主机保护技术的介绍.pptVIP

对系统关键资源进行防护： 定制系统资源访问分级防护策略。 对敏感数据和涉密资料进行的防护。对系统底层核心文件进行保护。 便于集中统一管理：为分布式部署的服务器群提供统一的服务器安全与管理策略，实现对全网的主机服务，网络协议，服务端口和系统策略的统一监控和管理，提高服务器安全管理的效率。 提供行为级的安全审计：对系统的使用和管理进行有效的审计，对重要文件和资源的访问和操作进行审计记录，提供管理和防护的依据和手段。 系统监控管理 针对Unix、Windows、Linux等操作系统的设备状态、服务端口、配置、硬件运行、软件运行、设备性能为核心的服务器（主机）监控管理，如： CPU 内存 磁盘 文件系统 进程 进程通讯状态 日志 用户活动 关键参数 各类报警信息 针对Oracle、SQL Server、My SQL、DB2等数据库的监控管理，如： 数据库内存使用信息 数据库特定表的空间性能信息 数据库内标空间的读写 数据库表空间的利用情况 数据库日志空间或回滚段使用情况 数据库锁使用情况 关键参数 各类报警信息 用户与帐号管理 集中的用户（帐号）管理的目的 通过集中管理，使得系统管理员在一点上即可对不同主机（服务器）中的账号进行管理 实现账号与自然人的关联， 实现对各个主机（服务器）中已有账号的集中收集和分发； 可以实现集中的帐号安全策略，如密码策略、帐号登录锁定策略、帐号访问时间策略等； 可以实现最小权限原则的授权； 便于审计，尤其是基于行为的审计； 集中用户（帐号）管理的基本技术要求（指标） 能够与不同操作系统的主机无缝连接； 能够自动发现主机中的帐号，并自动收集、分发； 能够实现针对用户（帐号）的生命周期管理，对用户从产生到删除各种存在状态进行集中管理，包括统一的用户创建、维护、删除等功能 身份认证 集中的身份认证 实现用户在一个登录界面的集中认证 单点登录：实现用户一次认证后，不再需要重复登录，提高工作效率，且与强认证环节结合，增加安全性 强身份认证 替换操作系统自带的用户名+密码的简化认证方式 基于风险级别，使用诸如数字证书、指纹、双因素口令等强认证方式 授权和访问控制 根据不同的操作系统，集中分配用户对主机（服务器）中资源的访问权限粒度，实现最小权限原则的访问控制和授权。 大体上可以包括两种粒度： 边界级访问控制，访问控制的粒度只精确到主机边界，就是用户是否有权连接某个主机的IP地址和具体的端口； 内部资源级访问控制，控制粒度精确到主机内的资源，包括主机内的文件、目录、操作命令，甚至操作命令后面带的不同参数 文件与数据保护 针对主机（服务器）中的重要文件和数据，在基于最小权限的控制粒度之后，还涉及到如下安全问题： 加密存储 文件/数据的生命周期管理，如创建、修改、删除等 深层次木马/病毒攻击 入侵检测 在主机（服务器）上，通过基于主机的入侵检测技术，将内部防护、主动防护和动态防护相结合，实时监控网络传输及服务器的工作状态，自动检测服务器上的各种可疑行为，发现来自网络内部或外部的攻击，检测针对主机的攻击，分析攻击威胁程度，并发出报警。 恶意代码防护 针对操作系统的恶意代码，如蠕虫病毒、木马等的防护，通过防病毒技术来实现。目前，主流的技术手段包括： 基于病毒状态匹配的检测查杀 基于病毒攻击/发作特征的检测查杀 系统安全增强（加固） 主机（服务器）所使用的操作系统，是威胁的主要目标，针对操作系统的安全措施包括如下方式： 原厂商发布的系统补丁（不可或缺，但强度不够） 安全操作系统 具有高安全级别的操作系统，不同于一般（C1、C2）的商业操作系统 系统安全加固 从操作系统内核对系统关键文件、进程等资源进行强制保护，同时对操作系统超级用户权限进行限制，实现系统管理、审计和安全管理的三权分立 安全审计 安全审计，要求实现如下目标： 对账号管理情况的审计：包括帐号的创建时间、创建人，从账号的创建时间、创建人，账号与自然人的对应关系等； 对账号授权的审计：包括查询主、从账号的访问权限，查询资源的授权访问者，权限的分配时间、分配者等； 对登录过程的审计：包括什么人用什么账号在什么时间登录了什么系统，什么时间登出等。 对身份认证的审计：包括成功的身份认证统计，失败的身份认证统计等； 对登录主机后用户（帐号）行为的审计：包括用户访问了哪些资源、对资源进行了什么操作等； 集中的安全审计和审计报表 主机安全基本技术框架 三类技术形态 1、安全代理：4A 2、基于主机入侵检测： 3、操作系统增强： 2、单点登录—简化操作流程、降低维护复杂度 3、口令接管，采用公安数字证书—强认证； 4、实现了主机（服务器）的集中安全管理，简化了操作流程，实现了安全策略和安全管理规范的贯彻执行； 主机保护系统介绍