安全解决方案JHSE
椒图主机安全环境系统
JHSE安全解决方案
目录
1 背景 ........................................................................................................................................................... 4
2 安全事件回顾 ............................................................................................................................................ 4
3 面临的安全问题......................................................................................................................................... 5
4 系统安全防护设计 ..................................................................................................................................... 6
4.1 符合等级保护标准第三级 .......................................................................................................................... 6
4.2 身份鉴别 ...................................................................................................................................................... 6
4.3 访问控制 ...................................................................................................................................................... 6
4.4 免疫恶意代码 .............................................................................................................................................. 7
4.5 免疫黑客攻击 .............................................................................................................................................. 7
4.6 防止信息泄露 .............................................................................................................................................. 7
4.7 解决补丁滞后性问题 .................................................................................................................................. 7
4.8 系统审计 ...................................................................................................................................................... 8
4.9 数据安全 ...................................................................................................................................................... 8
4.10 剩余信息保护 ........................................................................................................................................... 9
4.11 集中管理 ................................................................................................................................................... 9
5 JHSE主机安全环境系统 .............................................................................................................................. 9
5.1 JHSE产品介绍 ............................................................................................................................................ 9
5.2 JHSE实现原理 .......................................................................................................................................... 10
5.2.1 增强型DTE模型 ............................................................................................................................. 11
5.2.2 增强型RBAC模型 .......................................................................................................................... 11
5.2.3 增强型BLP模型 ............................................................................................................................. 12
5.3 JHSE关键技术 .......................................................................................................................................... 13
5.3.1 双重身份认证 ................................................................................................................................. 13
5.3.2 三权分立 ......................................................................................................................................... 14
5.3.3 可视化虚拟安全域 ......................................................................................................................... 15
5.3.4 动态拓扑生成 ................................................................................................................................. 16
5.3.5 用户数据保密性保护 ..................................................................................................................... 16
5.3.6 用户数据完整性保护 ..................................................................................................................... 16
5.3.7 日志抗抵赖 ..................................................................................................................................... 17
5.3.8 安全运行测试 ................................................................................................................................. 17
6 JHSE主要功能和特点 ................................................................................................................................ 18
6.1 双重身份鉴别 ............................................................................................................................................ 18
6.2 强制访问控制 ............................................................................................................................................ 18
6.2.1 文件对象访问监控器 ..................................................................................................................... 18
6.2.2 进程对象访问监控器 ..................................................................................................................... 20
6.2.3 服务对象访问监控器 ..................................................................................................................... 21
6.2.4 网络共享对象访问监控器 ............................................................................................................. 21
6.2.5 磁盘对象访问监控器 ..................................................................................................................... 22
6.2.6 端口对象访问监控器 ..................................................................................................................... 22
6.2.7 注册表对象访问监控器 ................................................................................................................. 23
6.3剩余信息保护 ............................................................................................................................................. 24
6.4 网页防篡改 ................................................................................................................................................ 25
6.4.1被动防御网页篡改 ................................................................................................................................. 25
6.4.2主动防御网页篡改 ................................................................................................................................. 25
6.5恶意代码防范 ............................................................................................................................................. 25
6.6 安全审计 ................................................................................................................................................... 25
7 JHSE部署方案 ........................................................................................................................................... 26
8 成功案例 ................................................................................................................................................. 27
8.1 中国石化集团网站实施案例 .................................................................................................................... 27
8.2 国电大渡河流域水电开发有限公司实施案例 ........................................................................................ 29
9 客户价值 ................................................................................................................................................. 30
9.1 JHSE特点 ................................................................................................................................................... 31
9.1.1 不更改原有的系统和应用 ............................................................................................................. 31
9.1.2 同时保护电力业务应用系统和应用 ............................................................................................. 31
9.1.3 变“被动”为“主动”的防御 ..................................................................................................... 31
9.1.4 变“脆弱”为“强壮”的系统 ..................................................................................................... 31
10 JHSE相关资质 ......................................................................................................................................... 32
1 背景
随着计算机的普及和网络的发展,人类社会已经进入信息化时代,信息资源得到最大程度的整合和共享,这不仅改变了生产方式和生活方式,还使整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及,整个社会对网络的依赖程度越来越大。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源来处理各项业务,脱离网络的电脑单机几乎已经不复存在。
从某种意义上讲,信息系统已经成为社会、经济和军事发展强大动力,其地位越来越重要。信息系统的崛起和广泛应用,加速了军队的科研和信息化建设,但同时也凸现出日益严峻的信息系统安全问题,这个问题已经成为各个国家和军队关注的重要领域之一。作为不同信息系统载体的操作系统成为了信息系统安全的核心,了解操作系统系统面临的各种威胁,防范和消除这些威胁,提高信息系统整体安全性,成为保障信息系统安全,实现信息化发展最重要的事情。
2 安全事件回顾
目前电力企业越来越重视信息安全保障,许多用户已经部署了防火墙、IDS、防病毒,但仍然出现了安全事故和忧患,例如:
1.北京时间2013年11月12日消息,俄罗斯著名安全专家尤金-卡巴斯基(Eugene Kaspersky)披露,臭名昭著的“震网”病毒感染了俄罗斯的一座核电厂。据说这家俄罗斯核电厂并未接入互联网。另一事件中,一名俄罗斯宇航员携带的优盘已经导致国际空间站感染病毒。卡巴斯基表示,这一事件表明,不接入互联网也不能让你逃避被病毒感染的风险。
虽然并未对主流用户产生太大影响,但“震网”已经成为有史以来最臭名昭著的病毒之一。虽然美国和以色列政府从未承认,但外界普遍认为,“震网”是这两国政府联手开发的,目的是破坏伊朗核设施,阻止该国开发核武器。
由于伊朗纳坦兹核反应堆也没有接入互联网,所以该病毒同样是通过优盘传播的。它可以令离心机的旋转失去控制,导致工厂出现物理损坏。
2.据韩国安全行政部消息,2013今年上半年,针对韩国中央行政机构的黑客攻击约为1.3万起,预计全年将超过2万起,近几年年均遭受黑客攻击达2万多起,包括韩国电力公司在内的电力系统也未能幸免。
根据韩联社报道,上述黑客攻击次数在2010年为2.9275万起,2011年降为1.4039万起,
2012年升至1.7559万起,年均遭受攻击约达2万起。韩国安全行政部遭受到的攻击最为频繁,其次为国家报勋处、产业通商资源部和外交部。
自2010年以来,通过韩国国内IP地址对韩国中央机构进行攻击的案例最多,为3.7185万起,其次为中国(2.0691万起)和美国(4551起)。攻击手段包括通过网络盗取信息、植入恶意代码、分布式DOS攻击和网络监听等。
3 面临的安全问题
综述上述的安全事件,原因是:在核心的主机系统没有做安全防护,为什么要在核心的主机系统部署防护产品?因为:
1.美国出口中国的操作系统的安全级别低,只是C2级别的,更高级别的操作系统不出口中国,这种C2级别系统本身就有很多的漏洞,入侵者很容易通过这些系统漏洞侵入主机。
2.用户只在边界做了防护,部署了防火墙、入侵检测系统、VPN等产品,这些产品确实解决了网络安全中的一部分问题,但是它们是独立于用户当前的网络与系统之外的,既不能完全阻止外部人员的入侵行为,也没法杜绝内部人员的误操作或非法操作。
3.在信息化建设的过程中,接触主机的外部人员多(如设备的调试安装),对信息安全造成一定威胁。
4.主机上运行的是用户的重要数据、文件和关键的业务、进程,对系统可靠性要求更高。
5.一旦出现了事故,入侵者在离开前修改或删除日志,事后无法追查、判断责任,无法迅速找到解决方案。
综上所述:要保证重要的数据和文件不被更改、删除、非法拷贝;关键业务、进程不被非法停止, 必须在主机上部署防护产品。一个由网络边界到核心的多层次的纵深的多层次防护体系,才是一个完整的安全防护体系。
2012年升至1.7559万起,年均遭受攻击约达2万起。韩国安全行政部遭受到的攻击最为频繁,其次为国家报勋处、产业通商资源部和外交部。
自2010年以来,通过韩国国内IP地址对韩国中央机构进行攻击的案例最多,为3.7185万起,其次为中国(2.0691万起)和美国(4551起)。攻击手段包括通过网络盗取信息、植入恶意代码、分布式DOS攻击和网络监听等。
3 面临的安全问题
综述上述的安全事件,原因是:在核心的主机系统没有做安全防护,为什么要在核心的主机系统部署防护产品?因为:
1.美国出口中国的操作系统的安全级别低,只是C2级别的,更高级别的操作系统不出口中国,这种C2级别系统本身就有很多的漏洞,入侵者很容易通过这些系统漏洞侵入主机。
2.用户只在边界做了防护,部署了防火墙、入侵检测系统、VPN等产品,这些产品确实解决了网络安全中的一部分问题,但是它们是独立于用户当前的网络与系统之外的,既不能完全阻止外部人员的入侵行为,也没法杜绝内部人员的误操作或非法操作。
3.在信息化建设的过程中,接触主机的外部人员多(如设备的调试安装),对信息安全造成一定威胁。
4.主机上运行的是用户的重要数据、文件和关键的业务、进程,对系统可靠性要求更高。
5.一旦出现了事故,入侵者在离开前修改或删除日志,事后无法追查、判断责任,无法迅速找到解决方案。
综上所述:要保证重要的数据和文件不被更改、删除、非法拷贝;关键业务、进程不被非法停止, 必须在主机上部署防护产品。一个由网络边界到核心的多层次的纵深的多层次防护体系,才是一个完整的安全防护体系。
图3-1木桶原则
4 系统安全防护设计
4.1 符合等级保护标准第三级
严格按照《GB/T 20272-2006 信息安全技术-操作系统安全技术要求》三级操作系统安全标准,使操作系统安全达到身份鉴别、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范,资源控制等标准。
4.2 身份鉴别
计算机不会识别管理人员是否合法,只会识别系统当中的账户,一旦非法人员获取到系统的最高管理员账户,可对操作系统任意修改、破坏。要实现登陆操作系统的用户是否合法,需对用户进行身份鉴别,保证用户的唯一性。
4.3 访问控制
系统层访问控制主要为了保证用户对主机资源合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访
问控制策略下进行操作,杜绝越权非法操作。
系统设计实现属主型自主访问控制和强制访问控制。控制的客体范围,包括文件、进程、服务、共享资源、磁盘、端口、注册表(仅windows)等;主体包括用户、进程和IP,同时支持用户与进程的绑定,可以控制到指定用户的指定进程。
实现权限最小原则:对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权,避免授权范围过大,并在它们之间形成相互制约的关系。
访问控制的实现主要采取两种方式:采用安全操作系统,或对操作系统进行安全增强改造,且使用效果要达到以上要求。
4.4 免疫恶意代码
病毒是由代码编写,这样的代码被成为恶意代码,恶意代码感染系统,要写入文件,感染进程,增加或修改系统服务,修改注册表,这个是恶意代码的危害,传统的杀毒软件会通过特征匹配来查杀病毒,无法对未知的恶意代码进行防范。要实现系统对恶意代码免疫,需要系统提升至强制访问控制阻断恶意代码触发条件,采用增强型 DTE、RBAC对系统资源进行全方位的保护
4.5 免疫黑客攻击
任何系统都有可能存在漏洞,黑客通过漏洞拿到系统权限后,可以任意拷贝文件、删除文件、安装后门、添加隐藏账号、格式化磁盘。需将现有的系统通过合规自主访问控制与强制访问控制相结合,即使黑客利用漏洞拿到超级管理员,也无权限破坏系统。
4.6 防止信息泄露
恶意软件、数据滥用和社会工程学都可造成数据泄露,轻则可以危害个人隐私、商业秘密,严重甚至会危害到国家的安全。为防止信息泄露,采用增强型 DTE、RBAC 和 BLP 安全模型,使用虚拟化技术实现可视化安全域,让主客体都加入了敏感标记,对数据进行保密性保护,防止数据被盗取,而即使数据被窃取,窃取的数据仍不可用。
4.7 解决补丁滞后性问题
当前,解决系统安全的主要途径是更新补丁,即使及时更新补丁,然而操作系统新漏洞还总是不断出现,这些漏洞都是操作系统安全的潜在威胁。针对未公开漏洞的攻击代码(0day),
厂商没有补丁,安全问题无法解决;物理隔离或内网中的服务器,很难及时更新补丁,即使更新,也可能导致新漏洞出现;部分补丁安装后需要计算机重启方可生效,这也会造成业务系统中断的尴尬。采用增强型 DTE、RBAC对系统中重要文件、用户、进程、服务、磁盘、共享、配额、IP、端口、注册表(仅 Windows)等资源进行保护,即使黑客根据漏洞获取到超级管理员权限,也无法对保护的资源进行拷贝、更改、删除、格式化等操作。从而让系统在没有补丁的情况下依然处于安全稳定的状态。
4.8 系统审计
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计系统层与业务系统的运转流程。能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。
安全审计功能应与身份鉴别、自主访问控制、标记、强制访问控制及完整性控制等安全功能紧密结合;
提供审计日志、实时报警生成,潜在侵害分析、基于异常检测,基本审计查阅、有限审计查阅和可选审计查阅,安全审计事件选择,以及受保护的审计踪迹存储和审计数据的可用性确保等功能;
能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问;
能够创建并维护一个对受保护系统资源访问的审计跟踪,保护审计记录不被未授权的访问、修改和破坏;
每个事件的数据记录,应包括的信息有:事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份标识和鉴别事件,应记录请求的源(如末端号或网络地址);对于创建和删除客体的事件,应记录客体的名字和客体的安全属性;
应提供一个受保护的打开和关闭审计的机制。
4.9 数据安全
信息泄密事件会危害到国家的安全。减少泄密的风险,打造安全操作系统是防止信息泄密的基础。数据安全主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。
采用增强型 DTE、RBAC 和 BLP 安全模型,并对主机中的主客体都添加敏感标记,对数据进行保密性保护,防止数据被盗取,而即使数据被窃取,窃取的数据仍不可用。
4.10 剩余信息保护
对于正常使用中的主机操作系统经常需要对用户的鉴别信息、文件、目录、数据库记录等进行临时或长期存储,在这些存储资源重新分配前,如果不对其原使用者的信息进行清除,将会引起用户信息泄漏的安全风险,
应通过增强操作系统安全性,需要确保系统内的用户鉴别信息文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除
4.11 集中管理
需要对分布于各机房的服务器进行集中管理,按服务器角色自动生成动态拓扑图,并可以根据实际情况进行分组管理。
5 JHSE主机安全环境系统
JHSE主机安全环境系统,针对以上描述的问题,在现有的安全解决方案的技术上,实现了系统层的安全解决方案,提升信息系统安全“木桶中”系统层面的“短板”。
5.1 JHSE产品介绍
目前,国内所使用的计算机操作系统一直由国外产品垄断,虽然我国也正在研究自主知识产权的操作系统,但是由于软硬件的移植工作非常庞大,并且国有操作系统的市场成熟度不高,造成国有操作系统无法代替国外产品的局面,而针对微软的操作系统,一直以来除了厂商提供补丁,其他第三方均无法对计算机系统安全提供切实有效的解决方案,传统解决方案中更新补丁、安装杀毒都是在与攻击技术进行不断博弈,一来属于滞后性的解决方案,也就是先有攻击,再有防御,二来信息系统一直无法达到国家等级保护中所要求的第三级强制访问控制。
计算机系统层正面临着越来越多的安全问题,为此椒图科技率先研制出新一代的主机安全环境系统,简称:JHSE(JOWTO Host Security Environment 的缩写)。JHSE 以国家等级保护标准为依据,对服务器操作系统的安全子系统(SSOOS)进行重构和扩充,重构后的安全子系统打造了系统层的立体防护体系,将现有操作系统透明提升至安全操作系统。
JHSE是针对服务器操作系统存在的安全隐患而提供的安全操作系统解决方案,解决操作
系统层面所面临的恶意代码执行、越权访问、数据泄露、破坏数据完整性等各种攻击行为,能够通过虚拟化技术将每个应用或者功能单独划分成安全域,各安全域之间如同独立的主机相互隔离,利用增强型 DTE 所生成的每个安全域中均具备增强型 RBAC 安全机制,可对域内资源进行强制访问控制,让每个域的安全性非常健壮。而增强型 DTE 则隔离了域与域之间的访问,即便管理员忘记对某个域进行安全配置,出现了安全事故,所产生的影响也仅局限在该域内,不会影响和扩散到其他域。这种默认的最小化安全访问机制,有效地隔离了已知、未知攻击和恶意代码对系统与应用资源的访问,确保了系统资源的保密性和完整性,从而也提供了高可用和高可靠的业务连续性。
5.2 JHSE实现原理
操作系统安全主要包括以下几个方面:保密性、完整性、可用性、可靠性。JHSE利用增强型DTE、RBAC、BLP三种访问控制安全模型组合,重构操作系统的安全子系统,用重构后的“强化安全子系统监控器”监控资源访问的行为。遵循增强型DTE、RBAC、BLP模型来实现系统的安全策略。通过三种模型的相互作用和制约,确保系统中信息和系统自身安全性,以保障操作系统的保密性、完整性、可用性、可靠性。JHSE的安全保护,可对主机系统安全涉及的控制点(如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范、恶
意代码防范和资源控制等)形成立体防护,以确保安全操作系统的实现。
图5.2-1 JHSE原理图
5.2.1 增强型DTE模型
DTE (Domain and Type Enforcement)模型是有效实施细粒度强制访问控制的安全策略机制,其中安全域隔离技术作为构建可信系统的基本要求之一,是操作系统核心强制执行的一种访问控制机制,特点是通过严格的隔离,阻止安全域内、外部主体对客体的越权访问,实现保密性、完整性、最小特权等安全保护。
增强型DTE是在传统DTE模型基础之上进行扩充,实现域内不仅分配主体也可以分配客体,使不同域内的主客体访问达到多对多的访问关系。定义不同域的主客体访问权限,解决现有DTE模型存在安全目标不准确,系统的安全性难以控制等问题。通过配置严格的隔离策略,阻止安全域内、外部主体对客体的越权访问,从而实现保密性、完整性、最小特权等安全保护。为域间通信提供安全可靠的可信管道机制,从而得出系统处于可信状态的形式定义。采用增强型DTE安全域可以根据安全需求将应用和功能划分到不同的域,使进入域的主体权限得到有效控制,离开域的主体权限最小化。
图5.2.1-1 增强型DTE模型
5.2.2 增强型RBAC模型
基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访
问)有前景的代替,受到广泛关注。在RBAC中,权限与角色相关联,用户通过成为适当角色
成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造的,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。
增强型RBAC模型可以支持细粒度的配置,主客体对应关系,如下图所示:
图5.2.2-1 增强型RBAC模型
5.2.3 增强型BLP模型
BLP模型的基本安全策略是“上读下写”,高安全级别主体只可以读安全级别比它低的客体,低安全级别主体只可以写安全级别比它高的客体,同级别主客体间可读写,“上读下写”的安全策略保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动,从而保证了敏感数据不泄露。
增强型BLP模型读和写的权限更注重细粒度的控制,读权限包括读数据、读ACL等。写权限包括写数据、追加写,写ACL 等。
BLP模型示意图如下:
图5.2.3-1 增强型BLP模型
5.3 JHSE关键技术
5.3.1 双重身份认证
JHSE用户采用USBKEY和密码双重身份认证的方式,只有插入USBKEY输入正确的口令才能登录,否则无法登陆。
登陆验证流程见下图:
图5.3.1-1 登录验证流程图
5.3.2 三权分立
为了对系统资源进行安全、合理控制,JHSE采用了三个管理角色:系统管理员、安全管
理员和审计管理员,不同管理员之间相互独立、相互监督、相互制约,每个角色各司其职,共同保障服务器系统的安全,从而实现三权分立。示意图如下:
图5.3.2-1 三权分立
系统管理员:可以对服务器日常维护,其权限受到安全管理员的约束,不再是传统操作系统管理员一权独大。
安全管理员:可以根据实际需求导入策略文件,可以开启或者关闭JHSE系统。 审计管理员:可以监督系统管理员、安全管理员的行为,和对非法操作进行审计。
5.3.3 可视化虚拟安全域
JHSE采用虚拟化技术,在现有操作系统空间中根据不同的用户应用分别创建出多个虚拟空间,实现用户与用户之间的隔离,应用与应用之间的隔离,该虚拟空间被称作“安全域”,每个安全域均具备增强型RBAC安全机制。用户可将需要保护应用的用户、进程,所需资源(例如:文件、进程、服务、磁盘、设备、通信端口等),添加进被保护应用所对应的安全域内,分别成为该安全域的域内主体、域内客体以及安全属性,实现用户与系统之间的隔离。JHSE通过对现有操作系统的“安全子系统(SSOOS)”进行重构,利用重构后的“强化安全子系统监控器”监控资源访问的行为,实现最小化权限。通过严格的隔离,阻止域内和域外的非授权访问,无论是安全域的划分或域内主客体及其安全属性的添加,还是对应用请求行为的监控,对于原有应用来说都是完全透明的,这也意味着对于原有应用的业务逻辑不会有丝毫改变。
安全域原理图如下:
图5.3.3-1 可视化虚拟安全域
5.3.4 动态拓扑生成
安装JHSE后,配置安全管理中心服务器IP地址,然后自动连接到JHSE安全管理中心服务器。JHSE采用动态拓扑生成技术,按用户角色自动生成拓扑图。用户可以根据实际情况进行分组管理。
5.3.5 用户数据保密性保护
JHSE数据保密性保护采用增强型DTE、RBAC、BLP技术,安全域的隔离机制让出入域的主体权限最小化,BLP有效控制数据流,安全子系统(SSOOS)的重构和扩充提供了数据保护的更多安全属性,如:核心层的动态透明加解密技术。
通过以上几种技术的相互配合可以有效防止数据泄露,保证了数据的保密性。
5.3.6 用户数据完整性保护
JHSE拥有强大的文件、账户、服务、注册表(仅windows)完整性保护功能。
文件完整性检测:JHSE可以指定需要完整性保护的文件或目录,并自动记录
其属性和内容校验值,可对修改过的文件,进行完整性审计,并报告出修改的日期和内容,同时提供完整性还原操作。
账户完整性检测:JHSE可对系统账户信息进行完整性保护,当系统账户出现增、删、改等情况时,完整性审计可报告修改日期和内容,同时提供完整性还原操作。
服务完整性检测:JHSE可对系统服务进行完整性保护,当系统服务出现新增、删除、更改服务执行路径等情况时,完整性审计可报告修改日期和内容,同时提供完整性还原操作。
注册表(仅windows)完整性检测:JHSE可对注册表进行完整性保护,当注册表出现增、删、改等情况时,完整性审计可报告修改日期和内容,同时提供完整性还原操作。 5.3.7 日志抗抵赖
JHSE日志抗抵赖采用高可信时间戳技术,生成日志的同时做冗余备份。如果删除日志,冗余备份日志会记录删除日志的动作,具有不可抵赖性。同时冗余日志中加入了时间同步技术,更改系统时间也不会影响日志的准确性。日志如果被删除,可通过冗余日志对其进行还原,保证日志的完整性和可靠性
5.3.8 安全运行测试
SSF安全模型测试:JHSE可以对SSOOS整体安全模型进行检测,检测各SSF,如:增强型DTE、RBAC、BLP安全模型是否工作正常,避免模块产生错误,从而保证应用和系统的正常运行。如果某个SSF 模块出现了问题,会及时记录日志并发送信息或邮件至报警工作站。
SFP功能测试:JHSE可以对SFP的策略进行检测,检测各个功能模块运行是否正常,检测SFP是否有效,保证SSF的各项安全功能都能正常使用。如果SFP出现了问题,会及时记录日志并发送信息或邮件至报警工作站。
SSOOS完整性测试:JHSE带有SSOOS完整性检测功能,检测组成SSOOS的SSP是否被篡改,保证SSOOS的正常运行。如果SSOOS自身出现了问题,会及时记录日志并发送信息或邮件至报警工作站。
6 JHSE主要功能和特点 6.1 双重身份鉴别
根据等级保护《GB/T 20272-2006信息安全技术-操作系统安全技术要求》规定,JHSE采用双重身份认证鉴别技术,默认使用强化口令鉴别(USBKEY),加用户名密码鉴别方式。通过全部身份认证后,才可以对系统进行管理和维护,如果连续鉴别失败超过一定数量(数量可配置),系统将自动锁定,在一定时间后(时间可配置)才可以继续进行鉴别和登陆操作。
密码认证:JHSE系统内部内置两个用户分别为安全管理员和审计管理员,安全管理员和审计管理员各司其职,可以设置成不同的登陆密码。采用强密码认证,密码必须符合复杂性策略。
USBKEY认证:USBKEY是一个小巧的硬件设备,需要和主机硬件信息进行绑定,然后分别授权给安全管理员和审计管理员,登陆和管理JHSE时,需要USBKEY进行身份认证,否则无法登陆到JHSE以及操作系统。
6.2 强制访问控制
根据等级保护《GB/T 20272-2006信息安全技术-操作系统安全技术要求》规定,JHSE实行强制访问控制,控制的客体范围,包括文件、进程、服务、共享资源、磁盘、端口、注册表(仅windows)等;主体包括用户、进程和IP,同时支持用户与进程的绑定,可以控制到指定用户的指定进程。JHSE将主机资源各个层面紧密的结合,可以根据实际需要对资源进行合理
表7.3-1 JHSE主客体
6.2.1 文件对象访问监控器
JHSE的文件对象访问监控器,可以控制用户为主体对文件/目录的访问,也可以控制进程
6.2.2 进程对象访问监控器
在 JHSE的进程对象访问监控器中,进程既可以作为主体,也可以作为客体,具体安全属
6.2.3 服务对象访问监控器
JHSE的服务对象访问监控器,可控制系统服务不被新增、删除、修改服务程序执行路径,6.2.4 网络共享对象访问监控器
6.2.5 磁盘对象访问监控器
6.2.6 端口对象访问监控器
端口对象访问监控器可控制指定IP、端口的访问,也可以控制全局对象的访问,具体安全属性如下:
6.2.7 注册表对象访问监控器
注册表(仅windows)访问监控器,可控制主体为进程对注册表键/键值的访问;也可控
6.3剩余信息保护
根据《GB/T 20272-2006信息安全技术-操作系统安全技术要求》规定,保护用户所在存储空间在清除后分配给其他用户之前必须完全清除。通过现有操作系统本身的“删除”功能,删除的文件其存储空间并没有完全清除,很多第三方工具正是利用了这些“剩余信息”来实现恢复功能。
JHSE 通过对现有操作系统的安全子系统(SSOOS)进行重构和扩充,当扩充后的 SSOOS 的“文件对象访问监控器”监测到系统有删除动作时,会自动启用“剩余信息保护”模块来动态接管原系统的删除动作,“剩余信息保护”模块,会完全清除存储空间中的信息。 “剩余信息保护”模块的工作对于用户来说是完全透明的,这意味着在不必改变任何原有的业务流程的情况下,确保了用户数据不被恶意恢复。
6.4 网页防篡改
6.4.1 被动防御网页篡改
JHSE的网页防篡改采用完整性检测功能,针对网站的文件、用户、服务、注册表(仅windows)进行数据信息收集,生成网站信息数据收集时间点;当网站相关文件、服务、注册表(仅windows)及拥有修改网站权限的用户发生更改时,可手动与信息收集时间点的文件数据进行比对,如在信息收集后网站数据文件发生更改,可检测出进行更改操作的具体文件、用户、服务、注册表(仅windows)以及进行更改操作的用户、操作时间、操作类型(修改、新建、删除等);对非授权的更改可进行恢复,将文件、用户、服务、注册表(仅windows)恢复至信息收集时间点时的状态。
6.4.2主动防御网页篡改
网页防篡改主要目的是保证文件数据的完整性,可通过可视化虚拟安全域将网站相关数据文件、文件夹、进程、注册表(仅windows)进行权限控制,只有授权的用户或进程才能够对网站相关的文件、进程等进行操作,而非授权用户或进程无法进行违反安全策略的操作。
通过ASVE可视化虚拟安全域功能,使网站相关的文件、文件夹、进程、注册表(仅windows)位于独立的安全域中,保证网站数据及进程的完整性;将网站的应用文件、进程作为客体放入单独的安全域中,并将网站应用自身运行所需要的用户进程作为主体添加进同一安全域;可保证网站应用正常运行,但是无法对网站的页面、文件进行修改,调试进程;从而避免对网站进行非授权的修改,大大提高了网站的安全性,同时不会影响网站正常运行及使用。还可结合用户的具体运维方式,对安全策略进行调试。从而保证网站数据文件内容不被修改、网站进程不被非授权终止。
6.5恶意代码防范
JHSE的恶意代码防范采用可视化安全域技术,安全域遵循权限最小化原则,根据应用或者资源的安全属性进行独立划分,恶意代码无法对安全域内的资源进行访问,对于域外资源,安全域的隔离机制会剥离恶意代码的访问权限,使其无法对域外资源进行修改,有效地遏制了恶意代码的生存空间。从而保证系统不会遭受恶意代码的侵害。
6.6 安全审计
违规日志:JHSE的违规日志记录所有与访问控制策略不匹配的动作和越权访
问行为,记录事件的主体、客体、发生的时间和违规动作等信息。
系统日志:JHSE可以对系统内的服务器的系统日志进行查看和管理。
完整性检测日志:JHSE的完整性检测日志包含文件、用户、服务、注册表(仅
windows)完整性检测的日志信息,其中包括检测的时间、检测的目标文件、检测的结果等,以及对恢复等操作进行日志记录。
入侵检测日志:JHSE入侵检测日志记录所有关于入侵检测的信息,包括时间、
操作、入侵者的一些信息等,方便系统安全分析。
JHSE自身日志:JHSE自身日志主要是记录安全管理员登陆时间和配置策略行
为等详细的情况,同时记录JHSE自身运行日志。
日志管理:JHSE的日志管理带有备份功能,便于存储。同时日志也带有恢复
功能,日志采用带时间戳的方式,保障日志完整性和安全性。
7 JHSE部署方案
JHSE 采用分布式管理设计理念,分为主机加固管理平台、安全主机、主机日志管理平台、控制台四个组件,示意图如下:
图
7-1 分布式系统管理示意图
各组件功能描述:
控制台:各种管理角色进入JHSE的安全连接入口,登入后各种角色各自通过被赋予的功能开展自己职责内的工作。可搭配USB-key使用,消除口令遗失的隐患。
主机加固管理平台:为各种角色建立账户并分配权限,通过建立各种角色间的管理关系,完成各角色司职范围的界定。建立多级管理关系。,分配“安全服务器”与“审计服务器”的管理范围。
安全主机:即需要保护的主机。通过配置安全策略进行对主机的控制,将违规操作日志和入侵检测日志发送到审计服务器。
主机日志管理平台:主要记录整个系统的日志,包括违规日志、系统日志、完整性检测日志、入侵检测日志等。
8 成功案例
8.1 中国石化集团网站实施案例
需求背景
中国石化集团是国家独资设立的国有公司、国家授权投资的机构和国家控股公司。作为一个国有特大型企业,在企业信息化建设过程中,对信息安全工作也非常重视,要求做到基础设施建设和信息安全建设的同步。
集团网站作为该企业的门户网站,是信息获取和应用访问的首要渠道,各下属企业和供应商网络成员单位可以通过企业公网或内部网登录到网站,根据不同的用户角色和所分配的业务权限执行浏览信息等相关业务操作。
客户需求:
1、页面被篡改,企业门户网站作为企业形象的标志之一,是广大用户对企业信赖的基础,门户网站一旦被篡改,常常会引发较大的影响,严重时甚至会造成政治事件。
2、提高企业信息门户的可靠性和可用性,使门户网站平台更加安全、稳定、高效运行,进一步提升企业信息门户整体性能。
3、网站信息根据角色和权限的不同相互之间严格保密并且可以全程追溯。
4、解决服务器操作系统的安全隐患,达到安全操作系统标准,同时满足国家等级保护操作系统安全三级测评要求。
系统环境
操作系统:WINDOWS SEVER 2003 64BIT 8台
系统应用:IIS、MOSS
数据库:SQL Sever 2005
解决方案
通过部署椒图科技JHSE主机安全环境系统在web服务器和数据库服务器上,用于保障网站服务器操作系统及数据库服务器上重要数据的安全,保障集团网站业务安全和稳定的运行,保护商业秘密,为网站日常运转提供良好基础。部署JHSE椒图主机安全环境系统,能更好地与企业现有安全产品充分结合,构建更加完善的安全体系,共同保障和促进企业业务发展和业务目标的实现,满足企业生产、经营和管理等方面需要。
部署示意图如下:
方案效果
1、保护web服务器的网页不被篡改,同时保护网站服务器免疫恶意代码,达到对已知未知病毒、已知未知漏洞攻击的免疫效果,提升网站的信息安全保障水平,提高企业的品牌形象和客户忠诚度。
2、实现三权分立,有效地防止了超级管理员权限过大,在三权分立原则下,即使超级管理员密码泄漏或者被破解,黑客也无法破坏被JHSE保护的资源,并且对于任何用户登录实行双重身份认证。
3、保护重要数据不会被非法篡改,即使是Administrator权限,数据库的配置文件及重要数据也不会被非法修改、复制、删除。
4、提供完善的日志审计、管理功能,可以精确到IP
、MAC、用户、进程、时间等,并统
一接入企业现有审计平台,实现业务操作可追溯。
5、把操作系统透明提升到安全操作系统,且完全满足国家等级保护操作系统三级要求。
8.2 国电大渡河流域水电开发有限公司实施案例
需求背景
国电大渡河流域水电开发有限公司,是集水电开发建设与经营管理于一体的大型水电开发公司。如何保证电站监控应用系统、电厂生产管理信息系统的安全、正常运行非常关键。
作为国家著名的水利发电项目,非常重视信息系统的安全。在增强信息系统安全的措施中,其在信息系统中也部署了相关的安全产品,如防火墙、代理服务器、入侵检测、漏洞扫描等等,但是操作系统的安全水平却一直没有得到提高,在其整体的信息安全防护体系中,系统层安全成为最脆弱的部分。
系统环境
操作系统:REDHAT5.5 20台
应用系统:核心业务系统
解决方案
使用椒图科技JHSE,分别安装在电站监控服务器及核心业务服务器上,通过部署JHSE后,透明提升至安全操作系统,通过细粒度规则配置,可免疫已知、未知病毒,系统管理员权限被划分为三个角色,各个角色之间相互独立、相互监督,有效地防止了超级管理员权限过大。在三权分立原则下,即使超级管理员密码泄漏或者被破解,黑客也无法破坏被JHSE保护的资源。
配置策略如下:
1、保护操作系统:使用默认的安全域模板保护操作系统。
2、新建安全域:让电站监控业务系统程序、文件目录处于同一个安全域中,域外的用户或进程对该域内文件或进程禁止任何访问。
3、设置登录审计策略:只允许设定的某IP段,在指定时间内登录系统。对SSH、LOGIN、SU、RLOGIN进行双重身份认证。
4、建立安全域:让Oracle配置文件、Oracle数据库目录、Java、Oracle进程处于同一个安全域中,域外用户或者进程对该域无任何操作权限。
部署示意图如下:
方案效果
1、保证业务系统正常运行,即使使用Root用户,也不能访问业务系统程序的目录,更不能卸载、终止、替换保护的程序。
2、保证业务系统信息的保密性,业务数据只对有权限的用户使用对应的进程开放权限。
3、日志审计,所有违规操作均进行日志审计,可以精确到IP、MAC、用户、进程、时间等,提供完善的日志审计功能。
总结:经过JHSE保护后,可以免疫已知、未知木马病毒、漏洞攻击,即使获得超级管理员权限登陆到服务器,也不能中止业务相关程序,恶意篡改核心数据,可以有效保证业务的连续性和安全性,把操作系统透明提升到安全操作系统。
9 客户价值
JHSE以铸造安全操作系统为目的,实现了免疫恶意代码、免疫黑客攻击、防止信息泄密
等功能,同时解决了安全补丁滞后等诸多系统安全问题,为操作系统打造立体安全防护体系,为信息系统安全保驾护航。
9.1 JHSE特点
9.1.1 不更改原有的系统和应用
使用 JHSE,不会更改原有的业务流程,对系统和应用完全透明,系统和应用性能无影响。
9.1.2 同时保护电力业务应用系统和应用
JHSE 可以对操作系统文件、进程、注册表、服务进行保护,还可以对电力业务应用系统进行保护,防止电力业务应用系统程序意外终止,可以根据自己需求灵活配置安全策略。
9.1.3 变“被动”为“主动”的防御
不管是操作系统补丁、杀毒、或 IDS 等安全防护都是以被动的式防御,防御行为都是在攻击行为已经出现以后,才能够相对应的进行防御。JHSE 则并不采用这种被动式的防御体系,而是主动防御,我们先将所有行为都视为不可信的。逐步放开可信的行为,并在这些可信行为上采用非常特殊的可信标记,并且采用足够细的粒度能够很容易判别出符合安全要求的行为,例如,某非管理员用户只能通过某个特定路径的进程以某种特定的方式(读、删、执行),去访问特定的某文件。在操作系统层面实现主动防御不可信的行为。当我们在 JHSE 中配置好重要的数据或应用这些需要保护的对象时候,我们不用去考虑入侵者用什么方法去破坏他。只要是一切破坏行为,例如:删除、篡改、复制、读取、都将被主动的拒绝。它不去识别攻击的方法。只要是在访问控制列表中,各个粒度的规则又任何不匹配的动作就会被拒绝。从而实现最严格的操作系统层保护。
9.1.4 变“脆弱”为“强壮”的系统
在没有条件更新操作系统补丁的前提下,操作系统的安全漏洞成为最致命的攻击目标。如此脆弱的操作系统,如果完全依赖操作系统自身的安全机制配置,设定权限,强密码,各种安全规则的设定,显得非常无力。如果完全抛弃这类操作系统不用的话,多种在现有操作系统上开发的应用又无法使用。JHSE 能够将这样“脆弱”的操作系统上透明提升到国家计算机等级保护三级标准,强壮的认证体系,权限临架于操作系统权限之上,完全有能力对抗目前所有二级操作系统下的任何攻击手法。对已知和未知的攻击形成免疫。
10 JHSE
相关资质