服务器加固部署实施计划
在具体设计时,服务器加固产品将重点围绕“一个中心,两个基本点”的思路加以展开。“一个中心”即安全管理中心,“两个基本点”包括用户身份认证的安全性增强,以及操作系统内核的安全性增强。安全管理中心负责给用户下发身份认证信息,确保用户身份的安全可信;同时,安全管理中心还负责向所有服务器的操作系统内核,下发统一的安全策略,实现内核级的访问控制,如图4-1所示。
围绕总体设计思路,为所有的服务器部署节点-操作系统安全加固(服务器版),该系统由三部分组成:节点-操作系统安全加固(服务器版)安全管理中心(简称“安全管理中心”)、节点-操作系统安全加固(服务器版)安全代理程序(简称“服务器安全代理”)和用户身份认证USB-KEY。安全管理中心是核心,各服务器在安全管理中心的支撑下,接受安全管理员的统一管理,以实现各服务器的运行状态始终可控、可管。
在现有服务器硬件平台上,增加一个硬件模块USB-KEY,作为系统的信任根以及用户身份的唯一标识;在每台服务器操作系统内核层,安装服务器安全代理,执行安全策略。
节点-操作系统安全加固(服务器版)详细功能介绍
服务器是信息系统的主要组成部分,是为网络环境中的客户端计算机提供特定的应用服务的计算机系统。服务器安全就是要对在服务器中存储、处理和发布的数据信息进行安全保护,使其免遭由于人为原因所带来的泄露、破坏和不可用的情况,因此服务器的安全既要考虑服务器的安全运行保护,也要考虑对服务器中所存储、处理和发布的数据信息的保护。由于攻击和威胁既可能是针对服务器运行的;也可能是针对服务器中所存储、处理和发布的数据信息的保密性、完整性和可用性的;另外服务器安全管理的不完善同样会给服务器的安全带来威胁,所以对服务器的安全保护的功能要求,需要从服务器运行安全、服务器数据安全和服务器管理安全三方面综合进行考虑。
节点-操作系统安全加固(服务器版)从服务器运行安全、服务器数据安全、服务器安全管理三个方面出发保证服务器的安全。产品是在现有服务器操作系统基础上,强化了服务器的身份鉴别、执行程序控制、数据完整性保护、数据保密性保护、系统完整性保护以及行为审计机制,增加了强制访问控制机制,为服务器提供全面的保护。产品架构图如下:
5.1服务器运行安全
5.1.1身份鉴别
现有的服务器操作系统仍采用单一口令认证方式对用户身份进行鉴别,容易受到字典攻击。在节点-操作系统安全加固(服务器版)中,引入一个硬件USB-KEY令牌。该 USB-KEY为用户身份的唯一标识,当用户登录服务器系统时,需要插入USB-KEY,然后系统对用户进行双因子身份认证,用户只有拥有合法的USB-KEY,并且输入正确的服务器操作系统口令+ USB-KEY口令,才能登录服务器。身份鉴别流程如下:
通过双因子的身份鉴别,将用户身份与USB-KEY绑定,可有效防止用户身份伪造事件的发生;对于一个已标识和鉴别的用户,将该用户的身份与该用户的所有可审计行为相关联,以实现用户行为的可查性。
5.1.2执行程序控制
Ø执行程序可信度量
节点-操作系统安全加固(服务器版)提供执行程序可信度量功能。执行程序启动前,产品中的核心模块会度量该程序相关模块是否在可信域内,只有在度量结果和预存值一致的前提下,该程序才允许启动,否则拒绝其执行。因此即使系统中的某一执行程序被病毒或木马感染,由于其不再可信,节点-操作系统安全加固(服务器版)将禁止其执行,从而阻止了恶意代码继续传播和破坏,降低了服务器操作系统完整性被破坏的风险。正是由于上述安全机制,节点-操作系统安全加固(服务器版)实现了服务器对于已知/未知病毒、木马、攻击程序等恶意代码自免疫。
Ø程序安装控制
节点-操作系统安全加固(服务器版)提供了程序安装接口,仅允许通过此接口在服务器上安装应用程序。通过这种方式将严格控制程序的安装行为,禁止未经授权非法在服务器上安装应用程序。
而且通过上述规则,限制了普通用户安装新的应用程序的能力,从而可以有效防止内部精通业务、懂技术、会编程的专业人士对服务器系统安全的威胁。
Ø可信代码防篡改
可信代码通常面临着病毒、木马的破坏以及恶意修改、恶意删除等威胁。因此节点-操作系统安全加固(服务器版)提供了对于可信代码的实时保护,禁止任何的破坏和非法修改行为,保护可信代码的完整性和可用性不被破坏。
5.1.3网络访问控制
节点-操作系统安全加固(服务器版)增强了服务器操作系统的网络访问控制能力,通过对访问服务器的用户/终端的身份进行鉴别,防止非授权用户/终端接入服务器。通过可信互联机制,实现对接入的有效控制。
服务器管理员规定哪些用户/终端可以接入服务器系统。因此在用户/终端尝试接入服务器系统时,安全内核会检查该用户/终端的平台身份,只有检验通过后,该用户/终端方能与服务器进行网络通信。
5.2服务器数据安全
5.2.1自主访问控制
现有的服务器经常是混用的,如果用户以管理员身份登陆,则可以访问服务器系统中的任何文件,从而造成敏感数据的泄露。但是安装了节点-操作系统安全加固(服务器版)后,可以对服务器上的重要数据设置相应的权限,禁止非授权用户访问这些敏感数据。通过自主访问控制模式来限制用户权限,以达到保护服务器资源安全的目的。
5.2.2强制访问控制
节点-操作系统安全加固(服务器版)提供了强制访问控制机制,通过对执行程序的强制访问控制、对信息资源的强制访问控制、对移动设备的强制访问控制等机制实现对应用进行安全“隔离”。该机制由统一安全管理平台对服务器系统中的主体(用户)及客体(文件、目录、移动设备等)进行安全标识,根据客体类型的不同,分别制定了不同的访问控制规则,严格控制用户行为,保证用户的任何行为都在安全策略的支撑下,从而全方位地确保服务器中的重要数据的 “拿不走”,保护服务器系统的机密性。
5.2.3数据完整性保护
对于服务器中存放的重要数据的完整性进行保护也是保障服务器安全的核心问题。节点-操作系统安全加固(服务器版)允许用户或进程以不同访问权限对文件/目录设置强制访问控制规则,在不改变原有服务器文件系统格式的基础上,实现强制访问控制。任何用户及其调用的进程对服务器敏感文件或目录进行操作行为时都要进行严格的控制,杜绝用户数据被篡改、删除、插入等情况的发生,从而全方位地确保重要数据的完整性不被破坏。
5.2.4数据保密性保护
数据存储保护是防止信息泄露最有效的手段,节点-操作系统安全加固(服务器版)支持对服务器硬盘数据透明加解密,从而达到了服务器重要数据即使被盗取,数据盗取者也“看不懂”的效果。
所谓透明加解密是指该加解密过程对用户是透明的,这一过程在操作系统层实现,对上层应用透明,用户感觉不到它的存在。这一特性可以保证服务器系统中的重要数据在存储中都以密文的形式存在。
在节点-操作系统安全加固(服务器版)中,服务器管理员可以根据客体的不同安全级制定不同的数据保护策略,方便信息系统和外界进行数据交换。
5.2.5移动介质权限管理
节点-操作系统安全加固(服务器版)对于移动介质进行严格的控制,所有移动介质在使用之前都需经过授权,未经授权的移动介质一律禁止在服务器上使用。对于已授权的移动介质进行标记管理,对其使用行为进行全程的严格控制,从而防止通过移动介质非法拷贝服务器敏感信息等恶意事件的发生。
5.3服务器安全管理
5.3.1用户权限控制
对于用户权限的划分,用户的任何行为都要受到统一安全管理平台的策略控制,从而有效解决内部有权限的人员有意无意发起的攻击。
5.3.2管理员职责分离
为了方便权限管理,节点-操作系统安全加固(服务器版)引入以下三个管理员角色:系统管理员、安全管理员和安全审计员。根据最小权限原则,系统只赋予每个管理员完成任务所需的最小权限。
系统管理员具有对服务器进行日常维护的权限,其操作权限由安全管理员制定,其行为由系统审计机制监控。安全管理员只有完成安全管理任务的权限,即配置服务器系统安全策略等,并且安全管理员的一切操作行为都被记入审计日志。安全审计员只负责审计日志的存取控制,不具有安全管理员和系统操作员的权限。
节点-操作系统安全加固(服务器版)正是通过上述“三权分立”的机制,使得服务器系统中的不同管理员之间相互监督、相互制约,每个角色各司其职,共同保障服务器系统的安全。
5.3.3行为审计监控
从“三权分立”的角度来看,安全审计员主要起监督作用,监督服务器系统中与安全相关的行为,尤其是安全管理员对安全策略的制定、修改以及授权用户违反安全策略的行为,达到非法行为“赖不掉”的效果。具体包括用户对服务器重要数据的操作甚至降级行为、对移动介质的使用行为、不可信程序的启动行为、用户的越权访问行为、安全管理员对策略的制定和修改行为、安全操作员对系统的维护行为等。另外只有安全审计员可以修改或者删除审计日志,于是只要恶意用户试图去破坏服务器系统的安全性,其行为就必然会被审计记录,为日后追查留下证据。
5.4产品优势及技术特色
5.4.1产品优势
5.4.2技术特色
(1)结合可信计算技术
随着可信计算工作组在国家信息中心宣告成立以及可信计算技术的开发、应运和部署,一种构建可信计算技术体系应运而生。中软华泰于2007年成为中国可信计算联盟成员之一,借鉴了这种可信思想并将这种思想应用于实际产品中,在操作系统底层建立一个信任根,从信任根开始到硬件平台,再到应用进程、文件等,一级认证一级,一级信任一级,建立一条信任链,从而把这种信任扩展到整个服务器系统,提高服务器系统的安全性。
(2)强制访问控制技术
在原有操作系统自主访问控制基础上,研发基于BLP模型与BIBA模型相结合的强制访问控制模型,通过对重要主体及客体的安全标记,控制主体对于客体的访问权限,实施强制访问控制,严格控制用户行为。保证用户任何行为都在安全策略的支撑下,使得用户登录服务器系统后,其权限受到安全策略的严格限制,不能为所欲为。
(3)主动防御技术
采用主动防御技术,当有恶意代码启动时进行有效的拦截并进行审计,从中了解黑客意图、手段,通过对启动程序进行分析取证找到破坏的根源,以保证服务器的操作系统安全,将恶意事件控制在源头。
(4)内核级安全加固技术
服务器的安全加固工作建立于操作系统内核层,既能准确全面的截获应用层的访问请求,又降低了系统安全机制被旁路的危险,这也为系统的安全模块自我保护、防卸载等构筑了坚固的防线。
6、实施后可实现的效果
6.1构建业务系统源于底层安全环境,抵御各种入侵行为
本方案通过对服务器的操作系统进行安全加固,从系统底层为出发点,以可信计算技术为基础、访问控制为核心,保证服务器的安全,形成严密的安全保护环境,抵御病毒木马等恶意代码的入侵行为。
6.2以技术手段辅助管理,防止内部人员的非法访问
本方案通过对用户行为的控制,有效的防止非授权用户访问和授权用户的越权访问行为的发生,确保信息和信息系统的机密性和完整性,从而为应用系统的正常运行和免遭恶意破坏提供支撑和保障。
6.3弥补常规防护手段的不足,提高整体防御力
本方案通过对操作系统本身的安全加固,打造服务器本身的免疫系统。可以有效的规避因打补丁给服务器带来的风险,切断黑客的攻击途径。同时,本方案通过主动防御和防网络攻击等功能弥补了传统安全产品的不足,避免出现信息安全的短板效应,提高了系统的整体防御能力。
6.4构建统一安全管理平台,集中管控全部服务器
本方案通过构建统一安全管理平台(安全管理中心),对整个网络系统的服务器统一管理、集中控制,保证各项安全机制的高度协调统一。消除各个服务器由于配置不同造成的安全隐患,最终构建一道针对整个服务器系统的整体安全防线,有效保护服务器系统中的信息安全。