1、背景
随着计算机网络技术的迅速发展和进步,信息和计算机网络系统现在已经成为社会发展的重要保证。由信息和计算机网络系统构成的信息系统中,最薄弱、易受攻击、而保护力度又相对缺乏的就是对服务器的保护。服务器是信息系统中敏感信息的直接载体,也是各类应用运行的平台,因此对服务器的保护是保证整个信息系统安全的基础,而对服务器操作系统安全保障又是保证服务器安全的核心所在。
2、面临的威胁及攻击手段分析
***企业网络是
***网络在信息安全建设中已经投入了大量的资金,在边界安全及传输安全方面部署了大量的安全产品,***企业网络能够在相当程度上阻来自网络的攻击行为,然而***企业网络的众多服务器仍然面临安全威胁,主要原因是由于边界类安全产品的安全机制容易被恶意攻击者通过某些技术手段旁路,并且也无法防御新型攻击和来自局域网内部攻击的安全威胁。
2.1系统安全漏洞问题
操作系统存在较多安全漏洞,每一年报告给CERT/CC的漏洞数量也在成倍增长,如仅在2009年一年,微软公司就发布了72个补丁修复了近190个安全漏洞。而其中很多漏洞会被黑客利用,成为黑客攻击的目标或跳板。对于服务器管理员来说想要跟上补丁的步伐是很困难的。另外,每年都会发现新的类型的漏洞。对于新的漏洞类型的代码实例分析常常导致数以百计的其他不同软件漏洞的发现。而且,入侵者往往能够在软件厂商更正这些漏洞之前首先发现这些漏洞。
面对操作系统安全漏洞,用户所能做的往往是以“打补丁”的方式为操作系统不断的升级更新。这种方式最大的缺陷是系统补丁的滞后性:(1)从补丁测试到分发,需要较长周期。在此期间,操作系统安全仍然无法得到保障;(2)补丁永远是在漏洞之后,且补丁永远“打不完”;(3)随着发现漏洞的工具的自动化趋势,留给服务器管理员打补丁的时间越来越短。
因此这种事后补救的方式存在着较大的安全隐患,往往在补丁没有发布之前,黑客就已经利用这些漏洞对服务器造成极大的破坏。
除操作系统外,服务器上的第三方软件也会存在或多或少的漏洞,这些漏洞中有不少可被利用,严重威胁服务器安全。此情况也同时困扰着***的信息系统服务器,成为管理员极为头痛的问题。
2.2操作系统完整性破坏
服务器操作系统完整性破坏是当前服务器面临的主要安全威胁。现有服务器操作系统,从开机启动到运行服务过程中,对执行代码不做任何完整性检查,导致病毒、木马程序可以嵌入到执行代码程序或者直接替换原有程序,实现病毒、木马等恶意代码的传播。这些恶意代码一旦被激活,就会继承当前用户的权限,从而肆无忌惮地进行传播,为所欲为地破坏服务器操作系统的完整性,例如在服务器管理员毫不知情的情况下修改或删除服务器中的重要信息,导致服务器操作系统无法正常运作等。
虽然用户往往在服务器上部署了病毒查杀类产品,但是目前的病毒查杀类产品都是采用病毒库的方式,因此只能防范已知的病毒、木马、攻击程序等恶意代码,对于新型的、未知的病毒、木马、攻击程序等恶意代码是无能为力的,这种被动防御的方式带来的安全滞后性问题将严重威胁服务器的安全。
另外执行程序运行过程中不满足最小权限原则,使得非法操作者和恶意代码能够拥有至高无上的权限,从而给破坏服务器操作系统完整性的行为预留了空间。显然,为了保障服务器的安全,必须防范各种已知及未知破坏系统完整性的攻击,从根本上保证系统的完整可信。
2.3重要资源泄密的安全威胁
***同时应用着多种信息系统,某些服务器(FTP、samba、nfs等)会保存公司的重要文件(工资单、技术文档、标书,机密资料等),但是在对重要文件的访问没有进行严格的控制,一旦这些重要的资料泄漏对政府、企业都会带来极其严重的影响,甚至威胁国家安全或企业利益。网络访问的威胁
服务器会通过网络对外提供网络服务,然而服务器无法对访问服务器的客户端进行验证,对于通过网络向客户端进行输入的数据无法进行验证,网络访问给服务器带来更多威胁。
Ø来自局域网内部的非授权访问
局域网内部针对服务器的访问行为一般是通过传统的操作系统的口令认证方式实现,这种安全机制很容易被内部恶意用户利用提权、密码攻击等方式破解,所以往往无法防止来自内部的非授权访问问题,这种非授权访问带来的主要威胁是通过内部网络窃取重要资源和机密文件、植入病毒木马等恶意代码威胁局域网安全。
2.4数据完整性破坏
数据完整性面临的威胁主要指服务器中的重要数据在存储期间被恶意篡改,使得重要数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响,恶意用户可以通过网络或其他方式对没有采取安全措施的服务器上存放的重要数据进行修改或传达一些虚假信息,从而影响工作的正常进行。
2.5没有足够强度身份验证的安全威胁
目前服务器普遍存在的问题就是管理员身份单一,致使管理员权限过大,这样会对服务器带来一定的安全隐患。并且出于服务器业务操作和运行维护的需要,服务器经常是混用的,即多人可对同一台服务器进行操作。而服务器操作系统本身只提供用户名/口令认证方式,因此多人不得不共用服务器账户和口令,这样就造成服务器用户身份鉴别不明,难以根据用户的身份和角色分配权限,无法进行严格地访问控制,容易产生误操作;也不能根据用户身份进行行为审计,无法实现事后追查。另外,单纯的用户名/口令认证方式容易受到字典攻击等攻击方式,导致黑客获取口令执行恶意操作。
攻击手段如下:
Ø缓冲区溢出攻击
恶意攻击者利用缓冲区溢出的攻击方式获得管理员的权限,以管理员的身份登录服务器,从事其他恶意操作行为。
Ø字典攻击
恶意攻击者从预定义好的通用或预计的密码列表中尝试使用每一个可能的密码,从而能够破解用户帐号和密码。虽然密码被存储在安全系统中某个账户的数据库文件内,并且用散列加密的方式存在,但是使用逆向散列匹配的密码攻击工具仍然能够破解密码。
一旦恶意攻击者利用以上攻击方式获得操作系统用户的身份,由于操作系统的执行程序按照用户“宣称”的身份进行访问控制,所以恶意攻击者就此获得了这些用户的权限,对操作系统进行破坏。
2.6没有可执行程序控制带来的安全威胁
服务器的操作系统自身有很多的可执行程序,当这些可执行程序执行或修改的时候,操作系统对其执行或修改行为没有严格的控制手段,无法验证其是否是安全的操作行为,是否会给服务器的安全带来威胁;服务器上还会安装支撑服务的软件,这些软件本身存在诸多漏洞会增加服务器的风险,对于这些软件的执行或修改的操作行为无法进行安全验证。攻击手段如下:
Ø恶意程序攻击
向服务器植入未知的病毒、木马、窃取软件等恶意代码躲避杀毒软件的查杀,他们将破坏服务器的操作系统及应用服务系统,盗取用户机密信息,感染操作系统的可执行程序使操作系统无法正常使用,向访问该服务器的终端传播病毒造成更严重的破坏。
Ø安装不安全软件
由于操作系统本身不会对安装软件等行为的安全性进行验证,服务器用户在未授权的情况下,可以在服务器安装任何的软件,一些带有漏洞甚至本身就不安全的软件有可能被安装在服务器上,威胁服务器的安全。
2.7接入移动存储设备的安全威胁
服务器对于接入的移动存储设备(U盘等)没有进行安全认证,会给其带来安全威胁。攻击手段如下:
Ø窃取重要资源
由于对接入的移动存储设备缺乏认证,内部的恶意用户可以通过接入移动存储设备的方式窃取重要的资源和机密文件。
Ø植入恶意代码
内部恶意用户还能够通过移动存储设备向服务器植入新型的病毒、木马等恶意代码,使服务器和终端无法正常工作,通过移动存储设备窃取重要的资源和机密文件。
2.8缺乏统一的服务器管理
目前大多数服务器仍采用单机管理模式,即服务器管理员对每一台服务器单独进行管理维护,这样的管理模式会存在一定的安全滞后性。服务器要实现真正有效的安全管理,必须能实现对所有服务器的统一集中管理、统一安全策略下发,以及安全事件的统一监控和协同处理,才有可能构建健康的服务器安全管理体系。
3、服务器加固解决方案
服务器加固总体设计思路:
在充分对***当前网络安全建设情况和面临的威胁调研分析后,我们提出以先进的可信计算技术为基础,以有效的访问控制为核心,操作系统安全支持应用系统安全,构造完整可信的信息安全立体防护体系的设计思路。在安全管理中心的统一管控下,通过基于“白名单”的主动防御机制,从操作系统层出发,对全部执行程序进行“预期式”控制,并且全部技术均属我国自主知识产权。该服务器加固解决方案在提升了服务器的抗攻击能力、达到安全防御手段自主可控、形成由操作系统底层对应用及数据安全的基础支撑、体现了技术与管理相结合的特点等众多基础上,全面的保护了服务器上数据的机密性和完整性以及系统的可用性,构建了服务器安全保护的坚固堡垒。
核心内容可以总结为主动防御机制、操作系统层保护机制和三权分立的管理机制:
Ø主动防御机制
通过对可执行程序的有效控制,使系统具备主动防御的能力,达到防御未知病毒、未知威胁的目的。所谓“主动防御”其实是针对传统的“特征值扫描技术”而言。如果说传统的“特征值扫描技术”是通过建立黑名单实现对病毒、恶意代码等的过滤和查杀,那么,主动防御机制就是建立可信程序的“白名单”,只有“白名单”中的程序才能够运行,这样,任何新型病毒、新型恶意代码都会因为不在“白名单”之上而无法运行,从而能够实现对未知病毒、木马、恶意代码等的有效防御。
主动防御技术比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,同时规避了补丁内容不可预知性的缺陷,可以在病毒发作之前进行主动而有效的全面防范,从技术层面上有效的遏制了未知病毒的爆发与扩散。
Ø操作系统层保护机制
从服务器操作系统层面的保护出发,利用文件过滤驱动技术,进行执行程序可信度量和访问行为的控制,构筑系统底层的加固机制,同时形成对上层应用和数据的安全支撑。
执行程序可信度量可以确保系统中的执行程序免受非授权修改,从而保护其完整性。用来保证系统所启动的进程都是可信的。服务器上的执行程序经过安全管理员的安全性检查后,其正常启动所依赖相关模块的摘要值被记录在系统策略文件中,由安全管理中心统一管理与分发。执行程序启动前,系统会度量该程序相关模块的完整性,只有在度量结果和预存值一致的前提下,该程序才被认为是可信的,从而允许启动,否则拒绝其执行。因此即使系统中的某一执行程序被恶意修改,由于其不再可信,系统将禁止其执行,从而阻止了恶意行为继续传播和破坏,降低了系统完整性被破坏的风险。访问行为的控制机制通过安全策略限制执行程序的权限,使其只拥有完成任务的最小权限,防止非法访问行为的发生,即使系统被恶意脚本入侵,其破坏范围也是有限的,无法波及整个系统,保证了数据的机密性,应用的完整性,同时也形成了对应用安全的有力支撑。
Ø三权分立的管理机制
通过建立安全管理中心,制定并强制服务器执行统一的系统安全策略,确保服务器的运行状态始终可控、可管,从而建立基于可信计算技术的安全应用环境。
管理中心采用了三权分立的原则,设立了系统管理员、安全管理员和安全审计员。三个管理员分工明确、相互合作、相互制约,有效避免了权限过于集中、形成安全管理漏洞的隐患。
通过上述“三权分立”的机制,使得系统中的不同用户相互监督、相互制约,每个用户各司其职,共同保障信息系统的安全。