|
服务器处于整个网络系统的信息安全核心,一方面是由于服务器中存贮着大量重要数据,如果这些数据被非法复制、篡改或发生服务终止的情况,都会严重破坏信息安全;另一方面,服务器可以说是直接面对网上用户,是黑客攻击的首要目标。因此,保证服务器自身的安全是十分重要的。
凝思磐石Linux安全服务器正是基于上述考虑,从硬件设备、操作系统、应用程序和系统管理四个方面对服务器进行了安全增强。而“增强服务器自身的安全”也是凝思磐石Linux安全服务器有别于其它安全产品的最主要特点。
硬件设备
固化系统软件
凝思磐石Linux安全服务器的操作系统核心、系统软件及系统配置文件都存放在“凝思磐石Linux操作系统卡”中。该卡能够引导“凝思磐石安全Linux操作系统”,同时提供硬件写保护等功能。能够防止操作系统核心、系统软件和系统配置文件被恶意和偶然地破坏,提高了系统的完整性保护。当硬盘等存贮介质失效时,Linux系统卡仍能提供一定的系统服务,也提高了服务的可获得性。
磁盘冗余容错
凝思磐石Linux安全服务器采用RAID I技术,实现SCSI盘的双盘镜像,并支持热插拔。硬盘发生故障时,只要更换新硬盘,就能够自动重建盘组,恢复系统数据。
GPS时钟
凝思磐石Linux安全服务器使用GPS设备定时校准系统时钟,保证系统时钟的高度精确性,从而保证审计日志时间戳、控制鉴别数据和密钥的超时失效等系统功能的正确性,并可为全网提供时间基准。
安全辅机
凝思磐石Linux安全服务器采用特有的辅机系统,保证了日志文件的高可靠性。高精度GPS时钟系统保证了日志文件时戳的高准确性,其定时精确度在微秒级内。安全辅机在网络上对于服务器主机以外的计算机是不可见的,其操作系统、硬件体系结构都采用了服务器主机的异构方式,这些措施能够充分保证安全辅机的安全,同样也就保证了审计日志的安全。所有日志文件均在辅机系统有完整备份,即使主系统日志文件因外界因素造成损坏,依靠辅机系统内的备份文件可轻易分析出造成损坏的原因和时间。这种特有的审计日志保护机制能够抵抗审计日志的破坏,充分保证其安全性。
集群与热备
应用多台凝思磐石Linux服务器能够轻易地组成集群系统,提高整个网络的运行效率。使用两台凝思磐石Linux服务器还能够实现双机热备份或双机互备份,提高灾害发生情况下的可生存性。
操作系统核心机制
强制运行控制
对外提供服务的进程是黑客闯入服务器的门户。这些进程的缺陷一旦被利用,就会丧失整个系统的控制权。而服务器进程的缺陷层出不穷,各种服务器“被黑”的事件也就随处可见。
强制运行控制机制正是针对上述问题设计的。它用一种形式化的语言描述了进程的行为范围,一旦进程的行为超出了这个范围,系统将自动停止该进程继续运行,并记录该事件的所有安全相关信息,为后期查找责任人提供帮助。
强制运行控制机制运行于系统核心,能够充分保证其强制性。它控制的对象不是特定的进程,从而能够保证对于受控对象家族的子进程、孤儿进程、SESSION LEADER进程都同样有效。
实践证明,强制运行控制机制对于抵御网络攻击,防止用“代码注入”的方法获得系统最高控制权具有很好的效果。
强制能力控制
目前的所有类Unix系统都有一个超级用户:root。它一般担任管理员的角色,具有超越任何系统限制的特权。Windows NT/2000等操作系统中的Administrator用户也具有相同的作用。
最主要的是,服务进程为完成其特定功能,在类Unix系统中就必须以root身份运行。有时有效的用户ID虽然不是root,真正的用户ID仍然是root,这同样可被攻击者利用。此类以某种root身份运行的进程可以不受系统中任何安全机制的限制。它一旦被入侵者利用,入侵者就会控制整个系统,完全破坏系统安全。
同样的原理,许多在本地执行的程序,为完成特定功能必须以SUID ROOT方式运行。这些程序也同样是系统安全的潜在威胁。
强制能力控制的目的就是要消除系统中不受限制的进程,只赋予每个特权进程能够完成其功能的最小能力,实现“最小特权”原则。
利用强制能力控制机制,对应用程序加以适当改造,使凝思安全Linux加固服务器不包含SUID ROOT程序,所有对外提供服务的进程以普通用户身份运行。这消除了系统安全隐患,大大提高了系统的安全性。
访问控制列表
传统类Unix系统以文件属主、组和其它方式设置读、写和执行许可,这会造成文件许可的不必要扩散。访问控制列表提供细粒度的访问控制,能够以特定用户或特定组为单位的访问许可分配,从而防止文件许可的不必要扩散。
四权分立的系统管理
传统类Unix操作系统都由一个超级用户(root)管理,他具有超越系统所有限制的特权。由于缺乏对其必要的限制,一旦超级用户进行了偶然或恶意的误操作,都有可能对整个系统造成破坏,从而成为服务器的一个安全隐患。
凝思安全Linux加固服务器去除了超级用户,将系统管理功能分配给4个固有用户完成。他们是系统管理员(Sysadmin)、安全管理员(Secadmin)、网络管理员(Netadmin)和审计管理员(Audadmin)。系统管理员主要完成系统设备的管理;安全管理员主要完成系统用户的管理;网络管理员主要完成网络的管理;审计管理员用于管理审计信息,只有他才能使用独立的口令登录安全辅机,查看和管理审计日志。使用这种“四权分立”原则完成系统的管理任务,使得各个管理员都不能控制整个服务器系统。他们之间相互牵制,能够防止管理员的疏忽削弱整个系统的安全性。另外,管理员的登录路径得到严格限制,防止用户轻易获得管理员权限,这也大大提高了系统的安全性。
安全增强的对外服务
凝思磐石Linux安全服务器系统的所有对外服务和本机特权程序均根据核心操作系统机制进行了特别的安全增强,防止这些应用程序成为网络攻击者控制服务器的跳板。对于第三方软件,通过特定的配置方法,同样能够利用凝思磐石Linux服务器的系统安全机制达到安全增强的目的。
凝思磐石Linux安全服务器系统提供的安全服务包括:SSH提供加密远程外壳,服务器与客户机间的数据经过加密,可防止“中间人”等攻击方法,并可根据需要设定是否允许管理员远程管理(安全远程外壳SSH);DNS服务提供域名与IP地址间的相互转换(安全域名服务DNS);WWW服务提供(安全网页服务Web);电子邮件的接收和转发(安全邮件服务E-mail);代理服务(安全代理服务PROXY);Linux系统与Windows系统间的文件、打印共享(安全微软视窗文件、打印共享服务SMB);数据库的查询与管理(安全SQL数据库服务 MySQL)等。
凝思磐石Linux操作系统卡
“凝思磐石Linux操作系统卡”是一块PCB板,通过PCI接口与主机通信。Linux系统卡配备Compact Flash(CF),每块卡的容量为32MB、64MB、128MB、256MB、512MB、1GB可选。Linux系统卡系列产品可安装多个CF卡插槽以增加Linux系统卡存贮容量。它有大容量存贮功能、自引导功能、硬件写保护功能和容灾功能,能够保证关键数据的完整性和可获得性。
Linux系统卡以硬件形式提供“凝思磐石安全Linux操作系统”,能够在保留服务器原有硬件设备的条件下轻易地安装“凝思磐石安全Linux操作系统”,充分利用其提供的安全机制,并对操作系统核心、系统软件、系统配置等关键文件提供物理保障。
Linux系统卡具有如下功能:
1.存贮功能 Linux系统卡具有大容量存贮设备,能够存贮操作系统核心、系统软件、系统配置等关键文件,为提供基本服务和系统恢复提供支持。同时,剩余存贮空间可存贮运行时关键数据,提供数据备份与恢复支持。多CF卡插槽可增加Linux系统卡容量,从而根据需要扩展Linux系统卡存贮能力。
2.引导功能 Linux系统卡具有自引导功能,能够在不依赖于其它存贮介质的情况下引导系统。硬盘等存贮设备失效时,系统不能重新引导,系统服务也随即停止,影响了服务的可获得性。Linux系统卡的自引导功能能够在不需要硬盘的条件下启动系统,并提供指定的基本服务。Linux系统卡运行期间可同时恢复硬盘系统,减少服务中断间隔。
3. 硬件写保护功能 Linux系统卡提供写保护功能,能够在硬件级保护关键文件不被恶意或偶然修改,保证系统文件的完整性。
4. 容灾功能 Linux系统卡缺省存贮基本系统文件,包括操作系统核心、系统软件和系统配置文件。它同时具有自引导功能,能够在不依赖硬盘等其它存贮介质的条件引导“凝思磐石安全Linux操作系统”。系统软件固化的方法也同时能够提高操作系统核心、系统软件和系统配置文件的可靠性。
通过Linux系统卡的配套工具软件,可将运行时的重要数据备份到Linux系统卡中,并在必要时从Linux系统卡恢复数据,提高关键数据的可获得性。
普通应用
Web服务器 凝思磐石Linux安全服务器系统采用业界应用最为广泛的Apache提供Web服务,并且具备特有的安全机制。黑客即使绕过防火墙也不能闯入凝思磐石Linux安全服务器。它充分保证了服务的安全性。凝思磐石Linux安全服务器的操作系统针对硬件进行过优化,例如凝思磐石A1000型安全服务器系统在标准配置的情况下可提供每天达4000万次的点击(如图1)。
图1 基于凝思磐石A1000型安全服务器的应用系统
OA服务器 凝思磐石Linux安全服务器支持NOTES群件,为系统平台提供高稳定性和可用性。由于凝思磐石Linux安全服务器的特性,能保证数据在凝思磐石Linux服务器系统上存储的安全性,可极大提高办公网络的可信度和安全性(如图2)。
图2 凝思磐石安全服务器OA系统应用
数据库服务器 凝思磐石Linux安全服务器提供MySQL数据库,并且支持ORACLE等主流数据库,通过双机异地热备份机制还可以实现整个网络的高可用性。多个政府机关在凝思磐石2U+安全服务器上应用过上述各种的数据库,极大的提高了网络的可信度和安全性。
两台凝思磐石Linux安全服务器之间可以提供分布式双机热备份和自动服务切换机制,当其中任一台服务器非正常停止服务时,另一台服务器可以自动接管所有的服务,保证整个网络系统服务的连续性(如图3)。
图3 凝思磐石安全服务器提供MySQL数据库
DNS 服务器 凝思磐石Linux安全服务器充分考虑了网络环境的各种安全问题,能够充分防止各种网络安全威胁,特别是能够杜绝使用缓冲器溢出的攻击方法获得系统的最高控制权。另外,凝思公司还针对DNS系统做了特别的安全增强,使其能够充分利用凝思安全操作系统的安全机制,达到安全增强的目的(如图4)。
图4 凝思磐石安全服务器DNS安全增强系统
电子政务应用案例
电子政务网基本情况
国家某机关电子政务结构(如图5)如下:
图5 国家某机关电子政务结构
内网(系统专网)包括WAS(IBM WebSphere Application Server)、MQ和数据库服务器以及市局MQ等服务器。
外网(Internet)为外围访问用户。
DMZ区:非军事区(缓冲区),包括DNS、HTTP和CA/PKI/PMI服务器。
其中,内网通过防火墙与DMZ区、外网进行屏蔽,使非专网用户不能直接访问内网。
服务器配置 凝思磐石Linux安全服务器系统
服务器软件配置
DNS/CA服务器: DNS服务、CA服务
WWW服务器: WWW服务
PKI/PMI服务器: PKI、PMI服务
OA服务器: IBM Message Query for Linux、ORACLE数据库、IBM WebSphere Aplication Server
实现功能
在关键部位均采用了凝思磐石Linux安全服务器平台。它同时配合CA、PKI、PMI、MQ、WAS、ORACLE等系统,在满足用户使用要求下,保证了各服务的安全性,解决了使用中诸如权限分配、数据保密、公文流转过程不能确定其状态、服务安全、安全审计、分布办公的可靠性和有效性以及系统容灾等多方面问题,保证了全系统的高生存性。
1.凝思磐石Linux安全服务器
凝思磐石Linux安全服务器对网络安全提供了良好的支持,“四权分立”的管理方式可以灵活的适应所制定的规则加强对网络的安全控制;冗余的硬件、操作系统固化、HA机制、多机集群等多种方式,有效地降低了硬件损坏带来的风险;而且,独创的基于操作系统内核MEC机制,能高效率的对系统进行监控,抵抗网络攻击,配合MCC、MAC、ACL等技术,为系统安全建立了多重稳固的防线;对于加密、身份认证等安全机制留有接口,可以更好的配合这些机制,为用户建立一个高安全、高可用的系统平台。
2.CA服务
建立CA认证体系,为所有内部和外部用户建立身份证明书(电子身份证),所有的内部应用均通过身份证明进行身份认证。 建立CA中心,采用S/MINI对E-mail进行加密和安全管理,可具有数字签名和邮件加密机制,具有防止抵赖和拒绝的防否认机制。
数字证书是一份包含用户身份信息、用户密钥信息以及CA机构数字签名的文件。CA机构的数字签名可以确保证书信息的真实性。
3.PKI/PMI服务
通过与CA认证中心的配合,可以实现对已授权用户进行角色和权限的分配。对分配方式则采用以工作职责和职务为基准,即以用户的工作岗位为依据分别进行授权,而不是对用户本身进行授权。这种授权方式不仅可以解决权限分配的问题,而且对于人员、职务等变更原因需要改变授权时,非常容易控制。
同时,CA/PKI/PMI系统可以与凝思磐石Linux安全服务器系统的访问控制机制紧密结合,对已授权用户的访问区域、访问权限等安全策略实现更好地控制,防止文件许可的不必要扩散。这对保密信息、数据的安全性起到重要的作用。
4.MQ服务
通常邮件服务器对邮件进行集中转发,发送方发出邮件后对邮件的状态无法追踪,收件方也不能确定何时收到邮件或者能否收到,这是不符合公文流转要求的。所以,在方案中选用IBM MQ来提供公文流转服务。IBM MQ服务对发件方所发出的信息直接送到收件方,不经过转发环节。其对邮件状态进行追踪、配合CA/PKI/PMI系统的数字签名等功能使发件方所发信息具有可信性和可靠性,同时对于收件方来说具有不可抵赖性。采用IBM MQ服务的这些特性,可以完全满足对公文流转环节的需求。
5.WAS服务
IBM WebSphere Application Server服务可以为专网用户提供一个基于B/S结构的、直观的办公界面,方便用户使用。同时,根据认证信息,可以为不同授权的用户提供不同的办公环境,方便地实现对不同授权用户访问不同区域和信息进行控制。
[1] |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 去网站高手技术论坛讨论... 
