服務(wù)器安全增強系統(tǒng)技術(shù)白皮書

服務(wù)器安全增強系統(tǒng)技術(shù)白皮書服務(wù)器安全增強的目的1.1信息安全狀況令人堪憂信息化技術(shù)是一把雙刃劍，它在推動政務(wù)和企業(yè)等用戶業(yè)務(wù)信息化和網(wǎng)絡(luò)化快速發(fā)展的同時，也給用戶的業(yè)務(wù)信息系統(tǒng)帶來了日益嚴(yán)重的安全威脅。近年來，安全攻擊越來越帶有明確的利益目標(biāo)，以竊取銀行帳號、密碼和個人信息，獲得經(jīng)濟(jì)利益為目的的木馬和間諜軟件迅速增多，成為當(dāng)前黑客手中的主要工具。具有特定目的的木馬攻擊越來越頻繁，針對網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)銀行的木馬、間諜軟件不僅種類繁多、變種繁多，而且傳播形式也趨于多樣化和復(fù)雜化，惡意代碼通過網(wǎng)頁、郵件、P2P傳播，令人防不勝防。由于帶有明確的利益獲取目的，因此安全攻擊比以往更加隱蔽、更難為人們所察覺；另一方面，這類攻擊由于融合了網(wǎng)絡(luò)化的特點，致使被攻擊對象的范圍更廣、防范更難、危害更大。由于服務(wù)器是信息應(yīng)用的核心，無論是在C/S計算模式還是B/S計算模式中，它們都是絕大多數(shù)用戶應(yīng)用服務(wù)的運行中心和數(shù)據(jù)處理中心，因此，針對服務(wù)器的攻擊事件層出不窮，攻擊手段多種多樣，從緩沖區(qū)溢出攻擊、系統(tǒng)管理員口令攻擊到惡意代碼攻擊，從因特網(wǎng)黑客外部攻擊到內(nèi)部人員攻擊，服務(wù)器總是處于安全的核心。另一方面，商用操作系統(tǒng)在安全結(jié)構(gòu)上的缺陷又進(jìn)一步為服務(wù)器攻擊提供機(jī)會。今天的商用操作系統(tǒng)，無論是UNIX/Linux，還是Windows系統(tǒng)，在注重功能性的同時，卻嚴(yán)重忽略了安全性保證，比如管理員權(quán)限的過于集中、訪問控制機(jī)制薄弱、身份鑒別機(jī)制的易破解性等等。以操作系統(tǒng)增強為基礎(chǔ)的服務(wù)器安全加固是提高服務(wù)器安全能力的一種可行方案，本系統(tǒng)基于可信計算技術(shù)的信任傳遞機(jī)制，保證服務(wù)器只能運行經(jīng)過明確授權(quán)的代碼，從而阻止惡意代碼和緩沖區(qū)溢出攻擊，提高服務(wù)器的抗攻擊能力。1.2服務(wù)器安全增強系統(tǒng)主要功能可以說，如果每一個用戶都是經(jīng)過認(rèn)證和授權(quán)的，其操作都是符合規(guī)定的，那么服務(wù)器就不會產(chǎn)生安全事故，用戶的信息系統(tǒng)也就有了安全保證。從技術(shù)措施上對服務(wù)器運行代碼進(jìn)行規(guī)范和安全管理可以極大地減少安全成本、提高服務(wù)器安全性能和效果。服務(wù)器安全增強系統(tǒng)支持以下安全功能：防范服務(wù)器啟動過程中操作系統(tǒng)相關(guān)部件的篡改和破壞；保證服務(wù)器動態(tài)服務(wù)的真實可信，能夠防范RootKit攻擊；對服務(wù)器運行程序和應(yīng)用進(jìn)行管控，實現(xiàn)用戶操作規(guī)范管理；阻止病毒、木馬等惡意代碼進(jìn)入服務(wù)器；對服務(wù)器的軟硬件配置及其變更進(jìn)行安全管理；對服務(wù)器的網(wǎng)絡(luò)配置進(jìn)行安全管理和控制；支持服務(wù)器軟件（或系統(tǒng)補?。┑倪h(yuǎn)程自動分發(fā)；支持應(yīng)用級審計功能；通過上述安全功能，可以對服務(wù)器的操作行為進(jìn)行安全規(guī)范，保護(hù)服務(wù)ic不被破壞。服務(wù)器安全增強系統(tǒng)遵循主動防御的思想，從安全技術(shù)措施上對安全事件源頭進(jìn)行控制，并和其它安全措施共同作用，構(gòu)建一個“積極防御、綜合防范”的信息安全體系。系統(tǒng)組成本系統(tǒng)由安全管理平臺和服務(wù)器安全增強軟件包兩大模塊組成。1）安全管理平臺：負(fù)責(zé)其所在網(wǎng)絡(luò)中各服務(wù)器的安全策略的制定、維護(hù)和分發(fā)，支持對服務(wù)器運行代碼進(jìn)行審計，具體由以下幾個模塊：＞服務(wù)器的成員和分組管理；＞安全策略的制定、維護(hù)和下發(fā)；＞服務(wù)器硬件、軟件資源的監(jiān)控；＞操作系統(tǒng)補丁的管理；＞遠(yuǎn)程軟件分發(fā)；＞審計；2）安全增強軟件包：要防范惡意軟件或溢出類攻擊，必須在應(yīng)用加載之前對系統(tǒng)要裝載的相關(guān)部件進(jìn)行真實性和完整性檢查，但是隨著攻擊方式的不斷改進(jìn)，這種安全控制措施強度還不夠，因為類似rootkit這類攻擊會對操作系統(tǒng)底層代碼和系統(tǒng)服務(wù)產(chǎn)生破壞，因此對操作系統(tǒng)啟動過程加載的相關(guān)部件和動態(tài)服務(wù)也必須要進(jìn)行有效的可信檢查。產(chǎn)品特性1）對未知病毒具備免疫能力目前市場上的計算機(jī)病毒防殺類產(chǎn)品的安全滯后性已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足用戶尤其是機(jī)構(gòu)（包括政府和企業(yè)）用戶的業(yè)務(wù)安全要求，每一次的大規(guī)模病毒爆發(fā)都伴隨著用戶業(yè)務(wù)和經(jīng)濟(jì)上的巨大損失。市場迫切需要一種更加積極主動的安全技術(shù)和產(chǎn)品來阻止包括未知惡意代碼在內(nèi)的安全事件的發(fā)生，本產(chǎn)品正是滿足了這種需求，不僅可以防范已知的病毒、木馬、蠕蟲，而且對未知惡意代碼也具備防范能力。2）節(jié)約管理成本和人力成本本產(chǎn)品可以有效降低包括未知惡意代碼在內(nèi)的安全事件的發(fā)生頻率，具有極高的社會效益和經(jīng)濟(jì)效益；它是對傳統(tǒng)防病毒技術(shù)的重大變革，可以極大地提高用戶業(yè)務(wù)的連續(xù)性和安全性，減少惡意代碼防范和系統(tǒng)恢復(fù)所需要的人力和經(jīng)濟(jì)成本；同時它可以幫助降低企業(yè)和政府生產(chǎn)信息系統(tǒng)的業(yè)務(wù)管理成本和難度。傳統(tǒng)的防病毒產(chǎn)品和應(yīng)用控制產(chǎn)品在部署后仍需管理員參與各個服務(wù)器的策略制定和病毒特征碼升級等工作，本產(chǎn)品在初始安裝后，安全管理員無需再到各個服務(wù)器維護(hù)，只需在管理平臺通過策略的維護(hù)工作即可做到對各服務(wù)器的控制，大大節(jié)省了管理上所需花費的開銷。管理員所需完成的只有三項工作：?管理平臺軟件和服務(wù)器控制軟件的初始安裝；?在管理平臺上制定和維護(hù)安全策略，分發(fā)經(jīng)過審核的軟件和補丁等。?在管理平臺上處理安全報警事件。

文件I?編輯②查卓四攸藏也工具⑴幫助?fmon.dll2.0.0.1FilpMcrLiAlcoholdll文本艾檔文件I?編輯②查卓四攸藏也工具⑴幫助?fmon.dll2.0.0.1FilpMcrLiAlcoholdll文本艾檔■搜索史件夾-a□aJ*JFilasVTomcat5.0\webapps\BASS\wlm文件和寶件夾任務(wù)重命名這個交件移動這個彳復(fù)制逶扣將這個必以電子郵f交件冊臃這個3生成白名單目標(biāo)文件夾或文件白名單保存為當(dāng)前掃描交件BASS.我的文檔共享史檔我的電藺網(wǎng)上鄰居o為所選目錄生成可信名單。為所選應(yīng)用生成可信名單■0單個支件生成白名單圖2:安全事件審計4）性能損耗小于2%性能問題是產(chǎn)品能否被用戶接受的重要因素，在代碼驗證過程中，影響性能的過程主要表現(xiàn)在代碼文件完整性值的計算以及策略的匹配查找。本產(chǎn)品在設(shè)計開發(fā)過程中，充分優(yōu)化上述過程，并利用Windows本身已有的驗證結(jié)果，使得系統(tǒng)性能損失在理論計算上低于1%,在大量用戶實際環(huán)境的試用過程中，用戶基本沒有延時感覺。產(chǎn)品功能說明（注：帶*功能為可選功能）5.1操作系統(tǒng)啟動部件控制本產(chǎn)品對操作系統(tǒng)裝載程序，再到操作系統(tǒng)內(nèi)核以及文件系統(tǒng)之間的各個子系統(tǒng)，包括文件系統(tǒng)自身裝載的整個過程進(jìn)行可信檢查，此過程中涉及到的功能模塊均由校驗?zāi)K負(fù)責(zé)可信驗證和傳遞。本功能將避免以下類型的惡意攻擊行為：1）防止惡意代碼通過替換系統(tǒng)部件獲取對系統(tǒng)的控制權(quán)；2）防止登錄其他系統(tǒng)狀態(tài)下對Windows系統(tǒng)鏡像文件的篡改；3）防止第三方提供的非法程序在Windows系統(tǒng)的執(zhí)行；4）防止系統(tǒng)管理員由于誤操作或惡意目的對系統(tǒng)文件完整性的破壞；5.2系統(tǒng)服務(wù)控制要防范傳統(tǒng)方式的病毒或木馬等惡意軟件，最直接的方式就是在應(yīng)用加載之前對其進(jìn)行真實性和完整性檢查，但是隨著攻擊方式的不斷改進(jìn)，這種安全控制措施強度已經(jīng)變得不夠，因為類似rootkit這類攻擊會對操作系統(tǒng)底層代碼和系統(tǒng)服務(wù)產(chǎn)生破壞，因此對操作系統(tǒng)自啟動的服務(wù)也必須要進(jìn)行有效的可信檢查。本產(chǎn)品在系統(tǒng)服務(wù)程序加載之前，依據(jù)安全管理平臺分發(fā)的策略，對服務(wù)程序進(jìn)行可信檢查，僅允許符合策略的部分繼續(xù)啟動。同時對服務(wù)程序的完整性進(jìn)行驗證，防止惡意程序冒充或破壞。保證用戶登錄系統(tǒng)后的動態(tài)環(huán)境的真實性、完整性和合法性。5.3服務(wù)器應(yīng)用管理在受本產(chǎn)品保護(hù)的服務(wù)器上，要啟動任何一種應(yīng)用都必須經(jīng)過策略的審查，策略的制定者（管理員）通過對策略中可信應(yīng)用的增加和刪除操作，即可控制服務(wù)器可執(zhí)行的應(yīng)用的范圍。在服務(wù)器應(yīng)用的控制下，只有經(jīng)過策略制定者（管理員）授權(quán)的應(yīng)用才能夠在服務(wù)器上運行。5.4惡意代碼主動防御現(xiàn)階段木馬的主要運行方式為向宿主進(jìn)程插入惡意代碼，達(dá)到隱藏木馬進(jìn)程本身的目的，基于這一原理，本產(chǎn)品在應(yīng)用模塊或系統(tǒng)資源裝載之前，均要進(jìn)行合法性進(jìn)行檢查，防止病毒、木馬等惡意軟件的運行。惡意軟件也可能會冒充系統(tǒng)或用戶文件，伺機(jī)發(fā)作，為此，本產(chǎn)品在進(jìn)程裝載二進(jìn)制文件之前對其完整性進(jìn)行檢查，確保執(zhí)行代碼的真實性和完整性，同時效率上不會有明顯影響。5.6遠(yuǎn)程軟件分發(fā)和補丁管理為提高大規(guī)模系統(tǒng)中軟件分發(fā)和安裝的效率和效果，本系統(tǒng)支持對服務(wù)器軟件和系統(tǒng)補丁的自動分發(fā)管理。系統(tǒng)管理員可以給特定范圍的服務(wù)器分發(fā)經(jīng)過審查的軟件和補丁。5.7系統(tǒng)配置及變更管理此功能保護(hù)受控服務(wù)器的軟硬件資源不受非法破壞，系統(tǒng)硬件配置（CPU、存儲系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等）、軟件信息、系統(tǒng)服務(wù)都會在管理平臺顯示。本產(chǎn)品在此方面的特色是除了監(jiān)控系統(tǒng)配置信息之外，還會實時發(fā)現(xiàn)各服務(wù)器的軟硬件變化，各種配置信息一旦發(fā)生變化就會通知管理平臺，管理員可以及時采取措施，避免不必要的損失。5.8應(yīng)用級審計對系統(tǒng)引導(dǎo)過程、服務(wù)動態(tài)啟動過程以及應(yīng)用執(zhí)行過程中的安全事件保留應(yīng)用級審計記錄。傳統(tǒng)系統(tǒng)審計記錄過于瑣碎，難以實現(xiàn)自動關(guān)聯(lián)，可讀性和實用性較差，應(yīng)用級審計則避免了這些缺陷。