服務(wù)器加固方案（通用）

1、<p>　　***服務(wù)器安全解決方案</p><p><b>　　目錄</b></p><p><b>　　1、背景1</b></p><p>　　2、面臨的威脅及攻擊手段分析1</p><p>　　2.1系統(tǒng)安全漏洞問題1</p><p>　　2.2操作系統(tǒng)

2、完整性破壞2</p><p>　　2.3重要資源泄密的安全威脅2</p><p>　　2.4數(shù)據(jù)完整性破壞2</p><p>　　2.5沒有足夠強(qiáng)度身份驗(yàn)證的安全威脅3</p><p>　　2.6沒有可執(zhí)行程序控制帶來的安全威脅3</p><p>　　2.7接入移動存儲設(shè)備的安全威脅4</p>

3、<p>　　2.8缺乏統(tǒng)一的服務(wù)器管理4</p><p>　　3、服務(wù)器加固解決方案4</p><p>　　4、服務(wù)器加固部署實(shí)施計劃6</p><p>　　5、節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）詳細(xì)功能介紹7</p><p>　　5.1服務(wù)器運(yùn)行安全8</p><p>　　5.1.1身份鑒別8

4、</p><p>　　5.1.2執(zhí)行程序控制9</p><p>　　5.1.3網(wǎng)絡(luò)訪問控制9</p><p>　　5.2服務(wù)器數(shù)據(jù)安全10</p><p>　　5.2.1自主訪問控制10</p><p>　　5.2.2強(qiáng)制訪問控制10</p><p>　　5.2.3數(shù)據(jù)完整性保護(hù)10

5、</p><p>　　5.2.4數(shù)據(jù)保密性保護(hù)10</p><p>　　5.2.5移動介質(zhì)權(quán)限管理11</p><p>　　5.3服務(wù)器安全管理11</p><p>　　5.3.1用戶權(quán)限控制11</p><p>　　5.3.2管理員職責(zé)分離11</p><p>　　5.3.3行為審計

6、監(jiān)控11</p><p>　　6、實(shí)施后可實(shí)現(xiàn)的效果12</p><p>　　6.1構(gòu)建業(yè)務(wù)系統(tǒng)源于底層安全環(huán)境，抵御各種入侵行為12</p><p>　　6.2以技術(shù)手段輔助管理，防止內(nèi)部人員的非法訪問12</p><p>　　6.3彌補(bǔ)常規(guī)防護(hù)手段的不足，提高整體防御力12</p><p>　　6.4構(gòu)建

7、統(tǒng)一安全管理平臺，集中管控全部服務(wù)器12</p><p><b>　　1、背景</b></p><p>　　隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和進(jìn)步，信息和計算機(jī)網(wǎng)絡(luò)系統(tǒng)現(xiàn)在已經(jīng)成為社會發(fā)展的重要保證。由信息和計算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成的信息系統(tǒng)中，最薄弱、易受攻擊、而保護(hù)力度又相對缺乏的就是對服務(wù)器的保護(hù)。服務(wù)器是信息系統(tǒng)中敏感信息的直接載體，也是各類應(yīng)用運(yùn)行的平臺，因此對服務(wù)

8、器的保護(hù)是保證整個信息系統(tǒng)安全的基礎(chǔ)，而對服務(wù)器操作系統(tǒng)安全保障又是保證服務(wù)器安全的核心所在。</p><p>　　2、面臨的威脅及攻擊手段分析</p><p><b>　　***企業(yè)網(wǎng)絡(luò)是</b></p><p>　　***網(wǎng)絡(luò)在信息安全建設(shè)中已經(jīng)投入了大量的資金，在邊界安全及傳輸安全方面部署了大量的安全產(chǎn)品，***企業(yè)網(wǎng)絡(luò)能夠在相當(dāng)程度上阻

9、來自網(wǎng)絡(luò)的攻擊行為，然而***企業(yè)網(wǎng)絡(luò)的眾多服務(wù)器仍然面臨安全威脅，主要原因是由于邊界類安全產(chǎn)品的安全機(jī)制容易被惡意攻擊者通過某些技術(shù)手段旁路，并且也無法防御新型攻擊和來自局域網(wǎng)內(nèi)部攻擊的安全威脅。</p><p>　　2.1系統(tǒng)安全漏洞問題</p><p>　　操作系統(tǒng)存在較多安全漏洞，每一年報告給CERT/CC的漏洞數(shù)量也在成倍增長，如僅在2009年一年，微軟公司就發(fā)布了72個補(bǔ)丁修復(fù)

10、了近190個安全漏洞。而其中很多漏洞會被黑客利用，成為黑客攻擊的目標(biāo)或跳板。對于服務(wù)器管理員來說想要跟上補(bǔ)丁的步伐是很困難的。另外，每年都會發(fā)現(xiàn)新的類型的漏洞。對于新的漏洞類型的代碼實(shí)例分析常常導(dǎo)致數(shù)以百計的其他不同軟件漏洞的發(fā)現(xiàn)。而且，入侵者往往能夠在軟件廠商更正這些漏洞之前首先發(fā)現(xiàn)這些漏洞。</p><p>　　面對操作系統(tǒng)安全漏洞，用戶所能做的往往是以“打補(bǔ)丁”的方式為操作系統(tǒng)不斷的升級更新。這種方式最大的

11、缺陷是系統(tǒng)補(bǔ)丁的滯后性：（1）從補(bǔ)丁測試到分發(fā)，需要較長周期。在此期間，操作系統(tǒng)安全仍然無法得到保障；（2）補(bǔ)丁永遠(yuǎn)是在漏洞之后，且補(bǔ)丁永遠(yuǎn)“打不完”；（3）隨著發(fā)現(xiàn)漏洞的工具的自動化趨勢，留給服務(wù)器管理員打補(bǔ)丁的時間越來越短。</p><p>　　因此這種事后補(bǔ)救的方式存在著較大的安全隱患，往往在補(bǔ)丁沒有發(fā)布之前，黑客就已經(jīng)利用這些漏洞對服務(wù)器造成極大的破壞。</p><p>　　除操作

12、系統(tǒng)外，服務(wù)器上的第三方軟件也會存在或多或少的漏洞，這些漏洞中有不少可被利用，嚴(yán)重威脅服務(wù)器安全。此情況也同時困擾著***的信息系統(tǒng)服務(wù)器，成為管理員極為頭痛的問題。</p><p>　　2.2操作系統(tǒng)完整性破壞</p><p>　　服務(wù)器操作系統(tǒng)完整性破壞是當(dāng)前服務(wù)器面臨的主要安全威脅?，F(xiàn)有服務(wù)器操作系統(tǒng)，從開機(jī)啟動到運(yùn)行服務(wù)過程中，對執(zhí)行代碼不做任何完整性檢查，導(dǎo)致病毒、木馬程序可以嵌

13、入到執(zhí)行代碼程序或者直接替換原有程序，實(shí)現(xiàn)病毒、木馬等惡意代碼的傳播。這些惡意代碼一旦被激活，就會繼承當(dāng)前用戶的權(quán)限，從而肆無忌憚地進(jìn)行傳播，為所欲為地破壞服務(wù)器操作系統(tǒng)的完整性，例如在服務(wù)器管理員毫不知情的情況下修改或刪除服務(wù)器中的重要信息，導(dǎo)致服務(wù)器操作系統(tǒng)無法正常運(yùn)作等。</p><p>　　雖然用戶往往在服務(wù)器上部署了病毒查殺類產(chǎn)品，但是目前的病毒查殺類產(chǎn)品都是采用病毒庫的方式，因此只能防范已知的病毒、木

14、馬、攻擊程序等惡意代碼，對于新型的、未知的病毒、木馬、攻擊程序等惡意代碼是無能為力的，這種被動防御的方式帶來的安全滯后性問題將嚴(yán)重威脅服務(wù)器的安全。</p><p>　　另外執(zhí)行程序運(yùn)行過程中不滿足最小權(quán)限原則，使得非法操作者和惡意代碼能夠擁有至高無上的權(quán)限，從而給破壞服務(wù)器操作系統(tǒng)完整性的行為預(yù)留了空間。顯然，為了保障服務(wù)器的安全，必須防范各種已知及未知破壞系統(tǒng)完整性的攻擊，從根本上保證系統(tǒng)的完整可信。<

15、/p><p>　　2.3重要資源泄密的安全威脅</p><p>　　***同時應(yīng)用著多種信息系統(tǒng)，某些服務(wù)器（FTP、samba、nfs等）會保存公司的重要文件（工資單、技術(shù)文檔、標(biāo)書，機(jī)密資料等），但是在對重要文件的訪問沒有進(jìn)行嚴(yán)格的控制，一旦這些重要的資料泄漏對政府、企業(yè)都會帶來極其嚴(yán)重的影響，甚至威脅國家安全或企業(yè)利益。網(wǎng)絡(luò)訪問的威脅</p><p>　　服務(wù)器會

16、通過網(wǎng)絡(luò)對外提供網(wǎng)絡(luò)服務(wù)，然而服務(wù)器無法對訪問服務(wù)器的客戶端進(jìn)行驗(yàn)證，對于通過網(wǎng)絡(luò)向客戶端進(jìn)行輸入的數(shù)據(jù)無法進(jìn)行驗(yàn)證，網(wǎng)絡(luò)訪問給服務(wù)器帶來更多威脅。</p><p>　　來自局域網(wǎng)內(nèi)部的非授權(quán)訪問</p><p>　　局域網(wǎng)內(nèi)部針對服務(wù)器的訪問行為一般是通過傳統(tǒng)的操作系統(tǒng)的口令認(rèn)證方式實(shí)現(xiàn)，這種安全機(jī)制很容易被內(nèi)部惡意用戶利用提權(quán)、密碼攻擊等方式破解，所以往往無法防止來自內(nèi)部的非授權(quán)訪問問

17、題，這種非授權(quán)訪問帶來的主要威脅是通過內(nèi)部網(wǎng)絡(luò)竊取重要資源和機(jī)密文件、植入病毒木馬等惡意代碼威脅局域網(wǎng)安全。</p><p>　　2.4數(shù)據(jù)完整性破壞</p><p>　　數(shù)據(jù)完整性面臨的威脅主要指服務(wù)器中的重要數(shù)據(jù)在存儲期間被惡意篡改，使得重要數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響，惡意用戶可以通過網(wǎng)絡(luò)或其他方式對沒有采取安全措施的服務(wù)器上存放的重要數(shù)據(jù)進(jìn)行修改或傳達(dá)

18、一些虛假信息，從而影響工作的正常進(jìn)行。</p><p>　　2.5沒有足夠強(qiáng)度身份驗(yàn)證的安全威脅</p><p>　　目前服務(wù)器普遍存在的問題就是管理員身份單一，致使管理員權(quán)限過大，這樣會對服務(wù)器帶來一定的安全隱患。并且出于服務(wù)器業(yè)務(wù)操作和運(yùn)行維護(hù)的需要，服務(wù)器經(jīng)常是混用的，即多人可對同一臺服務(wù)器進(jìn)行操作。而服務(wù)器操作系統(tǒng)本身只提供用戶名/口令認(rèn)證方式，因此多人不得不共用服務(wù)器賬戶和口令，

19、這樣就造成服務(wù)器用戶身份鑒別不明，難以根據(jù)用戶的身份和角色分配權(quán)限，無法進(jìn)行嚴(yán)格地訪問控制，容易產(chǎn)生誤操作；也不能根據(jù)用戶身份進(jìn)行行為審計，無法實(shí)現(xiàn)事后追查。另外，單純的用戶名/口令認(rèn)證方式容易受到字典攻擊等攻擊方式，導(dǎo)致黑客獲取口令執(zhí)行惡意操作。</p><p><b>　　攻擊手段如下：</b></p><p><b>　　緩沖區(qū)溢出攻擊</b&g

20、t;</p><p>　　惡意攻擊者利用緩沖區(qū)溢出的攻擊方式獲得管理員的權(quán)限，以管理員的身份登錄服務(wù)器，從事其他惡意操作行為。</p><p><b>　　字典攻擊</b></p><p>　　惡意攻擊者從預(yù)定義好的通用或預(yù)計的密碼列表中嘗試使用每一個可能的密碼，從而能夠破解用戶帳號和密碼。雖然密碼被存儲在安全系統(tǒng)中某個賬戶的數(shù)據(jù)庫文件內(nèi)，并且

21、用散列加密的方式存在，但是使用逆向散列匹配的密碼攻擊工具仍然能夠破解密碼。</p><p>　　一旦惡意攻擊者利用以上攻擊方式獲得操作系統(tǒng)用戶的身份，由于操作系統(tǒng)的執(zhí)行程序按照用戶“宣稱”的身份進(jìn)行訪問控制，所以惡意攻擊者就此獲得了這些用戶的權(quán)限，對操作系統(tǒng)進(jìn)行破壞。</p><p>　　2.6沒有可執(zhí)行程序控制帶來的安全威脅</p><p>　　服務(wù)器的操作系統(tǒng)自

22、身有很多的可執(zhí)行程序，當(dāng)這些可執(zhí)行程序執(zhí)行或修改的時候，操作系統(tǒng)對其執(zhí)行或修改行為沒有嚴(yán)格的控制手段，無法驗(yàn)證其是否是安全的操作行為，是否會給服務(wù)器的安全帶來威脅；服務(wù)器上還會安裝支撐服務(wù)的軟件，這些軟件本身存在諸多漏洞會增加服務(wù)器的風(fēng)險，對于這些軟件的執(zhí)行或修改的操作行為無法進(jìn)行安全驗(yàn)證。攻擊手段如下：</p><p><b>　　惡意程序攻擊</b></p><p&g

23、t;　　向服務(wù)器植入未知的病毒、木馬、竊取軟件等惡意代碼躲避殺毒軟件的查殺，他們將破壞服務(wù)器的操作系統(tǒng)及應(yīng)用服務(wù)系統(tǒng)，盜取用戶機(jī)密信息，感染操作系統(tǒng)的可執(zhí)行程序使操作系統(tǒng)無法正常使用，向訪問該服務(wù)器的終端傳播病毒造成更嚴(yán)重的破壞。</p><p><b>　　安裝不安全軟件</b></p><p>　　由于操作系統(tǒng)本身不會對安裝軟件等行為的安全性進(jìn)行驗(yàn)證，服務(wù)器用戶在

24、未授權(quán)的情況下，可以在服務(wù)器安裝任何的軟件，一些帶有漏洞甚至本身就不安全的軟件有可能被安裝在服務(wù)器上，威脅服務(wù)器的安全。</p><p>　　2.7接入移動存儲設(shè)備的安全威脅</p><p>　　服務(wù)器對于接入的移動存儲設(shè)備（U盤等）沒有進(jìn)行安全認(rèn)證，會給其帶來安全威脅。攻擊手段如下：</p><p><b>　　竊取重要資源</b></

25、p><p>　　由于對接入的移動存儲設(shè)備缺乏認(rèn)證，內(nèi)部的惡意用戶可以通過接入移動存儲設(shè)備的方式竊取重要的資源和機(jī)密文件。</p><p><b>　　植入惡意代碼</b></p><p>　　內(nèi)部惡意用戶還能夠通過移動存儲設(shè)備向服務(wù)器植入新型的病毒、木馬等惡意代碼，使服務(wù)器和終端無法正常工作，通過移動存儲設(shè)備竊取重要的資源和機(jī)密文件。</p&

26、gt;<p>　　2.8缺乏統(tǒng)一的服務(wù)器管理</p><p>　　目前大多數(shù)服務(wù)器仍采用單機(jī)管理模式，即服務(wù)器管理員對每一臺服務(wù)器單獨(dú)進(jìn)行管理維護(hù)，這樣的管理模式會存在一定的安全滯后性。服務(wù)器要實(shí)現(xiàn)真正有效的安全管理，必須能實(shí)現(xiàn)對所有服務(wù)器的統(tǒng)一集中管理、統(tǒng)一安全策略下發(fā)，以及安全事件的統(tǒng)一監(jiān)控和協(xié)同處理，才有可能構(gòu)建健康的服務(wù)器安全管理體系。</p><p>　　3、服務(wù)器

27、加固解決方案</p><p>　　服務(wù)器加固總體設(shè)計思路：</p><p>　　在充分對***當(dāng)前網(wǎng)絡(luò)安全建設(shè)情況和面臨的威脅調(diào)研分析后，我們提出以先進(jìn)的可信計算技術(shù)為基礎(chǔ)，以有效的訪問控制為核心，操作系統(tǒng)安全支持應(yīng)用系統(tǒng)安全，構(gòu)造完整可信的信息安全立體防護(hù)體系的設(shè)計思路。在安全管理中心的統(tǒng)一管控下，通過基于“白名單”的主動防御機(jī)制，從操作系統(tǒng)層出發(fā)，對全部執(zhí)行程序進(jìn)行“預(yù)期式”控制，并且

28、全部技術(shù)均屬我國自主知識產(chǎn)權(quán)。該服務(wù)器加固解決方案在提升了服務(wù)器的抗攻擊能力、達(dá)到安全防御手段自主可控、形成由操作系統(tǒng)底層對應(yīng)用及數(shù)據(jù)安全的基礎(chǔ)支撐、體現(xiàn)了技術(shù)與管理相結(jié)合的特點(diǎn)等眾多基礎(chǔ)上，全面的保護(hù)了服務(wù)器上數(shù)據(jù)的機(jī)密性和完整性以及系統(tǒng)的可用性，構(gòu)建了服務(wù)器安全保護(hù)的堅(jiān)固堡壘。</p><p>　　核心內(nèi)容可以總結(jié)為主動防御機(jī)制、操作系統(tǒng)層保護(hù)機(jī)制和三權(quán)分立的管理機(jī)制：</p><p>

29、;<b>　　主動防御機(jī)制</b></p><p>　　通過對可執(zhí)行程序的有效控制，使系統(tǒng)具備主動防御的能力，達(dá)到防御未知病毒、未知威脅的目的。所謂“主動防御”其實(shí)是針對傳統(tǒng)的“特征值掃描技術(shù)”而言。如果說傳統(tǒng)的“特征值掃描技術(shù)”是通過建立黑名單實(shí)現(xiàn)對病毒、惡意代碼等的過濾和查殺，那么，主動防御機(jī)制就是建立可信程序的“白名單”，只有“白名單”中的程序才能夠運(yùn)行，這樣，任何新型病毒、新型惡意代

30、碼都會因?yàn)椴辉凇鞍酌麊巍敝隙鵁o法運(yùn)行，從而能夠?qū)崿F(xiàn)對未知病毒、木馬、惡意代碼等的有效防御。</p><p>　　主動防御技術(shù)比較好的彌補(bǔ)了傳統(tǒng)殺毒軟件采用“特征碼查殺”和“監(jiān)控”相對滯后的技術(shù)弱點(diǎn)，同時規(guī)避了補(bǔ)丁內(nèi)容不可預(yù)知性的缺陷，可以在病毒發(fā)作之前進(jìn)行主動而有效的全面防范，從技術(shù)層面上有效的遏制了未知病毒的爆發(fā)與擴(kuò)散。</p><p><b>　　操作系統(tǒng)層保護(hù)機(jī)制<

31、/b></p><p>　　從服務(wù)器操作系統(tǒng)層面的保護(hù)出發(fā)，利用文件過濾驅(qū)動技術(shù)，進(jìn)行執(zhí)行程序可信度量和訪問行為的控制，構(gòu)筑系統(tǒng)底層的加固機(jī)制，同時形成對上層應(yīng)用和數(shù)據(jù)的安全支撐。</p><p>　　執(zhí)行程序可信度量可以確保系統(tǒng)中的執(zhí)行程序免受非授權(quán)修改，從而保護(hù)其完整性。用來保證系統(tǒng)所啟動的進(jìn)程都是可信的。服務(wù)器上的執(zhí)行程序經(jīng)過安全管理員的安全性檢查后，其正常啟動所依賴相關(guān)模塊的

32、摘要值被記錄在系統(tǒng)策略文件中，由安全管理中心統(tǒng)一管理與分發(fā)。執(zhí)行程序啟動前，系統(tǒng)會度量該程序相關(guān)模塊的完整性，只有在度量結(jié)果和預(yù)存值一致的前提下，該程序才被認(rèn)為是可信的，從而允許啟動，否則拒絕其執(zhí)行。因此即使系統(tǒng)中的某一執(zhí)行程序被惡意修改，由于其不再可信，系統(tǒng)將禁止其執(zhí)行，從而阻止了惡意行為繼續(xù)傳播和破壞，降低了系統(tǒng)完整性被破壞的風(fēng)險。訪問行為的控制機(jī)制通過安全策略限制執(zhí)行程序的權(quán)限，使其只擁有完成任務(wù)的最小權(quán)限，防止非法訪問行為的發(fā)生

33、，即使系統(tǒng)被惡意腳本入侵，其破壞范圍也是有限的，無法波及整個系統(tǒng)，保證了數(shù)據(jù)的機(jī)密性，應(yīng)用的完整性，同時也形成了對應(yīng)用安全的有力支撐。</p><p><b>　　三權(quán)分立的管理機(jī)制</b></p><p>　　通過建立安全管理中心，制定并強(qiáng)制服務(wù)器執(zhí)行統(tǒng)一的系統(tǒng)安全策略，確保服務(wù)器的運(yùn)行狀態(tài)始終可控、可管，從而建立基于可信計算技術(shù)的安全應(yīng)用環(huán)境。</p>

34、<p>　　管理中心采用了三權(quán)分立的原則，設(shè)立了系統(tǒng)管理員、安全管理員和安全審計員。三個管理員分工明確、相互合作、相互制約，有效避免了權(quán)限過于集中、形成安全管理漏洞的隱患。</p><p>　　通過上述“三權(quán)分立”的機(jī)制，使得系統(tǒng)中的不同用戶相互監(jiān)督、相互制約，每個用戶各司其職，共同保障信息系統(tǒng)的安全。</p><p>　　4、服務(wù)器加固部署實(shí)施計劃</p>&

35、lt;p>　　在具體設(shè)計時，服務(wù)器加固產(chǎn)品將重點(diǎn)圍繞“一個中心，兩個基本點(diǎn)”的思路加以展開?！耙粋€中心”即安全管理中心，“兩個基本點(diǎn)”包括用戶身份認(rèn)證的安全性增強(qiáng)，以及操作系統(tǒng)內(nèi)核的安全性增強(qiáng)。安全管理中心負(fù)責(zé)給用戶下發(fā)身份認(rèn)證信息，確保用戶身份的安全可信；同時，安全管理中心還負(fù)責(zé)向所有服務(wù)器的操作系統(tǒng)內(nèi)核，下發(fā)統(tǒng)一的安全策略，實(shí)現(xiàn)內(nèi)核級的訪問控制，如圖4-1所示。</p><p>　　圖4-1 服務(wù)器加固

36、產(chǎn)品總體架構(gòu)</p><p>　　圍繞總體設(shè)計思路，為所有的服務(wù)器部署節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版），該系統(tǒng)由三部分組成：節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）安全管理中心（簡稱“安全管理中心”）、節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）安全代理程序（簡稱“服務(wù)器安全代理”）和用戶身份認(rèn)證USB－KEY。安全管理中心是核心，各服務(wù)器在安全管理中心的支撐下，接受安全管理員的統(tǒng)一管理，以實(shí)現(xiàn)各服務(wù)器的運(yùn)行狀態(tài)始終可控、可管

37、。</p><p>　　在現(xiàn)有服務(wù)器硬件平臺上，增加一個硬件模塊USB-KEY，作為系統(tǒng)的信任根以及用戶身份的唯一標(biāo)識；在每臺服務(wù)器操作系統(tǒng)內(nèi)核層，安裝服務(wù)器安全代理，執(zhí)行安全策略。</p><p>　　圖4-2：服務(wù)器加固產(chǎn)品整體部署</p><p>　　注：此圖為邏輯拓?fù)鋱D，根據(jù)實(shí)際拓?fù)淝闆r進(jìn)行產(chǎn)品部署</p><p>　　5、節(jié)點(diǎn)-操作

38、系統(tǒng)安全加固（服務(wù)器版）詳細(xì)功能介紹</p><p>　　服務(wù)器是信息系統(tǒng)的主要組成部分，是為網(wǎng)絡(luò)環(huán)境中的客戶端計算機(jī)提供特定的應(yīng)用服務(wù)的計算機(jī)系統(tǒng)。服務(wù)器安全就是要對在服務(wù)器中存儲、處理和發(fā)布的數(shù)據(jù)信息進(jìn)行安全保護(hù)，使其免遭由于人為原因所帶來的泄露、破壞和不可用的情況，因此服務(wù)器的安全既要考慮服務(wù)器的安全運(yùn)行保護(hù)，也要考慮對服務(wù)器中所存儲、處理和發(fā)布的數(shù)據(jù)信息的保護(hù)。由于攻擊和威脅既可能是針對服務(wù)器運(yùn)行的；也可

39、能是針對服務(wù)器中所存儲、處理和發(fā)布的數(shù)據(jù)信息的保密性、完整性和可用性的；另外服務(wù)器安全管理的不完善同樣會給服務(wù)器的安全帶來威脅，所以對服務(wù)器的安全保護(hù)的功能要求，需要從服務(wù)器運(yùn)行安全、服務(wù)器數(shù)據(jù)安全和服務(wù)器管理安全三方面綜合進(jìn)行考慮。</p><p>　　節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）從服務(wù)器運(yùn)行安全、服務(wù)器數(shù)據(jù)安全、服務(wù)器安全管理三個方面出發(fā)保證服務(wù)器的安全。產(chǎn)品是在現(xiàn)有服務(wù)器操作系統(tǒng)基礎(chǔ)上，強(qiáng)化了服務(wù)器的

40、身份鑒別、執(zhí)行程序控制、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)保密性保護(hù)、系統(tǒng)完整性保護(hù)以及行為審計機(jī)制，增加了強(qiáng)制訪問控制機(jī)制，為服務(wù)器提供全面的保護(hù)。產(chǎn)品架構(gòu)圖如下：</p><p>　　圖: 節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）產(chǎn)品功能架構(gòu)圖</p><p>　　5.1服務(wù)器運(yùn)行安全</p><p><b>　　5.1.1身份鑒別</b></p>

41、<p>　　現(xiàn)有的服務(wù)器操作系統(tǒng)仍采用單一口令認(rèn)證方式對用戶身份進(jìn)行鑒別，容易受到字典攻擊。在節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）中，引入一個硬件USB-KEY令牌。該 USB-KEY為用戶身份的唯一標(biāo)識，當(dāng)用戶登錄服務(wù)器系統(tǒng)時，需要插入USB-KEY，然后系統(tǒng)對用戶進(jìn)行雙因子身份認(rèn)證，用戶只有擁有合法的USB-KEY，并且輸入正確的服務(wù)器操作系統(tǒng)口令+ USB-KEY口令，才能登錄服務(wù)器。身份鑒別流程如下：</p&g

42、t;<p>　　圖5.1.1 節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）身份鑒別流程</p><p>　　通過雙因子的身份鑒別，將用戶身份與USB-KEY綁定，可有效防止用戶身份偽造事件的發(fā)生；對于一個已標(biāo)識和鑒別的用戶，將該用戶的身份與該用戶的所有可審計行為相關(guān)聯(lián)，以實(shí)現(xiàn)用戶行為的可查性。</p><p>　　5.1.2執(zhí)行程序控制</p><p><

43、;b>　　執(zhí)行程序可信度量</b></p><p>　　節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）提供執(zhí)行程序可信度量功能。執(zhí)行程序啟動前，產(chǎn)品中的核心模塊會度量該程序相關(guān)模塊是否在可信域內(nèi)，只有在度量結(jié)果和預(yù)存值一致的前提下，該程序才允許啟動，否則拒絕其執(zhí)行。因此即使系統(tǒng)中的某一執(zhí)行程序被病毒或木馬感染，由于其不再可信，節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）將禁止其執(zhí)行，從而阻止了惡意代碼繼續(xù)傳播和破壞，

44、降低了服務(wù)器操作系統(tǒng)完整性被破壞的風(fēng)險。正是由于上述安全機(jī)制，節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）實(shí)現(xiàn)了服務(wù)器對于已知/未知病毒、木馬、攻擊程序等惡意代碼自免疫。</p><p><b>　　程序安裝控制</b></p><p>　　節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）提供了程序安裝接口，僅允許通過此接口在服務(wù)器上安裝應(yīng)用程序。通過這種方式將嚴(yán)格控制程序的安裝行為，禁止未

45、經(jīng)授權(quán)非法在服務(wù)器上安裝應(yīng)用程序。</p><p>　　而且通過上述規(guī)則，限制了普通用戶安裝新的應(yīng)用程序的能力，從而可以有效防止內(nèi)部精通業(yè)務(wù)、懂技術(shù)、會編程的專業(yè)人士對服務(wù)器系統(tǒng)安全的威脅。</p><p><b>　　可信代碼防篡改</b></p><p>　　可信代碼通常面臨著病毒、木馬的破壞以及惡意修改、惡意刪除等威脅。因此節(jié)點(diǎn)-操作系統(tǒng)

46、安全加固（服務(wù)器版）提供了對于可信代碼的實(shí)時保護(hù)，禁止任何的破壞和非法修改行為，保護(hù)可信代碼的完整性和可用性不被破壞。</p><p>　　5.1.3網(wǎng)絡(luò)訪問控制</p><p>　　節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）增強(qiáng)了服務(wù)器操作系統(tǒng)的網(wǎng)絡(luò)訪問控制能力，通過對訪問服務(wù)器的用戶/終端的身份進(jìn)行鑒別，防止非授權(quán)用戶/終端接入服務(wù)器。通過可信互聯(lián)機(jī)制，實(shí)現(xiàn)對接入的有效控制。</p>

47、;<p>　　服務(wù)器管理員規(guī)定哪些用戶/終端可以接入服務(wù)器系統(tǒng)。因此在用戶/終端嘗試接入服務(wù)器系統(tǒng)時，安全內(nèi)核會檢查該用戶/終端的平臺身份，只有檢驗(yàn)通過后，該用戶/終端方能與服務(wù)器進(jìn)行網(wǎng)絡(luò)通信。</p><p>　　5.2服務(wù)器數(shù)據(jù)安全</p><p>　　5.2.1自主訪問控制</p><p>　　現(xiàn)有的服務(wù)器經(jīng)常是混用的，如果用戶以管理員身份登陸，

48、則可以訪問服務(wù)器系統(tǒng)中的任何文件，從而造成敏感數(shù)據(jù)的泄露。但是安裝了節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）后，可以對服務(wù)器上的重要數(shù)據(jù)設(shè)置相應(yīng)的權(quán)限，禁止非授權(quán)用戶訪問這些敏感數(shù)據(jù)。通過自主訪問控制模式來限制用戶權(quán)限，以達(dá)到保護(hù)服務(wù)器資源安全的目的。</p><p>　　5.2.2強(qiáng)制訪問控制</p><p>　　節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）提供了強(qiáng)制訪問控制機(jī)制，通過對執(zhí)行程序的強(qiáng)制訪

49、問控制、對信息資源的強(qiáng)制訪問控制、對移動設(shè)備的強(qiáng)制訪問控制等機(jī)制實(shí)現(xiàn)對應(yīng)用進(jìn)行安全“隔離”。該機(jī)制由統(tǒng)一安全管理平臺對服務(wù)器系統(tǒng)中的主體（用戶）及客體（文件、目錄、移動設(shè)備等）進(jìn)行安全標(biāo)識，根據(jù)客體類型的不同，分別制定了不同的訪問控制規(guī)則，嚴(yán)格控制用戶行為，保證用戶的任何行為都在安全策略的支撐下，從而全方位地確保服務(wù)器中的重要數(shù)據(jù)的 “拿不走”，保護(hù)服務(wù)器系統(tǒng)的機(jī)密性。</p><p>　　5.2.3數(shù)據(jù)完整性保

50、護(hù)</p><p>　　對于服務(wù)器中存放的重要數(shù)據(jù)的完整性進(jìn)行保護(hù)也是保障服務(wù)器安全的核心問題。節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）允許用戶或進(jìn)程以不同訪問權(quán)限對文件/目錄設(shè)置強(qiáng)制訪問控制規(guī)則，在不改變原有服務(wù)器文件系統(tǒng)格式的基礎(chǔ)上，實(shí)現(xiàn)強(qiáng)制訪問控制。任何用戶及其調(diào)用的進(jìn)程對服務(wù)器敏感文件或目錄進(jìn)行操作行為時都要進(jìn)行嚴(yán)格的控制，杜絕用戶數(shù)據(jù)被篡改、刪除、插入等情況的發(fā)生，從而全方位地確保重要數(shù)據(jù)的完整性不被破壞。&

51、lt;/p><p>　　5.2.4數(shù)據(jù)保密性保護(hù)</p><p>　　數(shù)據(jù)存儲保護(hù)是防止信息泄露最有效的手段，節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）支持對服務(wù)器硬盤數(shù)據(jù)透明加解密，從而達(dá)到了服務(wù)器重要數(shù)據(jù)即使被盜取，數(shù)據(jù)盜取者也“看不懂”的效果。</p><p>　　所謂透明加解密是指該加解密過程對用戶是透明的，這一過程在操作系統(tǒng)層實(shí)現(xiàn)，對上層應(yīng)用透明，用戶感覺不到它的存在

52、。這一特性可以保證服務(wù)器系統(tǒng)中的重要數(shù)據(jù)在存儲中都以密文的形式存在。</p><p>　　在節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）中，服務(wù)器管理員可以根據(jù)客體的不同安全級制定不同的數(shù)據(jù)保護(hù)策略，方便信息系統(tǒng)和外界進(jìn)行數(shù)據(jù)交換。</p><p>　　5.2.5移動介質(zhì)權(quán)限管理</p><p>　　節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）對于移動介質(zhì)進(jìn)行嚴(yán)格的控制，所有移動介質(zhì)在

53、使用之前都需經(jīng)過授權(quán)，未經(jīng)授權(quán)的移動介質(zhì)一律禁止在服務(wù)器上使用。對于已授權(quán)的移動介質(zhì)進(jìn)行標(biāo)記管理，對其使用行為進(jìn)行全程的嚴(yán)格控制，從而防止通過移動介質(zhì)非法拷貝服務(wù)器敏感信息等惡意事件的發(fā)生。</p><p>　　5.3服務(wù)器安全管理</p><p>　　5.3.1用戶權(quán)限控制</p><p>　　對于用戶權(quán)限的劃分，用戶的任何行為都要受到統(tǒng)一安全管理平臺的策略控制，

54、從而有效解決內(nèi)部有權(quán)限的人員有意無意發(fā)起的攻擊。</p><p>　　5.3.2管理員職責(zé)分離</p><p>　　為了方便權(quán)限管理，節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）引入以下三個管理員角色：系統(tǒng)管理員、安全管理員和安全審計員。根據(jù)最小權(quán)限原則，系統(tǒng)只賦予每個管理員完成任務(wù)所需的最小權(quán)限。</p><p>　　系統(tǒng)管理員具有對服務(wù)器進(jìn)行日常維護(hù)的權(quán)限，其操作權(quán)限由安

55、全管理員制定，其行為由系統(tǒng)審計機(jī)制監(jiān)控。安全管理員只有完成安全管理任務(wù)的權(quán)限，即配置服務(wù)器系統(tǒng)安全策略等，并且安全管理員的一切操作行為都被記入審計日志。安全審計員只負(fù)責(zé)審計日志的存取控制，不具有安全管理員和系統(tǒng)操作員的權(quán)限。</p><p>　　節(jié)點(diǎn)-操作系統(tǒng)安全加固（服務(wù)器版）正是通過上述“三權(quán)分立”的機(jī)制，使得服務(wù)器系統(tǒng)中的不同管理員之間相互監(jiān)督、相互制約，每個角色各司其職，共同保障服務(wù)器系統(tǒng)的安全。<

56、/p><p>　　5.3.3行為審計監(jiān)控</p><p>　　從“三權(quán)分立”的角度來看，安全審計員主要起監(jiān)督作用，監(jiān)督服務(wù)器系統(tǒng)中與安全相關(guān)的行為，尤其是安全管理員對安全策略的制定、修改以及授權(quán)用戶違反安全策略的行為，達(dá)到非法行為“賴不掉”的效果。具體包括用戶對服務(wù)器重要數(shù)據(jù)的操作甚至降級行為、對移動介質(zhì)的使用行為、不可信程序的啟動行為、用戶的越權(quán)訪問行為、安全管理員對策略的制定和修改行為、安

57、全操作員對系統(tǒng)的維護(hù)行為等。另外只有安全審計員可以修改或者刪除審計日志，于是只要惡意用戶試圖去破壞服務(wù)器系統(tǒng)的安全性，其行為就必然會被審計記錄，為日后追查留下證據(jù)。</p><p>　　6、實(shí)施后可實(shí)現(xiàn)的效果</p><p>　　6.1構(gòu)建業(yè)務(wù)系統(tǒng)源于底層安全環(huán)境，抵御各種入侵行為</p><p>　　本方案通過對服務(wù)器的操作系統(tǒng)進(jìn)行安全加固，從系統(tǒng)底層為出發(fā)點(diǎn)，以

58、可信計算技術(shù)為基礎(chǔ)、訪問控制為核心，保證服務(wù)器的安全，形成嚴(yán)密的安全保護(hù)環(huán)境，抵御病毒木馬等惡意代碼的入侵行為。</p><p>　　6.2以技術(shù)手段輔助管理，防止內(nèi)部人員的非法訪問</p><p>　　本方案通過對用戶行為的控制，有效的防止非授權(quán)用戶訪問和授權(quán)用戶的越權(quán)訪問行為的發(fā)生，確保信息和信息系統(tǒng)的機(jī)密性和完整性，從而為應(yīng)用系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。</p&

59、gt;<p>　　6.3彌補(bǔ)常規(guī)防護(hù)手段的不足，提高整體防御力</p><p>　　本方案通過對操作系統(tǒng)本身的安全加固，打造服務(wù)器本身的免疫系統(tǒng)?？梢杂行У囊?guī)避因打補(bǔ)丁給服務(wù)器帶來的風(fēng)險，切斷黑客的攻擊途徑。同時，本方案通過主動防御和防網(wǎng)絡(luò)攻擊等功能彌補(bǔ)了傳統(tǒng)安全產(chǎn)品的不足，避免出現(xiàn)信息安全的短板效應(yīng)，提高了系統(tǒng)的整體防御能力。</p><p>　　6.4構(gòu)建統(tǒng)一安全管理平臺