對全部執(zhí)行程序進行“預期式”控制，并且

28、全部技術均屬我國自主知識產(chǎn)權。該服務器加固解決方案在提升了服務器的抗攻擊能力、達到安全防御手段自主可控、形成由操作系統(tǒng)底層對應用及數(shù)據(jù)安全的基礎支撐、體現(xiàn)了技術與管理相結合的特點等眾多基礎上，全面的保護了服務器上數(shù)據(jù)的機密性和完整性以及系統(tǒng)的可用性，構建了服務器安全保護的堅固堡壘。</p><p>　　核心內容可以總結為主動防御機制、操作系統(tǒng)層保護機制和三權分立的管理機制：</p><p>

29、;<b>　　主動防御機制</b></p><p>　　通過對可執(zhí)行程序的有效控制，使系統(tǒng)具備主動防御的能力，達到防御未知病毒、未知威脅的目的。所謂“主動防御”其實是針對傳統(tǒng)的“特征值掃描技術”而言。如果說傳統(tǒng)的“特征值掃描技術”是通過建立黑名單實現(xiàn)對病毒、惡意代碼等的過濾和查殺，那么，主動防御機制就是建立可信程序的“白名單”，只有“白名單”中的程序才能夠運行，這樣，任何新型病毒、新型惡意代

30、碼都會因為不在“白名單”之上而無法運行，從而能夠實現(xiàn)對未知病毒、木馬、惡意代碼等的有效防御。</p><p>　　主動防御技術比較好的彌補了傳統(tǒng)殺毒軟件采用“特征碼查殺”和“監(jiān)控”相對滯后的技術弱點，同時規(guī)避了補丁內容不可預知性的缺陷，可以在病毒發(fā)作之前進行主動而有效的全面防范，從技術層面上有效的遏制了未知病毒的爆發(fā)與擴散。</p><p><b>　　操作系統(tǒng)層保護機制<

31、/b></p><p>　　從服務器操作系統(tǒng)層面的保護出發(fā)，利用文件過濾驅動技術，進行執(zhí)行程序可信度量和訪問行為的控制，構筑系統(tǒng)底層的加固機制，同時形成對上層應用和數(shù)據(jù)的安全支撐。</p><p>　　執(zhí)行程序可信度量可以確保系統(tǒng)中的執(zhí)行程序免受非授權修改，從而保護其完整性。用來保證系統(tǒng)所啟動的進程都是可信的。服務器上的執(zhí)行程序經(jīng)過安全管理員的安全性檢查后，其正常啟動所依賴相關模塊的

32、摘要值被記錄在系統(tǒng)策略文件中，由安全管理中心統(tǒng)一管理與分發(fā)。執(zhí)行程序啟動前，系統(tǒng)會度量該程序相關模塊的完整性，只有在度量結果和預存值一致的前提下，該程序才被認為是可信的，從而允許啟動，否則拒絕其執(zhí)行。因此即使系統(tǒng)中的某一執(zhí)行程序被惡意修改，由于其不再可信，系統(tǒng)將禁止其執(zhí)行，從而阻止了惡意行為繼續(xù)傳播和破壞，降低了系統(tǒng)完整性被破壞的風險。訪問行為的控制機制通過安全策略限制執(zhí)行程序的權限，使其只擁有完成任務的最小權限，防止非法訪問行為的發(fā)生

33、，即使系統(tǒng)被惡意腳本入侵，其破壞范圍也是有限的，無法波及整個系統(tǒng)，保證了數(shù)據(jù)的機密性，應用的完整性，同時也形成了對應用安全的有力支撐。</p><p><b>　　三權分立的管理機制</b></p><p>　　通過建立安全管理中心，制定并強制服務器執(zhí)行統(tǒng)一的系統(tǒng)安全策略，確保服務器的運行狀態(tài)始終可控、可管，從而建立基于可信計算技術的安全應用環(huán)境。</p>

34、<p>　　管理中心采用了三權分立的原則，設立了系統(tǒng)管理員、安全管理員和安全審計員。三個管理員分工明確、相互合作、相互制約，有效避免了權限過于集中、形成安全管理漏洞的隱患。</p><p>　　通過上述“三權分立”的機制，使得系統(tǒng)中的不同用戶相互監(jiān)督、相互制約，每個用戶各司其職，共同保障信息系統(tǒng)的安全。</p><p>　　4、服務器加固部署實施計劃</p>&

35、lt;p>　　在具體設計時，服務器加固產(chǎn)品將重點圍繞“一個中心，兩個基本點”的思路加以展開?！耙粋€中心”即安全管理中心，“兩個基本點”包括用戶身份認證的安全性增強，以及操作系統(tǒng)內核的安全性增強。安全管理中心負責給用戶下發(fā)身份認證信息，確保用戶身份的安全可信；同時，安全管理中心還負責向所有服務器的操作系統(tǒng)內核，下發(fā)統(tǒng)一的安全策略，實現(xiàn)內核級的訪問控制，如圖4-1所示。</p><p>　　圖4-1 服務器加固

36、產(chǎn)品總體架構</p><p>　　圍繞總體設計思路，為所有的服務器部署節(jié)點-操作系統(tǒng)安全加固（服務器版），該系統(tǒng)由三部分組成：節(jié)點-操作系統(tǒng)安全加固（服務器版）安全管理中心（簡稱“安全管理中心”）、節(jié)點-操作系統(tǒng)安全加固（服務器版）安全代理程序（簡稱“服務器安全代理”）和用戶身份認證USB－KEY。安全管理中心是核心，各服務器在安全管理中心的支撐下，接受安全管理員的統(tǒng)一管理，以實現(xiàn)各服務器的運行狀態(tài)始終可控、可管

37、。</p><p>　　在現(xiàn)有服務器硬件平臺上，增加一個硬件模塊USB-KEY，作為系統(tǒng)的信任根以及用戶身份的唯一標識；在每臺服務器操作系統(tǒng)內核層，安裝服務器安全代理，執(zhí)行安全策略。</p><p>　　圖4-2：服務器加固產(chǎn)品整體部署</p><p>　　注：此圖為邏輯拓撲圖，根據(jù)實際拓撲情況進行產(chǎn)品部署</p><p>　　5、節(jié)點-操作

38、系統(tǒng)安全加固（服務器版）詳細功能介紹</p><p>　　服務器是信息系統(tǒng)的主要組成部分，是為網(wǎng)絡環(huán)境中的客戶端計算機提供特定的應用服務的計算機系統(tǒng)。服務器安全就是要對在服務器中存儲、處理和發(fā)布的數(shù)據(jù)信息進行安全保護，使其免遭由于人為原因所帶來的泄露、破壞和不可用的情況，因此服務器的安全既要考慮服務器的安全運行保護，也要考慮對服務器中所存儲、處理和發(fā)布的數(shù)據(jù)信息的保護。由于攻擊和威脅既可能是針對服務器運行的；也可

39、能是針對服務器中所存儲、處理和發(fā)布的數(shù)據(jù)信息的保密性、完整性和可用性的；另外服務器安全管理的不完善同樣會給服務器的安全帶來威脅，所以對服務器的安全保護的功能要求，需要從服務器運行安全、服務器數(shù)據(jù)安全和服務器管理安全三方面綜合進行考慮。</p><p>　　節(jié)點-操作系統(tǒng)安全加固（服務器版）從服務器運行安全、服務器數(shù)據(jù)安全、服務器安全管理三個方面出發(fā)保證服務器的安全。產(chǎn)品是在現(xiàn)有服務器操作系統(tǒng)基礎上，強化了服務器的

40、身份鑒別、執(zhí)行程序控制、數(shù)據(jù)完整性保護、數(shù)據(jù)保密性保護、系統(tǒng)完整性保護以及行為審計機制，增加了強制訪問控制機制，為服務器提供全面的保護。產(chǎn)品架構圖如下：</p><p>　　圖: 節(jié)點-操作系統(tǒng)安全加固（服務器版）產(chǎn)品功能架構圖</p><p>　　5.1服務器運行安全</p><p><b>　　5.1.1身份鑒別</b></p>

41、<p>　　現(xiàn)有的服務器操作系統(tǒng)仍采用單一口令認證方式對用戶身份進行鑒別，容易受到字典攻擊。在節(jié)點-操作系統(tǒng)安全加固（服務器版）中，引入一個硬件USB-KEY令牌。該 USB-KEY為用戶身份的唯一標識，當用戶登錄服務器系統(tǒng)時，需要插入USB-KEY，然后系統(tǒng)對用戶進行雙因子身份認證，用戶只有擁有合法的USB-KEY，并且輸入正確的服務器操作系統(tǒng)口令+ USB-KEY口令，才能登錄服務器。身份鑒別流程如下：</p&g

42、t;<p>　　圖5.1.1 節(jié)點-操作系統(tǒng)安全加固（服務器版）身份鑒別流程</p><p>　　通過雙因子的身份鑒別，將用戶身份與USB-KEY綁定，可有效防止用戶身份偽造事件的發(fā)生；對于一個已標識和鑒別的用戶，將該用戶的身份與該用戶的所有可審計行為相關聯(lián)，以實現(xiàn)用戶行為的可查性。</p><p>　　5.1.2執(zhí)行程序控制</p><p><

43、;b>　　執(zhí)行程序可信度量</b></p><p>　　節(jié)點-操作系統(tǒng)安全加固（服務器版）提供執(zhí)行程序可信度量功能。執(zhí)行程序啟動前，產(chǎn)品中的核心模塊會度量該程序相關模塊是否在可信域內，只有在度量結果和預存值一致的前提下，該程序才允許啟動，否則拒絕其執(zhí)行。因此即使系統(tǒng)中的某一執(zhí)行程序被病毒或木馬感染，由于其不再可信，節(jié)點-操作系統(tǒng)安全加固（服務器版）將禁止其執(zhí)行，從而阻止了惡意代碼繼續(xù)傳播和破壞，

44、降低了服務器操作系統(tǒng)完整性被破壞的風險。正是由于上述安全機制，節(jié)點-操作系統(tǒng)安全加固（服務器版）實現(xiàn)了服務器對于已知/未知病毒、木馬、攻擊程序等惡意代碼自免疫。</p><p><b>　　程序安裝控制</b></p><p>　　節(jié)點-操作系統(tǒng)安全加固（服務器版）提供了程序安裝接口，僅允許通過此接口在服務器上安裝應用程序。通過這種方式將嚴格控制程序的安裝行為，禁止未

45、經(jīng)授權非法在服務器上安裝應用程序。</p><p>　　而且通過上述規(guī)則，限制了普通用戶安裝新的應用程序的能力，從而可以有效防止內部精通業(yè)務、懂技術、會編程的專業(yè)人士對服務器系統(tǒng)安全的威脅。</p><p><b>　　可信代碼防篡改</b></p><p>　　可信代碼通常面臨著病毒、木馬的破壞以及惡意修改、惡意刪除等威脅。因此節(jié)點-操作系統(tǒng)

46、安全加固（服務器版）提供了對于可信代碼的實時保護，禁止任何的破壞和非法修改行為，保護可信代碼的完整性和可用性不被破壞。</p><p>　　5.1.3網(wǎng)絡訪問控制</p><p>　　節(jié)點-操作系統(tǒng)安全加固（服務器版）增強了服務器操作系統(tǒng)的網(wǎng)絡訪問控制能力，通過對訪問服務器的用戶/終端的身份進行鑒別，防止非授權用戶/終端接入服務器。通過可信互聯(lián)機制，實現(xiàn)對接入的有效控制。</p>

47、;<p>　　服務器管理員規(guī)定哪些用戶/終端可以接入服務器系統(tǒng)。因此在用戶/終端嘗試接入服務器系統(tǒng)時，安全內核會檢查該用戶/終端的平臺身份，只有檢驗通過后，該用戶/終端方能與服務器進行網(wǎng)絡通信。</p><p>　　5.2服務器數(shù)據(jù)安全</p><p>　　5.2.1自主訪問控制</p><p>　　現(xiàn)有的服務器經(jīng)常是混用的，如果用戶以管理員身份登陸，

48、則可以訪問服務器系統(tǒng)中的任何文件，從而造成敏感數(shù)據(jù)的泄露。但是安裝了節(jié)點-操作系統(tǒng)安全加固（服務器版）后，可以對服務器上的重要數(shù)據(jù)設置相應的權限，禁止非授權用戶訪問這些敏感數(shù)據(jù)。通過自主訪問控制模式來限制用戶權限，以達到保護服務器資源安全的目的。</p><p>　　5.2.2強制訪問控制</p><p>　　節(jié)點-操作系統(tǒng)安全加固（服務器版）提供了強制訪問控制機制，通過對執(zhí)行程序的強制訪

49、問控制、對信息資源的強制訪問控制、對移動設備的強制訪問控制等機制實現(xiàn)對應用進行安全“隔離”。該機制由統(tǒng)一安全管理平臺對服務器系統(tǒng)中的主體（用戶）及客體（文件、目錄、移動設備等）進行安全標識，根據(jù)客體類型的不同，分別制定了不同的訪問控制規(guī)則，嚴格控制用戶行為，保證用戶的任何行為都在安全策略的支撐下，從而全方位地確保服務器中的重要數(shù)據(jù)的 “拿不走”，保護服務器系統(tǒng)的機密性。</p><p>　　5.2.3數(shù)據(jù)完整性保

50、護</p><p>　　對于服務器中存放的重要數(shù)據(jù)的完整性進行保護也是保障服務器安全的核心問題。節(jié)點-操作系統(tǒng)安全加固（服務器版）允許用戶或進程以不同訪問權限對文件/目錄設置強制訪問控制規(guī)則，在不改變原有服務器文件系統(tǒng)格式的基礎上，實現(xiàn)強制訪問控制。任何用戶及其調用的進程對服務器敏感文件或目錄進行操作行為時都要進行嚴格的控制，杜絕用戶數(shù)據(jù)被篡改、刪除、插入等情況的發(fā)生，從而全方位地確保重要數(shù)據(jù)的完整性不被破壞。&

51、lt;/p><p>　　5.2.4數(shù)據(jù)保密性保護</p><p>　　數(shù)據(jù)存儲保護是防止信息泄露最有效的手段，節(jié)點-操作系統(tǒng)安全加固（服務器版）支持對服務器硬盤數(shù)據(jù)透明加解密，從而達到了服務器重要數(shù)據(jù)即使被盜取，數(shù)據(jù)盜取者也“看不懂”的效果。</p><p>　　所謂透明加解密是指該加解密過程對用戶是透明的，這一過程在操作系統(tǒng)層實現(xiàn)，對上層應用透明，用戶感覺不到它的存在

52、。這一特性可以保證服務器系統(tǒng)中的重要數(shù)據(jù)在存儲中都以密文的形式存在。</p><p>　　在節(jié)點-操作系統(tǒng)安全加固（服務器版）中，服務器管理員可以根據(jù)客體的不同安全級制定不同的數(shù)據(jù)保護策略，方便信息系統(tǒng)和外界進行數(shù)據(jù)交換。</p><p>　　5.2.5移動介質權限管理</p><p>　　節(jié)點-操作系統(tǒng)安全加固（服務器版）對于移動介質進行嚴格的控制，所有移動介質在

53、使用之前都需經(jīng)過授權，未經(jīng)授權的移動介質一律禁止在服務器上使用。對于已授權的移動介質進行標記管理，對其使用行為進行全程的嚴格控制，從而防止通過移動介質非法拷貝服務器敏感信息等惡意事件的發(fā)生。</p><p>　　5.3服務器安全管理</p><p>　　5.3.1用戶權限控制</p><p>　　對于用戶權限的劃分，用戶的任何行為都要受到統(tǒng)一安全管理平臺的策略控制，

54、從而有效解決內部有權限的人員有意無意發(fā)起的攻擊。</p><p>　　5.3.2管理員職責分離</p><p>　　為了方便權限管理，節(jié)點-操作系統(tǒng)安全加固（服務器版）引入以下三個管理員角色：系統(tǒng)管理員、安全管理員和安全審計員。根據(jù)最小權限原則，系統(tǒng)只賦予每個管理員完成任務所需的最小權限。</p><p>　　系統(tǒng)管理員具有對服務器進行日常維護的權限，其操作權限由安

55、全管理員制定，其行為由系統(tǒng)審計機制監(jiān)控。安全管理員只有完成安全管理任務的權限，即配置服務器系統(tǒng)安全策略等，并且安全管理員的一切操作行為都被記入審計日志。安全審計員只負責審計日志的存取控制，不具有安全管理員和系統(tǒng)操作員的權限。</p><p>　　節(jié)點-操作系統(tǒng)安全加固（服務器版）正是通過上述“三權分立”的機制，使得服務器系統(tǒng)中的不同管理員之間相互監(jiān)督、相互制約，每個角色各司其職，共同保障服務器系統(tǒng)的安全。<

56、/p><p>　　5.3.3行為審計監(jiān)控</p><p>　　從“三權分立”的角度來看，安全審計員主要起監(jiān)督作用，監(jiān)督服務器系統(tǒng)中與安全相關的行為，尤其是安全管理員對安全策略的制定、修改以及授權用戶違反安全策略的行為，達到非法行為“賴不掉”的效果。具體包括用戶對服務器重要數(shù)據(jù)的操作甚至降級行為、對移動介質的使用行為、不可信程序的啟動行為、用戶的越權訪問行為、安全管理員對策略的制定和修改行為、安

57、全操作員對系統(tǒng)的維護行為等。另外只有安全審計員可以修改或者刪除審計日志，于是只要惡意用戶試圖去破壞服務器系統(tǒng)的安全性，其行為就必然會被審計記錄，為日后追查留下證據(jù)。</p><p>　　6、實施后可實現(xiàn)的效果</p><p>　　6.1構建業(yè)務系統(tǒng)源于底層安全環(huán)境，抵御各種入侵行為</p><p>　　本方案通過對服務器的操作系統(tǒng)進行安全加固，從系統(tǒng)底層為出發(fā)點，以

58、可信計算技術為基礎、訪問控制為核心，保證服務器的安全，形成嚴密的安全保護環(huán)境，抵御病毒木馬等惡意代碼的入侵行為。</p><p>　　6.2以技術手段輔助管理，防止內部人員的非法訪問</p><p>　　本方案通過對用戶行為的控制，有效的防止非授權用戶訪問和授權用戶的越權訪問行為的發(fā)生，確保信息和信息系統(tǒng)的機密性和完整性，從而為應用系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障。</p&

59、gt;<p>　　6.3彌補常規(guī)防護手段的不足，提高整體防御力</p><p>　　本方案通過對操作系統(tǒng)本身的安全加固，打造服務器本身的免疫系統(tǒng)?？梢杂行У囊?guī)避因打補丁給服務器帶來的風險，切斷黑客的攻擊途徑。同時，本方案通過主動防御和防網(wǎng)絡攻擊等功能彌補了傳統(tǒng)安全產(chǎn)品的不足，避免出現(xiàn)信息安全的短板效應，提高了系統(tǒng)的整體防御能力。</p><p>　　6.4構建統(tǒng)一安全管理平臺