系统加固

1系统加固概述
系统加固和优化服务是实现客户信息系统安全的关键环节。

通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。

1.1系统加固的对象安全隐患
1.安装、配置不符合安全需求；
2.参数配置错误；
3.使用、维护不符合安全需求；
4.系统完整性被破坏；
5.被注入木马程序；
6.帐户/口令问题；
7.安全漏洞没有及时修补；
8.应用服务和应用程序滥用；
9.应用程序开发存在安全问题等。

1.2系统加固和优化服务的目的
系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作：
1.正确的安装；
2.安装最新和全部OS和应用软件的安全补丁；
3.操作系统和应用软件的安全配置；
4.系统安全风险防范；
5.提供系统使用和维护建议；
6.系统功能测试；
7.系统安全风险测试；
8.系统完整性备份；
9.必要时重建系统等。

1.3系统加固的准备工作
系统加固和优化是一项十分复杂的工作，要经历几个过程的反复，为保证系统加固和化能够顺利进行并圆满完成，必须做好以下准备工作：
1.明确系统加固目标;
2.明确系统运行状况;
3.明确加固风险
4.做好系统备份以规避加固风险；
上述工作的结果决定了系统加固和优化的流程、实施的内容、步骤和复杂程度。

具体说，则可以归纳为：
1.明确加固目标也就确定系统在做过加固和优化后，达到的安全级别,通常不
同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同. 明确加固目标的结果必须能够明确做加固和优化的系统如何在功能性与安全性之间寻求平衡，即加固后能达到的安全程度可以满足用户需求
2.明确系统运行状况的内容包括:
●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服
务等。

●系统上运行的应用系统及其正常所必需的服务。

3.明确加固风险:系统加固是有一定风险的,一般可能的风险包括停机、应用程
序不能正常使用、最严重的情况是系统被破坏无法使用。

这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。

因此在加固前做好系统备份是非常重要的。

4.系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权
限、等内容；最好做系统全备份以便快速恢复。

2系统加固功能描述
2.1数字签名认证机制
为了达到内网核心安全的目的，采用了数字签名证书为基础并结合访问控制的技术。

当安全内核安装后，没有通过数字签名证书认证的用户，即使获得了管理员权限，也不能访问被安全内核保护的资源。

通过接管系统所有访问控制权限，实际上取消了“超级用户”（root）权限，通过使用数字签名证书认证机制，达到用户认证目的。

用户或者其他非法入侵者即使获得了超级用户口令也无法访问系统重要资源。

对系统管理员或用户颁发数字签名证书，通过基于操作系统内核级的认证机制完成用户登录过程。

2.2帐号管理
提供远程站点的unix用户帐户及组管理功能。

在内核层基于证书进行认证，提高安全强度，所以为控制安全管理员配置的文件要用安全管理员发行的证书得到认证。

2.3口令质量控制
为管理员提供了口令质量控制的功能，管理员可以利用这项功能实现密码的质量控制，如：设置密码的最大长度和最小长度，密码中出现的特殊字符的最少数量，当口令更改后，该密码的使用期限等。

通过加固软件与系统结合，加固软件提供了对用户登录口令的管理，加固软件将口令质量控制分为两部分：密码更改期限&密码登录限制和密码格式。

这些口令质量控制规则如下：
1.一旦口令被更改，那么该口令将在多少时间内不允许再次更改。

2.当口令更改后，该密码的使用期限。

3.该帐户被注销的期限。

4.帐户距注销时间还剩多少时对该用户进行通知。

5.试图更改密码的次数。

6.密码中存在数字的数量。

7.密码的最大长度和最小长度。

8.密码中存在的字符串大写字母和小写字母的最少数量。

9.密码中出现的数字的最少数量。

10.口令不能重复的期限。

11.密码中出现的特殊字符的最少数量。

12.与以前密码之间至少有多少个字符不一样。

13.创建的用户名至少与其他用户名有多少个字符的区别。

14.利用口令字典限制某些特定词做口令。

15.禁止使用的用户。

2.4文件的访问控制
加固软件允许已经通过认证的加固软件用户或该组访问由加固软件保护的文件。

加固软件可以控制多种的系统调用，加固软件将对照相应的列表实现对用户的控制。

UNIX本身用户对用户、组成员、其他用户拥有读、写、删除等控制权限，通过加固软件可以实现更强大的安全策略，由加固软件控制的文件，即使root用户也不能对其进行访问。

提供有条件的访问控制列表的方式对资源保护：
加固软件可根据用户的需求，依据用户、组、文件、任务、权限等配置安全策略，制定详细的访问控制，可管理多个的系统调用，对文件、系统、进程等系统资源进行保护。

并可防止由攻击引起的对数据的篡改，阻止非授权用户中断进程和守护进程，保障服务器的稳定运行。

限制访问资产的方式，按组、用户、操作等分类的多种访问控制功能。

1.加固软件可以建立基于用户的访问控制，可以根据业务及责任建立信息策
略。

2.加固软件可以建立基于Group的访问控制。

3.多样的Operation Control 功能(控制多个 Permission)，控制多个访问控
制。

注释：数据库中最基本的单位是文件，实现对文件访问权限控制即可达到对数据库的保护。

2.5防止程序非法终止
加固软件提供进程保护功能，通过防止进程的非法终止保证服务器的稳定运行。

被加固软件保护的进程无法kill，即使是root用户不通过认证也无法终止被保护的进程。

进程被加固软件保护后，除通过电子签名认证过程并取得认证的安全管理员之外，任何人都无法停止相应程序的运行。

该功能设置到需要持续提供服务的程序(例如，Web服务器程序、DNS 程序、邮件服务器程序等)中，是非常有用的功能，可防止由于非法取得系统root权限而引起中断服务的事故。

加固软件提供了对进程的保护，截取发向进程的sigkill、sigstop和sigterm 信号。

被保护的进程可以正常或异常推出，但是不能被非授权用户（包括root）杀死。

传统的Unix没有对进程的保护措施。

进程的属主和root可以用kill命令杀死正在运行的进程。

实际上，一些关键的进程如数据库守护进程、应用程序进程等应该一直运行，不应该被杀死。

加固软件提供了对进程的保护，他截取了发向进程的sigkill、sigstop和sigterm信号。

被保护的进程可以正常或异常退出，但是不能被非授权的用户(包括root)杀死。

这就保护了误操作造成的关键进程的异常中止，保障了系统的可靠性，只有通过认证的超级用户(安全管理员)可以结束进程。

2.6程序自动权限设置
由于加固软件会控制未经过电子签名认证过程的用户(程序)访问已设置了访问权限的文件，所以，未获得认证的用户(程序)无法访问设置了访问权限的文件。

但是，如是在系统中不停运行的程序，它不是用户程序，所以无法经过认证过程。

如果对运行这种程序所需的文件设置了访问权限，程序无法被访问，因
此会无法正常运行。

在这种情况下，加固软件通过“程序自动权限设置”，设置为赋予相应程序以适当的权限，可保障在运行相应程序时，自动分配相应权限，程序即可正常运行。

加固软件中对设置访问控制的文件通过证书进行认证，所以没有获得认证的用户(进程)不能访问受保护的文件。

但作为在系统中运行的进程因不是用户不能进行认证过程.因这些进程无法访问不能正常运行。

在这样的情况下通过[自动权限文件设置]对相应进程赋与适当权限,这样可以保障进程的正常运行。

2.7特权程序控制
控制执行文件时UID变化的文件。

例如象对系统的口令文件记录信息的passwd 程序，为执行命令以root权限运行。

SUID因临时对用户赋予更大的权限，所以对设置Setuid位的所有系统中的程序要监控它的变化。

加固软件在安装时会自动检测系统中的特权程序，将这些特权程序加入加固软件资源列表中，安全管理员可以通过配置，限制特权程序的使用，如果没有加固软件的授权，即使root用户也不能使用特权程序，这样就可以进一步加强系统的安全性。

通过加固软件向用户颁发的数字签名证书，只有通过数字签名证书认证的用户可以使用特权程序。

2.8网络控制服务
加固软件网络控制具备了系统防火墙功能，该功能控制远程对服务器IP或服务的访问。

通过功能强大的网络服务及IP地址控制，可以很好的限制用户访问系统资源。

加固软件提供的系统防火墙功能允许对TCP、UDP以及ICMP等数据包进行内外访问的控制，并且可以对以用户为主体进行网络访问控制。

2.9登录服务控制
加固软件提供对登录服务的限制，这些服务包括”telnet”、”ftp”、”rlogin”、”dtlogin”。

加固软件具备了识别不同登录过程中使用的系统调用序列来拦截用户登录过程，在加固软件中添加相应的策略，可以限制用户使用telnet、ftp、rlogin、dtlogin、ssh等多种登录系统的方式。

1.过识别不同登录过程中使用的系统调用序列来拦截用户登录过程
加固软件具备了识别不同登录过程中使用的系统调用序列来拦截用户登录过程，在加固软件中添加相应的策略，可以限制用户使用telnet、ftp、rlogin、dtlogin、ssh等多种登录系统的方式。

2.限制用户登录的终端
加固软件具备用户登录访问控制功能，可以很好的实现限制用户登录终端的目的，通过加固软件管理控制台，安全管理员可以设置系统用户允许登录的终端IP地址，该用户只有使用策略中允许的终端才可以登录到系统中。

3.限制用户的登录段
加固软件可以对用户的登录时间段进行限制，这些策略包括用户在一周中的哪天可以登录，一天中的某个时间段可以登录，以及某个特定的时间段可以登录。

4.控制用户登录时可以输入错误口令的次数
通过加固软件控制台用户认证管理，可以设置用户登录输入错误口令的次数。

并且当某种登录连接（例如：telnet、ftp）在一段时间没有任何操作时，加固软件可以自动断开连接。

2.10入侵响应－系统IPS
当系统发生入侵行为或者违反安全策略的操作时，加固软件利用自身功能对用户（程序）在网络层和系统内部对该用户（程序）进行阻断，并且由系统向管理员进行报警。

在报警条件中添加相应的报警规则，加固软件可对入侵行为和违反安全策略的用户（程序）进行阻断。

当有违反安全规则的情况出现时，加固软件服务器端会向特定的系统发送报警信息，加固软件监控程序会以多种方式进行报警。

加固软件IPS功能特点：
1.不同于网络级IPS产品，加固软件IPS功能不存在误报率问题。

网络级IPS
可以对试图入侵的行为做出报警和主动响应，然而入侵者可以利用伪造IP 地址发送数以万计的攻击数据包，从而造成大量的误报。

同时，如果网络IPS 规则应对不好，还会造成大量的合法IP地址被屏蔽。

加固软件IPS会主动攻击已经发生的入侵或者破坏行为，而不是攻击那些“试图”入侵行为，这从根本上避免了误报问题。

2.如果破坏者拥有“合法身份”，只要他违反了加固软件IPS制定的规则，加
固软件仍然会第一时间对这种入侵行为进行主动攻击。

系统管理员拥有服务器最高操作权限，当一个用户通过某种方法获得该帐号，那么他都可以正常登录这台服务器。

这时，网络级IPS不会对这个用户的任何操作做出响应，因为他是“正常”登录。

然而只要这个用户做出具有破坏行为的操作，加固软件 IPS就会对这个用户做出主动攻击。

3.加固软件IPS可以制定任何主动防御规则，这个规则可以归纳为8个类型：
文件权限登录网络进程系统认证入侵。

即使再复杂的系统，通过合理的规则制定，加固软件IPS可以保证应对任何非法入侵或者破坏。

2.11日志系统及设置
日志审计和日志管理对于网络安全会起到重要作用，加固软件拥有独立的日志审计系统，通过方便的检索可以方便安全管理员的工作。

加固软件的日志生成是在内核级上实现的，日志根据设置也可不生成，当生成时，还可以设置是否按项目设置生成，所以应视系统存储空间的大小进行适当设置来使用。

加固软件提供多种检索功能，方面管理员的管理工作。

注释：加固软件的日志可以独立生成，也可通过系统本身（syslogd命令）结合成系统日志，这种方式对于大型网络，可以将日志记录在一个统一的日志服务器中进行管理。

并且加固软件支持各种第三方安全审计软件。

2.12程序自身保护功能
作为一个安全产品，首先需要考虑自身的安全性，以防止当黑客入侵时，产品失去应有的安全保护功能。

加固软件采用内核密封技术，可防止内核模块的Loading/Uploading，阻断入侵者对内核层的恶意攻击；通过隐藏自身的安全模块的功能，尽可能避免了由于安全产品暴露所导致的黑客攻击，进一步降低安全风险，使非法者不能察觉加固软件在系统中的存在；并且通过对安装程序的目录及文件的自动保护，来防止删除与卸载，加固软件采用了以上多种技术保证了在自身安全的情况下持续的维护系统安全。

2.13跨平台管理
加固软件支持主流操作系统（Linux/Sun Solaris/IBM AIX/HP UNIX/ Unixware /Windows NT、2000），在需要管理的服务器中如果有多操作系统平台的服务器，加固软件管理端可以进行统一的管理，实现必要的安全策略。

加固软件可以同时管理不同操作系统的服务器，并且在不同操作系统中功能完全一致，显示了良好的跨平台性。

2.14远程站点信息
用户通过加固软件管理控制台可以查看系统的一些重要信息。

利用加固软件管理控制台连接到安装加固软件的服务器上，用户可以通过界面化的方式，查看系统中的重要信息。

这为管理员提供了一种十分便捷的管理方法。

可以显示远程站点的系统信息：
4.远程系统信息
5.远程系统磁盘信息
6.网络状态
7.系统信息
8.登录信息
2.15防止非法结束系统功能(reboot, shutdown 等)
黑客侵入系统后试图通过非法结束系统，如关机或重启的方式，来导致系统不能正常工作，加固软件可以防止未经授权的超级用户中断系统，只有获得认证的用户才能结束系统。

2.16当系统意外断电，启动后系统保持原有的安全设置
当系统断电重起后，系统保持原有的安全设置，这样避免由于系统重起的弱点而造成的安全隐患。

2.17提供"test"模式(模拟运行)功能
对所有安全控制策略的实施，加固软件还提供了模拟运行--"TEST"模式，以此减少因配置安全策略引起的问题。

在该模式下，加固软件的安全策略不产生真正的控制和禁止动作，仍然允许用户象没有加固软件一样访问资源，但是这些访问都被记录在审计日志中，供审计人员检查。

在安全策略的实施过程中，我们先采用"TEST"模式，就可以检查设置的安全策略是否会影响业务的正常运行，是否真正保障系统的安全等等。

这为我们顺利实施加固软件提供了保障。

3加固软件与4A运维平台的联系
加固软件使用预先指定好的端口和协议和4A平台进行通讯，交互认证、授权、审计和账号管理：
认证：用户登陆系统时提供的账号密码，通过系统加固软件传送给4A平台进行统一的认证。

授权：4A平台认证成功后，根据管理员的配置，将该账号相对应的权限信息发送给系统加固软件，实现授权；
审计：系统加固软件自带有审计的功能，把用户的系统上的所以操作都已日
志的方式记录下来，通过与4A平台的交互，上传的平台中进行统一审计。

账号：因为账号统一在4A平台中统一管理（包括证书），当系统软件需要被用户操作时，会向平台发出相应的认证或授权请求，或者当一个用户从一个操作系统到另外一个系统时，因为在4A平台中的回话是不中断的，这时4A平台通过与另一个系统的加固软件进行信息交互，使其可以直接登陆，免去重复输入账号密码，实现单点登陆。

4厂家的对比
4.1 GKR产品
GKR产品所独创的操作系统内核加固技术，合理的实现了强制访问控制，从而妥善的保护了系统中各个层面的资源的安全性和可靠性，实现真正意义上的主动防御功能。

1.系统保护：系统保护是对您的操作系统核心文件和进程等关键信息的保护，
通过设置您所需要的安全级别，实现系统加固，保障系统安全、稳定、高效的运行。

2.应用软件保护：应用软件保护是针对您个人应用而量身定制的保护，用户可
下载所需的保护策略包对应用软件进行保护，从而防止黑客或木马程序盗取您的重要信息或资料。

3.用户文档保护：用户文档保护是您电脑中个人数据的保险箱，敏感或重要的
文件和文件夹都可置于GKR的保护之下，防止他人拷贝、盗取或浏览。

4.特殊行为限制：特殊行为限制开启后，将对系统和用户的权限进行限制，防
止木马、病毒盗用系统权限进行破坏。

5.网络保护：网络保护为您提供了防火墙功能，针对操作系统重要端口进行防
护，使用户免受基于网络的恶意攻击行为。

（Vista版不具有此项功能）
6.软件升级：升级功能使用户能够不定期升级安全策略库以及产品各个功能模
块，方便用户及时、便捷的享受到我们专业的安全服务。

4.2S-NUMEN
S-NUMEN主要功能：
1.通过在内核级实现强制访问控制，提升操作系统的安全级别（B1）。

2.即使黑客获得系统管理员权限，也不能删改核心数据，也不能终止核心业务。

3.即使黑客获得系统管理员权限，也不能删改系统日志。

4.使用数字签名的强身份认证，消除超级用户权限过大带来的安全隐患。

5.在内核层接管系统调用，实现权限分离，权限最小化以及基于角色的访问控
制。

6.主动入侵防护功能（IPS），能够在发生入侵行为后主动攻击入侵者。

7.提供堆栈溢出保护功能，以抵御常见的缓冲区溢出攻击。

8.具有独立的日志系统，即使非法获得系统管理员权限，也不能删改S-NUMEN
日志。

9.支持远程集中管理，集安全管理、安全审计于一体的集中式管理功能。