版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
..網(wǎng)神SecSSM3600服務(wù)器安全加固與管理系統(tǒng)技術(shù)白皮書(shū)LegendsecSecSSM3600TechnologyWhitepaper<LS-SP-P-SSM-2.0>網(wǎng)御神州科技〔北京..版權(quán)說(shuō)明本文的內(nèi)容是網(wǎng)神SecSSM3600服務(wù)器安全加固與管理系統(tǒng)技術(shù)白皮書(shū)。文中的資料、說(shuō)明等相關(guān)內(nèi)容的版權(quán)歸網(wǎng)御神州科技〔北京所有和保留。本文中的任何部分未經(jīng)網(wǎng)御神州科技〔北京〔以下簡(jiǎn)稱(chēng)"網(wǎng)御神州"許可,不得轉(zhuǎn)印、影印或復(fù)印、發(fā)行。2006-2010?版權(quán)所有網(wǎng)御神州科技〔北京商標(biāo)聲明本手冊(cè)中所談及的網(wǎng)御神州產(chǎn)品的名稱(chēng)是網(wǎng)御神州的商標(biāo)。手冊(cè)中涉及的其他公司的注冊(cè)商標(biāo)屬各商標(biāo)注冊(cè)人所有,恕不逐一列明。聯(lián)系信息北京海淀區(qū)上地開(kāi)拓路7號(hào)先鋒大廈二段1層2Section1F,XianfengBuilding,No.7KaituoRoadShangdiInformationIndustrayBase,HaidianDistrict,Beijing客服熱線(xiàn)〔CustomerServiceHotline:400-610-8220010-87002000〔FaxPostCode:100085目錄一、產(chǎn)品背景5二、產(chǎn)品概述6三、技術(shù)原理7四、產(chǎn)品結(jié)構(gòu)圖74.1產(chǎn)品邏輯結(jié)構(gòu)圖7五、產(chǎn)品特征85.1控制超級(jí)用戶(hù)85.2訪問(wèn)控制9⑴強(qiáng)訪問(wèn)控制10⑵自主訪問(wèn)控制115.3審計(jì)跟蹤115.4系統(tǒng)監(jiān)控11六、產(chǎn)品功能146.1跨平臺(tái)管理146.2站點(diǎn)信息146.3外部程序146.4帳號(hào)管理146.5安全角色管理156.6文件的訪問(wèn)控制156.7登錄服務(wù)控制156.8網(wǎng)絡(luò)控制166.9資源共享管理〔windows166.10注冊(cè)表訪問(wèn)控制〔Windows166.11完整性檢查176.12防止程序非法終止〔unix176.13Setuid控制<Unix>186.14防黑客攻擊〔unix186.15Su控制<unix>196.16進(jìn)程管理〔unix196.17運(yùn)行模式196.18系統(tǒng)監(jiān)控196.19分布式策略206.20產(chǎn)品的安裝和卸載216.21程序自身保護(hù)功能216.22拒絕運(yùn)行的程序216.23允許運(yùn)行的程序216.24日志檢索216.25用戶(hù)追蹤226.26進(jìn)程追蹤226.27報(bào)告向?qū)?36.28Agent信息導(dǎo)出23七、產(chǎn)品運(yùn)行環(huán)境247.1網(wǎng)神SecSSMForAgent:247.2網(wǎng)神SecSSMESM:25..一、產(chǎn)品背景隨著Internet應(yīng)用的廣泛深入,信息安全問(wèn)題日益引起人們的高度重視。目前常見(jiàn)的網(wǎng)絡(luò)安全防范措施主要是采用防火墻、入侵檢測(cè)系統(tǒng)、防病毒等安全產(chǎn)品。然而網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)的工程,上述產(chǎn)品只能針對(duì)某一方面,解決部分安全問(wèn)題。如今,黑客完全有可能透過(guò)防火墻將黑客工具裝入網(wǎng)絡(luò)發(fā)動(dòng)內(nèi)部進(jìn)攻。許多黑客也綜合采用多種手段來(lái)攻擊,如果只解決某一方面的安全問(wèn)題,不能起到真正的安全作用,所以必需采用系統(tǒng)的解決方法。信息安全的最終目的就是對(duì)信息數(shù)據(jù)的安全保護(hù)。而和信息數(shù)據(jù)安全相接近的就是操作系統(tǒng)的安全。當(dāng)系統(tǒng)遭受了攻擊,就可能造成重要的數(shù)據(jù)、資料丟失,關(guān)鍵的服務(wù)器丟失控制權(quán)等極其嚴(yán)重的后果。長(zhǎng)期以來(lái)網(wǎng)絡(luò)安全界對(duì)基于網(wǎng)絡(luò)應(yīng)用的外部邊界防范技術(shù)關(guān)注較多,而通過(guò)系統(tǒng)內(nèi)核加固對(duì)用戶(hù)信息的保密性、完整性、可靠性進(jìn)行有效的防護(hù),以守住數(shù)據(jù)安全的最后一道防線(xiàn),正在成為繼應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品后又一行之有效的技術(shù)手段。二、產(chǎn)品概述計(jì)算機(jī)安全涉及到的各方面內(nèi)容中,操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)的安全是主要問(wèn)題,其中操作系統(tǒng)安全尤為關(guān)鍵。操作系統(tǒng)是計(jì)算機(jī)資源的直接管理者,所有應(yīng)用軟件都是基于操作系統(tǒng)來(lái)運(yùn)行的,不能保障操作系統(tǒng)安全,也就不能保障數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全及其他應(yīng)用軟件的安全問(wèn)題。因此構(gòu)建一個(gè)安全的操作系統(tǒng),成為提高計(jì)算機(jī)信息系統(tǒng)安全性的重要手段。操作系統(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)。而服務(wù)器以及業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)。因此,部署安全產(chǎn)品,加強(qiáng)對(duì)關(guān)鍵服務(wù)器的安全控制,是增強(qiáng)系統(tǒng)總體安全性的核心一環(huán)。網(wǎng)御神州公司的SecSSM是一款服務(wù)器安全內(nèi)核保護(hù)系統(tǒng),它不用更改操作系統(tǒng)就可以安裝,操作方便宜于系統(tǒng)管理和安全管理。網(wǎng)神SecSSM在操作系統(tǒng)的安全功能之上提供了一個(gè)安全保護(hù)層。通過(guò)截取系統(tǒng)調(diào)用實(shí)現(xiàn)對(duì)文件系統(tǒng)的訪問(wèn)控制,以加強(qiáng)操作系統(tǒng)安全性。它具有完整的用戶(hù)認(rèn)證,訪問(wèn)控制及審計(jì)的功能,采用集中式管理,克服了分布式系統(tǒng)在管理上的許多問(wèn)題。網(wǎng)神SecSSM是一個(gè)支持跨平臺(tái)的訪問(wèn)控制軟件,它支持AIX、HP-UX、Solaris、Tru64以及Linux和WindowsNT/2000/XP/2003等多種操作系統(tǒng)??蓪?duì)多種操作系統(tǒng)進(jìn)行統(tǒng)一管理,為管理員提供方便,可以保障服務(wù)器安全地提供持續(xù)的客戶(hù)服務(wù)。三、技術(shù)原理網(wǎng)神SecSSM在操作系統(tǒng)級(jí)別實(shí)現(xiàn)安全保護(hù),它在不改變系統(tǒng)執(zhí)行文件,不修改內(nèi)核的情況下變成操作系統(tǒng)的一部分,可以在不重新編譯內(nèi)核的情況下實(shí)現(xiàn)安全控制功能。網(wǎng)神SecSSM工作原理如下:Unix操作系統(tǒng)有一個(gè)系統(tǒng)調(diào)用表,包含指向每個(gè)系統(tǒng)調(diào)用的內(nèi)存地址的指針。應(yīng)用程序?qū)Y源的訪問(wèn)、對(duì)硬件設(shè)備的使用、進(jìn)程間的通訊都是通過(guò)系統(tǒng)調(diào)用接口在操作系統(tǒng)內(nèi)核中實(shí)現(xiàn)的。安全內(nèi)核保存了該表中與安全有關(guān)的系統(tǒng)調(diào)用的指針,并把這些系統(tǒng)調(diào)用重定向到網(wǎng)神SecSSM的相應(yīng)代碼。當(dāng)用戶(hù)或程序執(zhí)行一個(gè)與安全有關(guān)的系統(tǒng)調(diào)用時(shí),網(wǎng)神SecSSM系統(tǒng)調(diào)用代碼會(huì)檢查網(wǎng)神SecSSM數(shù)據(jù)庫(kù)。如果調(diào)用是被授權(quán)的,網(wǎng)神SecSSM調(diào)用原來(lái)的Unix系統(tǒng)調(diào)用,就象網(wǎng)神SecSSM沒(méi)有安裝一樣。否則,安全內(nèi)核返回權(quán)限錯(cuò)誤,禁止該請(qǐng)求。這種實(shí)現(xiàn)方式與操作系統(tǒng)之上的實(shí)現(xiàn)方式比較具有巨大的優(yōu)勢(shì)。某些產(chǎn)品會(huì)替換某些系統(tǒng)工具<如/bin/su>,但還是可以被繞過(guò),還會(huì)造成系統(tǒng)管理和維護(hù)的復(fù)雜。安全內(nèi)核也與某些永久更改操作系統(tǒng)的安全技術(shù)不同。這些技術(shù)不但使系統(tǒng)管理和支持復(fù)雜了,也會(huì)違背操作系統(tǒng)的供應(yīng)商授權(quán)-使操作系統(tǒng)維護(hù)更困難,費(fèi)用增加。 由于系統(tǒng)實(shí)現(xiàn)方式不同,Windows系統(tǒng)上網(wǎng)神SecSSM實(shí)現(xiàn)方式是有不同的地方的,但是從原理來(lái)說(shuō)都是相同的。四、產(chǎn)品結(jié)構(gòu)圖4.1產(chǎn)品邏輯結(jié)構(gòu)圖五、產(chǎn)品特征5.1控制超級(jí)用戶(hù)我們知道,超級(jí)用戶(hù)在操作系統(tǒng)中具有非常特殊的地位。超級(jí)用戶(hù)具有不受資源權(quán)限限制,以最大權(quán)限訪問(wèn)所有資源的特點(diǎn)。但是在實(shí)際的商用模型中,系統(tǒng)管理員的權(quán)限不應(yīng)該包括窺探和篡改業(yè)務(wù)數(shù)據(jù)。所以,商用需求和技術(shù)實(shí)現(xiàn)之間就存在這樣的矛盾。更為嚴(yán)重的是,由于超級(jí)用戶(hù)的特殊性,某人一旦獲得了超級(jí)用戶(hù)權(quán)限,就可以改變審計(jì)記錄,抹去他的活動(dòng)記錄。對(duì)于攻擊者來(lái)說(shuō),超級(jí)用戶(hù)變成了一個(gè)有效的目標(biāo),一旦得到超級(jí)用戶(hù)權(quán)限,就可為所欲為。攻擊者可以通過(guò)各種途徑成為超級(jí)用戶(hù),如猜口令,利用不夠完善的系統(tǒng)配置策略、緩沖區(qū)溢出等等。一旦攻擊者獲得了超級(jí)用戶(hù)權(quán)限,他們就可以完全控制系統(tǒng),影響可用性,改變內(nèi)容,刪除數(shù)據(jù),開(kāi)始進(jìn)攻其他系統(tǒng),留下后門(mén)等等。而且,在現(xiàn)在的實(shí)際生產(chǎn)環(huán)境中,為了使軟件易于安裝和應(yīng)用,許多應(yīng)用軟件都需要以超級(jí)用戶(hù)權(quán)限運(yùn)行,許多提供Web,mail等網(wǎng)絡(luò)服務(wù)的程序也需要以超級(jí)用戶(hù)權(quán)限來(lái)運(yùn)行。系統(tǒng)管理員們不妨回顧一下自己的生產(chǎn)系統(tǒng),絕大部分系統(tǒng)或應(yīng)用軟件都是以超級(jí)用戶(hù)安裝或運(yùn)行的:其中有些軟件的設(shè)計(jì)本身要求以超級(jí)用戶(hù)身份運(yùn)行,有些是系統(tǒng)管理員在安裝時(shí)為了方便讓其使用超級(jí)用戶(hù)權(quán)限。這就造成了權(quán)限的濫用,這些軟件中只要有一個(gè)存在安全漏洞,就會(huì)被黑客利用,完全控制計(jì)算機(jī)。網(wǎng)神SecSSM將超級(jí)用戶(hù)當(dāng)作一般用戶(hù)看待,即超級(jí)用戶(hù)也無(wú)法跨越網(wǎng)神SecSSM的安全屏障去訪問(wèn)未經(jīng)授權(quán)的文件。這樣既可以防止敏感數(shù)據(jù)<如財(cái)務(wù)、人事等>泄露,也可以防止由于超級(jí)用戶(hù)誤操作而給系統(tǒng)帶來(lái)的損失。網(wǎng)神SecSSM把不同的權(quán)限分配給不同的角色,從而分散了超級(jí)用戶(hù)的權(quán)力。網(wǎng)神SecSSM由安全管理員進(jìn)行制定、實(shí)施安全策略。但安全管理員不一定具有系統(tǒng)本身的用戶(hù)帳戶(hù)。安全管理員只是在系統(tǒng)安全基礎(chǔ)之上再做一層安全配置。這樣不管是什么用戶(hù)想獲得相應(yīng)的權(quán)限他必須同時(shí)具有操作系統(tǒng)的權(quán)限和安全管理員賦予給他的網(wǎng)神SecSSM的權(quán)限。任何一個(gè)人的操作都是由安全內(nèi)核來(lái)監(jiān)督的。這樣,即便是超級(jí)用戶(hù),也無(wú)法超越授權(quán)訪問(wèn)資源,從而解決了需求和技術(shù)實(shí)現(xiàn)之間的矛盾。同時(shí),即使"黑客"取得了超級(jí)用戶(hù)權(quán)限,也無(wú)法突破網(wǎng)神SecSSM的安全策略,訪問(wèn)敏感資源。5.2訪問(wèn)控制美國(guó)國(guó)防部于1983年提出并于1985年批準(zhǔn)的"可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則<TCSEC>"將計(jì)算機(jī)系統(tǒng)的安全可信性分為七個(gè)級(jí)別:D 最低安全性;C1 主存取控制;C2 較完善的自主存取控制<DAC>、審計(jì);B1 強(qiáng)制存取控制<MAC>;B2 良好的結(jié)構(gòu)化設(shè)計(jì)、形式化安全模型;B3 全面的訪問(wèn)控制、可信恢復(fù);A1 形式化認(rèn)證。各商用操作系統(tǒng)的安全級(jí)別如下表所示:操作系統(tǒng)類(lèi)型安全級(jí)別HP-UXC2AIXC2DOSDSolarisC2OSF/1B1SCOOpenServerC2WindowsNTC2從表中可以看出,商用操作系統(tǒng)的安全級(jí)別一般最高達(dá)到C2級(jí)。它采取自主存取控制<DAC>按用戶(hù)意愿進(jìn)行存取控制?;谶@種機(jī)制,用戶(hù)可以說(shuō)明其私人資源允許系統(tǒng)中哪個(gè)<些>用戶(hù)以何種權(quán)限進(jìn)行共享。在這種方式下,資源允許哪些用戶(hù)進(jìn)行什么樣的訪問(wèn)完全是由資源的主人決定的。在實(shí)際的應(yīng)用系統(tǒng)中,某些關(guān)鍵資源的主人往往是業(yè)務(wù)人員,他們很難對(duì)系統(tǒng)和安全有深入的了解,也就很難準(zhǔn)確地設(shè)置資源的安全屬性,防止被非法訪問(wèn)。網(wǎng)神SecSSM對(duì)資源的保護(hù)采用訪問(wèn)控制列表<ACL>的方式。哪些人對(duì)哪些資源有什么樣的訪問(wèn)權(quán)限完全是由對(duì)系統(tǒng)及安全有較深理解的安全管理員確定的,從而避免了上述問(wèn)題。網(wǎng)神SecSSM的訪問(wèn)控制保護(hù)與操作系統(tǒng)原有的訪問(wèn)控制相比,還具有如下明顯的增強(qiáng):=1\*GB2⑴強(qiáng)訪問(wèn)控制如上所述,C2級(jí)操作系統(tǒng)采用自主存取控制機(jī)制。安全性更高的B1級(jí)采用強(qiáng)制存取控制機(jī)制,強(qiáng)制存取控制<MAC,MandatoryAccessControl>提供了基于信息機(jī)密性的存取控制方法,用于將系統(tǒng)中的用戶(hù)和信息進(jìn)行分級(jí)別、分類(lèi)別管理,強(qiáng)制限制信息的共享和流動(dòng),使不同級(jí)別和類(lèi)別的用戶(hù)只能訪問(wèn)到與其有關(guān)的、指定范圍的信息,從根本上防止信息的丟失泄密和訪問(wèn)混亂現(xiàn)象。尤其適用于軍事、政府重要部門(mén)和金融領(lǐng)域。強(qiáng)制訪問(wèn)控制是"強(qiáng)加"給訪問(wèn)主體的,即系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制政策。強(qiáng)制訪問(wèn)控制〔MAC的主要特征是對(duì)所有主體及其所控制的客體〔例如:進(jìn)程、文件、段、設(shè)備實(shí)施強(qiáng)制訪問(wèn)控制。為這些主體及客體指定敏感標(biāo)記,這些標(biāo)記是等級(jí)分類(lèi)和非等級(jí)類(lèi)別的組合,它們是實(shí)施強(qiáng)制訪問(wèn)控制的依據(jù)。系統(tǒng)通過(guò)比較主體和客體的敏感標(biāo)記來(lái)決定一個(gè)主體是否能夠訪問(wèn)某個(gè)客體。用戶(hù)的程序不能改變他自己及任何其它客體的敏感標(biāo)記,從而系統(tǒng)可以防止特洛伊木馬的攻擊。強(qiáng)制訪問(wèn)控制一般與自主訪問(wèn)控制結(jié)合使用,并且實(shí)施一些附加的、更強(qiáng)的訪問(wèn)限制。一個(gè)主體只有通過(guò)了自主與強(qiáng)制性訪問(wèn)限制檢查后,才能訪問(wèn)某個(gè)客體。用戶(hù)可以利用自主訪問(wèn)控制來(lái)防范其它用戶(hù)對(duì)自己客體的攻擊,由于用戶(hù)不能直接改變強(qiáng)制訪問(wèn)控制屬性,所以強(qiáng)制訪問(wèn)控制提供了一個(gè)不可逾越的、更強(qiáng)的安全保護(hù)層以防止其它用戶(hù)偶然或故意地濫用自主訪問(wèn)控制。=2\*GB2⑵自主訪問(wèn)控制自主訪問(wèn)控制〔DiscretionaryAccessControl是一個(gè)接入控制服務(wù),其強(qiáng)制執(zhí)行一個(gè)基于系統(tǒng)實(shí)體身份和它們?cè)L問(wèn)系統(tǒng)資源的授權(quán)的安全政策。這包括設(shè)置文件,文件夾和共享資源的許可。DAC的含義是有訪問(wèn)許可的主體能夠直接或間接地向其他主體轉(zhuǎn)讓訪問(wèn)權(quán)。自主訪問(wèn)控制是在確認(rèn)主體身份以及〔或它們所屬的組的基礎(chǔ)上,控制主體的活動(dòng),實(shí)施用戶(hù)權(quán)限管理、訪問(wèn)屬性〔讀、寫(xiě)、執(zhí)行管理等,是一種最為普遍的訪問(wèn)控制手段。自主訪問(wèn)控制的主體可以按自己的意愿決定哪些用戶(hù)可以訪問(wèn)他們的資源,亦即主體有自主的決定權(quán),一個(gè)主體可以有選擇地與其它主體共享他的資源。DAC的主要特征體現(xiàn)在主體可以自主地把自己所擁有客體的訪問(wèn)權(quán)限授予其它主體或者從其它主體收回所授予的權(quán)限,訪問(wèn)通?;谠L問(wèn)控制表〔ACL。訪問(wèn)控制的粒度是單個(gè)用戶(hù)。沒(méi)有存取權(quán)的用戶(hù)只允許由授權(quán)用戶(hù)指定對(duì)客體的訪問(wèn)權(quán)。5.3審計(jì)跟蹤審計(jì)是對(duì)訪問(wèn)控制的必要補(bǔ)充,是訪問(wèn)控制的一個(gè)重要內(nèi)容。審計(jì)會(huì)對(duì)用戶(hù)使用何種信息資源、使用的時(shí)間,以及如何使用〔執(zhí)行何種操作進(jìn)行記錄與監(jiān)控。審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線(xiàn),處于系統(tǒng)的最高層。審計(jì)與監(jiān)控能夠再現(xiàn)原有的進(jìn)程和問(wèn)題,這對(duì)于責(zé)任追查和數(shù)據(jù)恢復(fù)非常有必要。審計(jì)跟蹤是系統(tǒng)活動(dòng)的流水記錄。該記錄按事件從始至終的途徑,順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。審計(jì)跟蹤通過(guò)書(shū)面方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持訪問(wèn)控制職能的實(shí)現(xiàn)〔職能是指記錄系統(tǒng)活動(dòng)并可以跟蹤到對(duì)這些活動(dòng)應(yīng)負(fù)責(zé)任人員的能力。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶(hù)活動(dòng)。系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng);用戶(hù)活動(dòng)包括用戶(hù)在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)。通過(guò)借助適當(dāng)?shù)墓ぞ吆鸵?guī)程,審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問(wèn)題以及程序中的錯(cuò)誤。審計(jì)跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶(hù)的侵害,同時(shí)還能提供對(duì)數(shù)據(jù)恢復(fù)的幫助。網(wǎng)神SecSSM的用戶(hù)追蹤功能,可實(shí)時(shí)收集和追蹤訪問(wèn)服務(wù)器的時(shí)間、訪問(wèn)者、訪問(wèn)內(nèi)容等等??梢砸杂脩?hù)/ip的形式來(lái)查看跟蹤記錄,即使服務(wù)器被非法入侵,黑客刪除系統(tǒng)、安全等日志,也可以通過(guò)查看網(wǎng)神SecSSM日志來(lái)進(jìn)行事后的審計(jì)追蹤。5.4系統(tǒng)監(jiān)控當(dāng)今社會(huì)信息化、網(wǎng)絡(luò)化和數(shù)字化發(fā)展迅猛趨勢(shì),用戶(hù)IT系統(tǒng)越來(lái)越多,網(wǎng)絡(luò)、設(shè)備和產(chǎn)品越來(lái)越復(fù)雜,業(yè)務(wù)越來(lái)越依賴(lài)于穩(wěn)定可靠的系統(tǒng)運(yùn)行,快速、有效、直觀的IT管理工具讓用戶(hù)受益匪淺。如果IT資源的顯現(xiàn)度低,IT部門(mén)將面臨以下難題,其主要表現(xiàn)如下:IT管理員必須通過(guò)各種命令語(yǔ)句,來(lái)管理和關(guān)注這些復(fù)雜的IT資源,造成IT部門(mén)被動(dòng)響應(yīng)式的工作方式。手動(dòng)監(jiān)控方式,效率低下,很難及時(shí)發(fā)現(xiàn)和預(yù)見(jiàn)問(wèn)題的發(fā)生。IT支持部門(mén)的人力資源嚴(yán)重不足,關(guān)鍵人員的工作負(fù)荷過(guò)重。不間斷的對(duì)關(guān)鍵業(yè)務(wù)流程及支持它們的應(yīng)用和基礎(chǔ)架構(gòu)進(jìn)行可視化監(jiān)管理,可以衡量效率并減少風(fēng)險(xiǎn)。因此,自動(dòng)、不間斷、直觀地監(jiān)控IT運(yùn)營(yíng)狀況,將實(shí)現(xiàn)持續(xù)性的IT運(yùn)營(yíng),從而降低維護(hù)成本、改善工作效率的軟件,越來(lái)越成為用戶(hù)不可缺少的重要工具。網(wǎng)神SecSSM的系統(tǒng)監(jiān)控功能可對(duì)服務(wù)器的資源進(jìn)行監(jiān)控,主要包含以下功能:系統(tǒng)監(jiān)控:? 系統(tǒng)設(shè)置:設(shè)置系統(tǒng)的各種監(jiān)控閥值? 進(jìn)程監(jiān)視:查看進(jìn)程狀態(tài),設(shè)置進(jìn)程監(jiān)控的各種數(shù)據(jù)? 進(jìn)程設(shè)置:設(shè)定進(jìn)程使用的限制? 文件設(shè)置:設(shè)定文件系統(tǒng)使用情況的監(jiān)控? 網(wǎng)絡(luò)狀態(tài):設(shè)定各種網(wǎng)絡(luò)服務(wù)監(jiān)控狀態(tài)? 系統(tǒng)性能:設(shè)置系統(tǒng)性能監(jiān)控系統(tǒng)設(shè)置屬性包括以下類(lèi)型:? CPU使用率? 隊(duì)列數(shù)量? 頁(yè)面掃描數(shù)量? 可用交換分區(qū)大小? 磁盤(pán)I/O? 進(jìn)程數(shù)量? 進(jìn)程限制<CPU>在系統(tǒng)監(jiān)控設(shè)置中可以對(duì)服務(wù)器監(jiān)控資源設(shè)置各種閥值,系統(tǒng)的各種屬性達(dá)到閥值的設(shè)置時(shí)網(wǎng)神SecSSM就會(huì)執(zhí)行相關(guān)的動(dòng)作并會(huì)向特定的主機(jī)發(fā)送報(bào)警信息,網(wǎng)神SecSSM監(jiān)控程序會(huì)以多種方式進(jìn)行報(bào)警,包括發(fā)送報(bào)警信息和電子郵件等。六、產(chǎn)品功能功能介紹中沒(méi)有表明Unix和Windows的內(nèi)容表明此功能支持所有操作系統(tǒng)。這些通用功能有些以Unix操作系統(tǒng)來(lái)參考進(jìn)行了功能說(shuō)明,但在Windows系統(tǒng)中也具有此功能,而且原理和功能基本都相同。6.1跨平臺(tái)管理網(wǎng)神SecSSM支持AIX、HP-UX、Solaris、Tru64以及Linux和WindowsNT/2000/XP/2003等多種操作系統(tǒng),網(wǎng)神SecSSM可以同時(shí)管理不同操作系統(tǒng)的服務(wù)器,實(shí)施安全策略,并且在不同操作系統(tǒng)中功能基本一致,顯示了良好的跨平臺(tái)性,并且可以導(dǎo)入和導(dǎo)出配置文件,提高配置效率6.2站點(diǎn)信息通過(guò)網(wǎng)神SecSSM管理控制臺(tái)可以查看agent端的一些重要信息:如站點(diǎn)信息、磁盤(pán)信息、系統(tǒng)性能、客戶(hù)端版本、agent模塊狀態(tài)等。可以實(shí)時(shí)查看連接的服務(wù)器上的各種信息,例如機(jī)器名、操作系統(tǒng)版本、系統(tǒng)已運(yùn)行時(shí)間、警報(bào)信息、CPU、內(nèi)存使用狀態(tài)、硬件信息、已安裝的軟件信息等,方便用戶(hù)可以直接通過(guò)管理控制臺(tái)進(jìn)行一些常規(guī)的管理和維護(hù)。6.3外部程序網(wǎng)神SecSSM的外部程序功能,用戶(hù)可以自定義一個(gè)程序〔如ssh客戶(hù)端、telnet客戶(hù)端等,在agent列表使用右鍵點(diǎn)擊該快捷菜單,就會(huì)自動(dòng)調(diào)用事先定義好的程序如〔SecureCRT來(lái)連接agent主機(jī),方便對(duì)agent進(jìn)行管理和維護(hù)工作,提高工作效率。6.4帳號(hào)管理網(wǎng)神SecSSM提供對(duì)遠(yuǎn)程站點(diǎn)的用戶(hù)帳戶(hù)及組管理功能??梢圆榭?添加,刪除用戶(hù)和組,可以設(shè)定用戶(hù)帳戶(hù)的有效期,密碼策略等6.5安全角色管理網(wǎng)神SecSSM可以通過(guò)創(chuàng)建SO〔securityofficer、SA〔systemadmins角色來(lái)賦予用戶(hù)不同的管理權(quán)限,例如只可以查看策略,或者只能修改某種策略、監(jiān)控系統(tǒng)、管理用戶(hù)、執(zhí)行特殊的程序等等。通過(guò)創(chuàng)建這些不同權(quán)限的角色,來(lái)實(shí)現(xiàn)對(duì)操作系統(tǒng)的細(xì)致化的管理控制。6.6文件的訪問(wèn)控制通過(guò)細(xì)化用戶(hù)的文件訪問(wèn)權(quán)限,嚴(yán)格定義用戶(hù)對(duì)文件的訪問(wèn)。例如可以設(shè)置保護(hù)的文件即使超級(jí)用戶(hù)也只能讀,不能進(jìn)行修改等。網(wǎng)神SecSSM可以防止來(lái)自于內(nèi)部和外部對(duì)系統(tǒng)的攻擊。以Unix舉例來(lái)說(shuō),Unix對(duì)每一個(gè)文件或目錄的訪問(wèn)者分為文件的屬主用戶(hù)<Owner>、同組用戶(hù)<Group>和其他用戶(hù)<Others>三類(lèi),這三類(lèi)用戶(hù)對(duì)該文件可以有讀、寫(xiě)、執(zhí)行三種訪問(wèn)權(quán)限。文件的屬主、所屬用戶(hù)組以及訪問(wèn)權(quán)限都作為文件的屬性保存在文件的描述之中。操作系統(tǒng)內(nèi)核在訪問(wèn)文件時(shí),把訪問(wèn)進(jìn)程<用戶(hù)>的uid和gid與文件的相應(yīng)屬性匹配,確定該進(jìn)程對(duì)文件的存取權(quán)限。網(wǎng)神SecSSM采取了訪問(wèn)控制列表的方式確定用戶(hù)對(duì)文件的訪問(wèn)權(quán)限,因此每一個(gè)不同的用戶(hù)都可以對(duì)文件有不同的權(quán)限,而不僅僅限于屬主、同組者和其用戶(hù)他三種情況,這就增加了控制的靈活性。網(wǎng)神SecSSM也對(duì)文件和目錄的訪問(wèn)權(quán)限進(jìn)行了更為細(xì)致地劃分。我們知道,對(duì)文件的讀、寫(xiě)、執(zhí)行三種權(quán)限并不能真正反映復(fù)雜業(yè)務(wù)系統(tǒng)的需要。例如,某些業(yè)務(wù)人員的職責(zé)是進(jìn)行日常交易,反映在業(yè)務(wù)系統(tǒng)中可能是更新<讀、寫(xiě)>某些文件;但文件的建立和維護(hù)應(yīng)該是由系統(tǒng)維護(hù)人員進(jìn)行的,業(yè)務(wù)人員不應(yīng)刪除這些文件。但是在Unix中,對(duì)文件有寫(xiě)的權(quán)限,就能刪除該文件。如果該業(yè)務(wù)人員由于誤操作或心存不軌,刪除了這些文件,就會(huì)對(duì)業(yè)務(wù)造成不可彌補(bǔ)的損失。網(wǎng)神SecSSM把對(duì)文件的訪問(wèn)權(quán)限擴(kuò)展為讀、寫(xiě)、執(zhí)行、創(chuàng)建、刪除、改模式、改屬主等多種,對(duì)目錄的訪問(wèn)權(quán)限擴(kuò)展為進(jìn)入、搜索和刪除,就大大增加了控制的細(xì)致靈活程度。6.7登錄服務(wù)控制網(wǎng)神SecSSM提供對(duì)登錄服務(wù)的限制,這些服務(wù)包括"telnet"、"ftp"、"rlogin"、"ssh"、windows用戶(hù)登錄等。網(wǎng)神SecSSM具備了識(shí)別不同登錄過(guò)程中使用的系統(tǒng)調(diào)用序列來(lái)攔截用戶(hù)登錄過(guò)程,在網(wǎng)神SecSSM中添加相應(yīng)的策略,可以限制用戶(hù)使用多種登錄系統(tǒng)的方式。通過(guò)識(shí)別不同登錄過(guò)程中使用的系統(tǒng)調(diào)用序列來(lái)攔截用戶(hù)登錄過(guò)程網(wǎng)神SecSSM具備了識(shí)別不同登錄過(guò)程中使用的系統(tǒng)調(diào)用序列來(lái)攔截用戶(hù)登錄過(guò)程,在網(wǎng)神SecSSM中添加相應(yīng)的策略,可以限制用戶(hù)使用telent、ftp、rlogin、ssh、Winlogon等多種登錄系統(tǒng)的方式。限制用戶(hù)的登錄時(shí)段網(wǎng)神SecSSM可以對(duì)用戶(hù)的登錄時(shí)間段進(jìn)行限制,這些策略包括用戶(hù)在一周中的哪天可以登錄,一天中的某個(gè)時(shí)間段可以登錄,以及某個(gè)特定的時(shí)間段可以登錄。限制用戶(hù)的登錄ip網(wǎng)神SecSSM可以對(duì)登陸者的ip地址進(jìn)行過(guò)濾,例如可以設(shè)置某個(gè)用戶(hù)只有使用指定IP才能訪問(wèn)服務(wù)器。6.8網(wǎng)絡(luò)控制網(wǎng)神SecSSM在網(wǎng)絡(luò)控制管理功能實(shí)際上調(diào)用了主機(jī)的防火墻模塊,通過(guò)圖形化的方式來(lái)配置策略從而降低操作的復(fù)雜性。根據(jù)TCP、UDP協(xié)議控制網(wǎng)絡(luò)的進(jìn)出,通過(guò)功能強(qiáng)大的網(wǎng)絡(luò)服務(wù)及IP地址控制,可以很好的限制用戶(hù)訪問(wèn)系統(tǒng)資源。6.9資源共享管理〔windows網(wǎng)神SecSSM的資源共享功能,可以刪除系統(tǒng)的默認(rèn)共享,可以靈活地添加、修改、刪除服務(wù)器的共享資源。6.10注冊(cè)表訪問(wèn)控制〔Windows注冊(cè)表是Windows操作系統(tǒng)中硬件設(shè)備以及客戶(hù)應(yīng)用程序得以正常運(yùn)行和保存設(shè)置的核心"數(shù)據(jù)庫(kù)",它記錄了用戶(hù)安裝在機(jī)器上的軟件和每個(gè)程序的相互關(guān)聯(lián)關(guān)系;它包含了計(jì)算機(jī)的硬件配置,包括自動(dòng)配置的即插即用的設(shè)備和已有的各種設(shè)備說(shuō)明、狀態(tài)屬性以及各種狀態(tài)信息和數(shù)據(jù)等。網(wǎng)神SecSSM對(duì)系統(tǒng)注冊(cè)表提供保護(hù)功能,可以對(duì)注冊(cè)表鍵值進(jìn)行保護(hù),防止用戶(hù)或程序非法修改注冊(cè)表。6.11完整性檢查對(duì)unix管理員來(lái)說(shuō),主機(jī)系統(tǒng)的安全一直是個(gè)課題,一方面管理員通過(guò)更新patch,安裝軟硬件防火墻等手段努力使自己的系統(tǒng)可靠性增強(qiáng),而另一方面unix操作系統(tǒng)的漏洞總是不斷被發(fā)現(xiàn)并被公布出來(lái),互聯(lián)網(wǎng)上沒(méi)有安全的主機(jī)。任何一臺(tái)放在Internet上的主機(jī)被入侵的潛在可能性是不可逃脫的,而且,對(duì)入侵者而言,利用漏洞進(jìn)入系統(tǒng)往往只是第一步,如果想得到更多的,如超級(jí)用戶(hù)的密碼,數(shù)據(jù)庫(kù)的口令等,往往需要下點(diǎn)功夫,最便捷也是最有效的就是改動(dòng)或特洛伊化受侵害的主機(jī)上的文件,如放置自己的監(jiān)聽(tīng)程序,替代某些關(guān)鍵文件,修改編輯可信文件,設(shè)置suid文件等。一些管理員通unix自帶的命令來(lái)檢查文件的安全性,如檢查文件生成的時(shí)間戳,但這樣的可靠性微乎其微,有經(jīng)驗(yàn)的入侵者可以很輕松的修改文件生成時(shí)間。網(wǎng)神SecSSM具備文件完整性檢查功能,使用哈希算法來(lái)進(jìn)行完整性檢查,網(wǎng)神SecSSM會(huì)根據(jù)管理員的設(shè)置針對(duì)要監(jiān)控的文件進(jìn)行讀取,對(duì)每個(gè)文件生成相應(yīng)的數(shù)字簽名,并將這些結(jié)果保存在自己的數(shù)據(jù)庫(kù)中,當(dāng)完整性檢查完畢后會(huì)記錄下檢查時(shí)間和檢查結(jié)果。當(dāng)懷疑系統(tǒng)被入侵時(shí),可由網(wǎng)神SecSSM根據(jù)先前生成的數(shù)據(jù)庫(kù)文件來(lái)做一次數(shù)字簽名的對(duì)照,如果文件被替換,則與網(wǎng)神SecSSM數(shù)據(jù)庫(kù)內(nèi)相應(yīng)數(shù)字簽名不匹配,這時(shí)網(wǎng)神SecSSM會(huì)報(bào)告相應(yīng)文件被更動(dòng)并以紅色字體標(biāo)明當(dāng)然,當(dāng)管理員自身對(duì)某些文件更動(dòng)時(shí),網(wǎng)神SecSSM的數(shù)據(jù)庫(kù)必然是需要隨之更新的,這時(shí)需要更新完整性檢查列表中的相應(yīng)文件。網(wǎng)神SecSSM完整性檢查功能支持自定義添加,可定期對(duì)完整性檢查列表中的文件進(jìn)行完整性檢查并通報(bào)。完整性檢查功能不但可以檢查服務(wù)器端的文件,還支持對(duì)ESM產(chǎn)品自身進(jìn)行完整性檢查。6.12防止程序非法終止〔unix網(wǎng)神SecSSM可以防止未經(jīng)授權(quán)的超級(jí)用戶(hù)非法終止重要進(jìn)程及后臺(tái)守護(hù)進(jìn)程,保證服務(wù)器的正常運(yùn)行。一些關(guān)鍵的進(jìn)程如數(shù)據(jù)庫(kù)守護(hù)進(jìn)程、應(yīng)用程序進(jìn)程等應(yīng)該一直運(yùn)行,不應(yīng)該被殺死。網(wǎng)神SecSSM提供了對(duì)進(jìn)程的保護(hù),可以截取發(fā)向系統(tǒng)的進(jìn)程結(jié)束信號(hào)。被保護(hù)的進(jìn)程可以正常或異常退出,但是不能被非授權(quán)的用戶(hù)<包括超級(jí)用戶(hù)>殺死。這就保護(hù)了誤操作造成的關(guān)鍵進(jìn)程的異常中止,保障了系統(tǒng)的可靠性,只有通過(guò)認(rèn)證的超級(jí)用戶(hù)可以結(jié)束進(jìn)程。6.13Setuid控制<Unix>Unix的用戶(hù)都知道,setuid<0>的文件在系統(tǒng)中存在著潛在的風(fēng)險(xiǎn),可以讓非root用戶(hù)來(lái)執(zhí)行一些root才能執(zhí)行的工作,為了控制風(fēng)險(xiǎn),網(wǎng)神SecSSM提供了對(duì)Setuid屬性程序的控制,控制執(zhí)行文件時(shí)UID變化的文件。例如象對(duì)系統(tǒng)的口令文件記錄信息的passwd程序,為執(zhí)行命令以root權(quán)限運(yùn)行。SUID因臨時(shí)對(duì)用戶(hù)賦予更大的權(quán)限,所以對(duì)設(shè)置Setuid位的所有系統(tǒng)中的程序要監(jiān)控它的變化。常規(guī)的針對(duì)setuid的程序控制,一般采用修改文件權(quán)限或?qū)傩缘姆绞絹?lái)控制,而網(wǎng)神SecSSM在不修改文件屬性的前提下控制suid程序。例如對(duì)passwd命令進(jìn)行了控制,當(dāng)再次使用passwd命令,普通用戶(hù)無(wú)法使用它修改密碼.6.14防黑客攻擊〔unix<1>入侵防護(hù)功能入侵防護(hù)功能主要保證系統(tǒng)不受以下幾種方式的入侵? FIFO保護(hù):可以設(shè)置成只對(duì)某個(gè)用戶(hù)開(kāi)放FIFO。? 符號(hào)鏈接保護(hù):可以保護(hù)利用文件符號(hào)鏈接來(lái)獲取root權(quán)限的攻擊。? 硬鏈接保護(hù):防止創(chuàng)建文件或者目錄的硬鏈接。? CHROOT保護(hù):保護(hù)系統(tǒng)不被攻擊者利用chroot來(lái)獲取root權(quán)限。<2>系統(tǒng)防護(hù)功能系統(tǒng)防護(hù)功能可以保護(hù)系統(tǒng)因?yàn)楦鞣N使用不當(dāng)所引起的安全問(wèn)題:? 自動(dòng)檢測(cè)混雜模式:自動(dòng)檢測(cè)網(wǎng)卡是否是處在混雜模式下,并且生成相關(guān)日志注:.檢測(cè)混雜模式的目的主要是為了檢查是否有sniffer程序在運(yùn)行。? 隱藏安全模塊功能:在操作系統(tǒng)中隱藏網(wǎng)神SecSSM的安全模塊,避免惡意用戶(hù)針對(duì)安全保護(hù)的破壞。? 進(jìn)程隱藏:限制用戶(hù)只能查看屬于自己的進(jìn)程信息。注:進(jìn)程隱藏功能只適用于Solaris系統(tǒng)。6.15Su控制<unix>SU是用來(lái)改變用戶(hù)身份的命令,一旦用戶(hù)改變成超級(jí)用戶(hù)將具有最高的ROOT權(quán)限,所以需要限制用戶(hù)通過(guò)SU命令轉(zhuǎn)換成超級(jí)用戶(hù)的策略,從而使得權(quán)限的變更更加安全。6.16進(jìn)程管理〔unix網(wǎng)神SecSSM可以通過(guò)管理控制臺(tái)實(shí)時(shí)顯示連接站點(diǎn)的進(jìn)程狀態(tài)??梢赃x擇進(jìn)程添加/刪除訪問(wèn)控制和發(fā)送信號(hào)<也就是軟中斷跟硬中斷不同>??蓪?shí)時(shí)查看當(dāng)前進(jìn)程,對(duì)進(jìn)程設(shè)置防kill保護(hù),還可以對(duì)進(jìn)程發(fā)送信號(hào),以及追蹤進(jìn)程等,方便管理員管理維護(hù)系統(tǒng),及時(shí)的停止掉可疑程序或進(jìn)程。注:只有Unix下才有發(fā)送進(jìn)程信號(hào)的功能。6.17運(yùn)行模式對(duì)所有安全控制策略的實(shí)施,網(wǎng)神SecSSM提供了3種不同的模式,正常模式〔on、關(guān)閉模式〔off還提供了模擬運(yùn)行--"warning"模式,以此減少因配置安全策略引起的問(wèn)題。在warning模式下,網(wǎng)神SecSSM的安全策略不產(chǎn)生真正的控制和禁止動(dòng)作,警告模式的時(shí)候只記錄日志并沒(méi)有啟用安全策略。根據(jù)每個(gè)系統(tǒng)調(diào)用或功能可以設(shè)置正常,警告,關(guān)閉等選項(xiàng),處于警告模式時(shí)安全策略沒(méi)有啟用,仍然允許用戶(hù)象沒(méi)有網(wǎng)神SecSSM一樣訪問(wèn)資源,但是這些訪問(wèn)都被記錄在審計(jì)日志中,供審計(jì)人員檢查。在安全策略的實(shí)施過(guò)程中,我們先采用"warning"模式,就可以檢查設(shè)置的安全策略是否會(huì)影響業(yè)務(wù)的正常運(yùn)行,是否真正保障系統(tǒng)的安全等等。這為我們順利實(shí)施網(wǎng)神SecSSM提供了保障。6.18系統(tǒng)監(jiān)控網(wǎng)神SecSSM的系統(tǒng)監(jiān)控功能可對(duì)服務(wù)器的資源進(jìn)行監(jiān)控,主要包含以下功能:系統(tǒng)監(jiān)控:? 系統(tǒng)設(shè)置:設(shè)置系統(tǒng)的各種監(jiān)控閥值? 進(jìn)程監(jiān)視:查看進(jìn)程狀態(tài),設(shè)置進(jìn)程監(jiān)控的各種數(shù)據(jù)? 進(jìn)程設(shè)置:設(shè)定進(jìn)程使用的限制? 文件設(shè)置:設(shè)定文件系統(tǒng)使用情況的監(jiān)控? 網(wǎng)絡(luò)狀態(tài):設(shè)定各種網(wǎng)絡(luò)服務(wù)監(jiān)控狀態(tài)? 系統(tǒng)性能:設(shè)置系統(tǒng)性能監(jiān)控系統(tǒng)設(shè)置屬性包括以下類(lèi)型:? CPU使用率? 隊(duì)列數(shù)量? 頁(yè)面掃描數(shù)量? 可用交換分區(qū)大小? 磁盤(pán)I/O? 進(jìn)程數(shù)量? 進(jìn)程限制<CPU>在系統(tǒng)監(jiān)控設(shè)置中可以對(duì)服務(wù)器監(jiān)控資源設(shè)置各種閥值,系統(tǒng)的各種屬性達(dá)到閥值的設(shè)置時(shí)網(wǎng)神SecSSM就會(huì)執(zhí)行相關(guān)的動(dòng)作并會(huì)向特定的主機(jī)發(fā)送報(bào)警信息,網(wǎng)神SecSSM監(jiān)控程序會(huì)以多種方式進(jìn)行報(bào)警,包括發(fā)送報(bào)警信息和電子郵件等。6.19分布式策略在生產(chǎn)環(huán)境中,若針對(duì)同一類(lèi)應(yīng)用的多臺(tái)服務(wù)器批量部署網(wǎng)神SecSSM時(shí),可以使用分布式策略功能,把網(wǎng)神SecSSM的配置策略發(fā)布到其他agent機(jī)器上??赏瑫r(shí)對(duì)多臺(tái)agent服務(wù)器進(jìn)行發(fā)布。6.20產(chǎn)品的安裝和卸載網(wǎng)神SecSSM產(chǎn)品在安裝和卸載產(chǎn)品時(shí)均不需要重啟操作系統(tǒng),可以保障一些重要的服務(wù)器不怠機(jī),為客戶(hù)提供持續(xù)穩(wěn)定的服務(wù)。安裝以后不需重啟系統(tǒng)可以直接使用此產(chǎn)品,并應(yīng)用安全策略,并且卸載以后也無(wú)需重啟系統(tǒng),并且保持操作系統(tǒng)的原樣。6.21程序自身保護(hù)功能作為一個(gè)安全程序,首先需要作好自身的安全,以防被黑客入侵時(shí)刪除,失去應(yīng)的安全保護(hù)的功能。通過(guò)隱藏自身的安全模塊<HidingKernelModule>,這盡可能避免了由于安全產(chǎn)品暴露所導(dǎo)致的黑客攻擊,來(lái)降低安全風(fēng)險(xiǎn),使非法者不知有此程序在運(yùn)行中;通過(guò)對(duì)安裝程序的目錄及文件的自動(dòng)保護(hù),來(lái)防止刪除安全程序,以保持提供持續(xù)的安全功能。6.22拒絕運(yùn)行的程序網(wǎng)神SecSSM的CommandControlList功能,可以針對(duì)重要的程序進(jìn)行保護(hù),如shutdown、reboot、halt等指令。防止未經(jīng)授權(quán)的超級(jí)用戶(hù)中斷系統(tǒng),導(dǎo)致系統(tǒng)不能正常工作,只有獲得認(rèn)證的用戶(hù)才能結(jié)束系統(tǒng)運(yùn)行6.23允許運(yùn)行的程序如果一個(gè)文件的屬性被賦予了只有so用戶(hù)才能訪問(wèn)的權(quán)限,若想讓SystemAdmin成員或root用戶(hù)能直接訪問(wèn)該程序,此時(shí)我們就用到了CommandPermitManagement功能。6.24日志檢索網(wǎng)神SecSSM對(duì)在內(nèi)核層生成的系統(tǒng)調(diào)用提供日志記錄功能。日志根據(jù)設(shè)置包含不同項(xiàng)目,還可以設(shè)置某些項(xiàng)目是否要記錄日志,這樣可以根據(jù)磁盤(pán)空間進(jìn)行日志設(shè)置。網(wǎng)神SecSSM不僅收集安全日志,而且也收集系統(tǒng)日志。網(wǎng)神SecSSM可以設(shè)置日志文件的位置,還可以設(shè)置文件大小和循環(huán)的的文件個(gè)數(shù),并且支持日志的備份。網(wǎng)神SecSSM可以對(duì)安全日志和系統(tǒng)日志進(jìn)行詳細(xì)的記錄和保護(hù),并進(jìn)行了詳細(xì)的分類(lèi)在文件操作方面,管理員可以通過(guò)管理器程序,可以很方便查詢(xún)到用戶(hù)對(duì)系統(tǒng)中的受保護(hù)的資源的訪問(wèn)記錄,包括對(duì)文件的讀、寫(xiě)、刪除、修改、改名、是否執(zhí)行的行為記錄。在對(duì)系統(tǒng)中的服務(wù)的保護(hù)方面,網(wǎng)神SecSSM對(duì)中斷、殺死系統(tǒng)中的重要的服務(wù)進(jìn)行了保護(hù)并記錄日志中。在網(wǎng)絡(luò)連接使用情況,網(wǎng)神SecSSM對(duì)授權(quán)和未授權(quán)的網(wǎng)絡(luò)連接進(jìn)行記錄,方便管理員隨時(shí)查閱網(wǎng)絡(luò)使用情況。網(wǎng)神SecSSM管理器除了看網(wǎng)神SecSSM記錄的日志以外還可以查看UNIX記錄的標(biāo)準(zhǔn)日志。6.25用戶(hù)追蹤網(wǎng)神SecSSM的用戶(hù)追蹤功能,可實(shí)時(shí)收集和追蹤訪問(wèn)服務(wù)器的時(shí)間、訪問(wèn)者、訪問(wèn)內(nèi)容等等??梢砸杂脩?hù)/ip的形式來(lái)查看跟蹤記錄,即使服務(wù)器被非法入侵,黑客刪除系統(tǒng)、安全等日志,也可以通過(guò)查看網(wǎng)神SecSSM日志來(lái)進(jìn)行事后的審計(jì)追蹤。6.26進(jìn)程追蹤網(wǎng)神SecSSM的進(jìn)程追蹤功能可以顯示進(jìn)程打開(kāi)的文件,使用的端口等信息每行顯示一個(gè)打開(kāi)的文件,輸出各列信息的意義如下:COMMAND:進(jìn)程的名稱(chēng)PID:進(jìn)程標(biāo)識(shí)符PPID:父進(jìn)程標(biāo)識(shí)符USER:進(jìn)程所有者FD:文件描述符,應(yīng)用程序通過(guò)文件描述符識(shí)別該文件。如cwd、txt等TYPE:文件類(lèi)型,如DIR、REG等DEVICE:指定磁盤(pán)的名稱(chēng)SIZE:文件的大小NODE:索引節(jié)點(diǎn)〔文件在磁盤(pán)上的標(biāo)識(shí)NAME:打開(kāi)文件的確切名稱(chēng)6.27報(bào)告向?qū)ЬW(wǎng)神SecSSM提供了報(bào)告功能??赏ㄟ^(guò)日志報(bào)告工具生成各種日志報(bào)告,可對(duì)報(bào)告內(nèi)容進(jìn)行預(yù)覽、打印,可以以多種形式導(dǎo)出報(bào)表。6.2
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 小學(xué)2025年專(zhuān)項(xiàng)發(fā)展規(guī)劃
- 長(zhǎng)春汽車(chē)工業(yè)高等專(zhuān)科學(xué)?!队螒騽?dòng)態(tài)設(shè)計(jì)實(shí)驗(yàn)》2023-2024學(xué)年第一學(xué)期期末試卷
- 食品衛(wèi)生安全監(jiān)管的挑戰(zhàn)與對(duì)策
- 專(zhuān)業(yè)基礎(chǔ)知識(shí)(給排水)-2021年注冊(cè)公用設(shè)備工程師(給排水)《專(zhuān)業(yè)基礎(chǔ)》真題
- 畢業(yè)生代表大學(xué)畢業(yè)典禮發(fā)言稿
- 讀書(shū)心得體會(huì)范文:《追求卓越》
- 二零二五年度高科技企業(yè)股份代持保密合作協(xié)議3篇
- 山西省晉中市祁縣2024-2025學(xué)年八年級(jí)上學(xué)期期末生物學(xué)試題(含答案)
- 二零二五年期市場(chǎng)營(yíng)銷(xiāo)推廣合同
- 遼陽(yáng)市小升初英語(yǔ)試卷單選題100道及答案
- 2024中考物理真題匯編:電與磁(含解析)
- 物流管理概論 課件全套 王皓 第1-10章 物流與物流管理的基礎(chǔ)知識(shí) - 物流系統(tǒng)
- 蘇教版六年級(jí)上冊(cè)分?jǐn)?shù)四則混合運(yùn)算100題帶答案
- 2024年考研英語(yǔ)(一)真題及參考答案
- 醫(yī)療組長(zhǎng)競(jìng)聘
- 2024年業(yè)績(jī)換取股權(quán)的協(xié)議書(shū)模板
- 顳下頜關(guān)節(jié)疾?。谇活M面外科學(xué)課件)
- 工業(yè)自動(dòng)化設(shè)備維護(hù)保養(yǎng)指南
- 2024人教新版七年級(jí)上冊(cè)英語(yǔ)單詞英譯漢默寫(xiě)表
- 《向心力》參考課件4
- 定制柜子保修合同協(xié)議書(shū)
評(píng)論
0/150
提交評(píng)論