帕拉迪UNIX服务器命令控制与审计系统-Read.DOCVIP

UNIX服务器命令控制与审计系统 技术白皮书 目 录 1 概述 3 2 现存问题与服务器管理现状 3 2.1 UNIX服务器系统安全存在的问题 3 2.1.1 企业UNIX安全风险分析 3 2.1.2 UNIX/LINUX安全风险-口令安全风险分析 4 2.1.3 UNIX/LINUX企业应用问题 4 2.2 集中式网络管理 5 2.3 严格分权管理 6 2.4 网络管理员碰到的问题 6 3 审计服务器命令控制与审计系统特点 7 3.1 可视 7 3.2 可控 7 3.3 可管理 8 3.4 可跟踪 8 3.5 可鉴定 8 3.6 功能列表 8 3.7 应用领域 10 3.7.1内部网络行为管理 10 3.7.2对网络边界网关设备的管理 10 3.7.3对数据库的管理 10 3.7.4对黑客行为的防范 11 4 审计服务器命令控制与审计系统功能 11 4.1 产品组件 11 4.2 Pldrun引擎特点和功能 12 4.3 Pldsrv策略服务器功能特点 13 4.4 Pldlog日志服务器功能特点 16 4.5 Pldweb嵌入WEB服务器 16 4.6 Pldmon集中控制和实时监控中心功能特点 17 5 审计服务器命令控制与审计系统企业应用 18 6 审计服务器命令控制与审计系统数据流图 18 7 审计服务器命令控制与审计系统部署方式 20 7.1 网关方式部署 20 7.2 服务器方式部署 20 7.3 混合树形方案逻辑图 21 概述 目前，国内重要政府部门（如财税、公安、电信、移动、电力等）、大型公司和著名门户网站，都使用UNIX系列服务器来运行其关键业务如电子商务、数据库等。这些部门或者公司往往有数百台Linux/Unix系统服务器，由多名系统管理员负责管理，并通过规章制度，对系统管理员的行为进行规范。但是，由于缺乏相应的先进工具和手段，这些部门或者企业无法保证系统管理员严格按照规范来进行管理，无法保证系统管理员的真实管理行为和规章制度要求一致，和系统管理员的管理报告一致，以至于企业网络及服务器常处于不可信、不可控、不可视状态。另外，由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客也有可能通过手段，获取系统权限，闯入部门或企业内部网络，这样造成的损失，更不可估量。因此，如何提高系统管理员的管理水平，如何防止黑客的入侵，如何跟踪服务器上用户行为，将系统宕机时间、故障时间等减到最小，已经成为这些部门或者企业至关重要的问题。 现存问题与服务器管理现状 UNIX服务器系统安全存在的问题 企业UNIX安全风险分析 严重的攻击来自系统内部(53%来自内部攻击) UNIX运行最为关键的业务系统攻击趋向于获取商业利益 交换网络环境难于实施网络入侵检测 基于主机的IDS/IPS 开始成熟，可以减轻网络传输攻击级别安全威胁，但不是全部 用户操作难于审计 操作/管理/维护不善，造成的安全威胁和损失日趋严重 UNIX/LINUX安全风险-口令安全风险分析 一，R-Services -- Trust Relationships （很多R服务漏洞被利用，都是因为口令问题引起。入侵者使用脆弱的帐户口令，利 用系统文件和目录的访问控制漏洞，设置信任主机，获取关键信息、破坏应用系统！） 二，General Unix Authentication （用户口令简单、无口令或口令被泄漏，入侵者使用普通用户或root权限对系统进行破坏，种植木马、获取信息并涂改日志，消灭犯罪证据。） 三，社会工程 （黑客、恶意破坏者可以通过社会工程渠道，获取口令） UNIX/LINUX企业应用问题 一，网络管理人选需要监控第三方程序操作和命令 （用户登录系统，执行mysql,oracle,ssh 等命令，容易产生数据破坏或者网络攻击，所有的这些操作需要被跟踪和限制） 二，大型集中应用环境不易统一监控、管理和快速响应 （对于大型应用环境，网络管理员要管理和配置大量UNIX/LINUX服务器，大量事故响应，网络管理人员不堪重负） 三，无法提供对网络通信设备的操作，修改等行为审计 （网络通信设备常常在UNIX/LINUX系统上通过ssh远程登录进行管理，对网络通信设备的操作无法审计，埋下安全隐患） 四，网络管理人员需要统一的手段，对服务器组进行安全保护 （网络管理人员常用防火墙，IDS等设备，针对网段进行隔离和操作限制，因此，网络管理人员需要不同手段，对外网/内网用户应用不同安全保护策略，应用和实施麻烦，容易疏忽造成隐患） 五，服务器及其集群的运行状态监控已及性能调控 （现有服务器监控软件基本上都是单机、单服务器方式运行，需要高素质管理人才进行管理。将服务器状态信息集中化，发现企业服务器