121.主機(jī)加固系統(tǒng)可行性研究報(bào)告涉密1_第1頁
121.主機(jī)加固系統(tǒng)可行性研究報(bào)告涉密1_第2頁
121.主機(jī)加固系統(tǒng)可行性研究報(bào)告涉密1_第3頁
121.主機(jī)加固系統(tǒng)可行性研究報(bào)告涉密1_第4頁
121.主機(jī)加固系統(tǒng)可行性研究報(bào)告涉密1_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、主機(jī)加固產(chǎn)品可性論證1. 現(xiàn)狀2.存在的主要問題我涉密信息系統(tǒng)中主機(jī)(服務(wù)器)操作系統(tǒng)尚無安全加固,安裝主機(jī)加固系統(tǒng)實(shí)現(xiàn)邊界防護(hù),避免出現(xiàn)以下問題:主機(jī)操作系統(tǒng)受到已知、未知代碼,造成正常業(yè)務(wù)中斷;主機(jī)操作系統(tǒng)受到已知、未知的,造成涉密信息泄露;主機(jī)操作系統(tǒng)管理員權(quán)限過大,登陸使用單一口令,安全風(fēng)險(xiǎn)不能規(guī)避;沒有深度的操作審計(jì),發(fā)生問題事件難以追查。3.建設(shè)內(nèi)容和系統(tǒng)配置3.1 功能和作用通過在主機(jī)(服務(wù)器)上部署主機(jī)加固系統(tǒng),實(shí)現(xiàn)以下功能:對文件、進(jìn)程、服務(wù)、表設(shè)置強(qiáng)制控制規(guī)則,防止非用戶/進(jìn)程的;對文件、進(jìn)程、服務(wù)、表進(jìn)行保護(hù),阻斷已知、未知;對操作系統(tǒng)實(shí)行三權(quán)分立,最小化操作員權(quán)限,滿足

2、分級保護(hù)要求。對所有進(jìn)行日志并分析,做到可追溯。3.2 建設(shè)方案在現(xiàn)有主機(jī)(服務(wù)器)上,直接安裝主機(jī)加固系統(tǒng)。部署過程中,正常業(yè)務(wù)不會受到影響,部署邏輯圖如下所示:3.3 設(shè)備的詳細(xì)說明3.3.1 儀器名稱、型號和生產(chǎn)廠家經(jīng)過對市場的廣泛調(diào)研,中軟華泰,浪潮,網(wǎng)神三家主流廠商的市場占有率較高,三家主機(jī)加固系統(tǒng)相關(guān)對比如下:主機(jī)加固系統(tǒng)生產(chǎn)廠家浪潮中軟華泰網(wǎng)神儀器名稱操作系統(tǒng)安全增強(qiáng)系統(tǒng)節(jié)點(diǎn)-操作系統(tǒng)安全加固服務(wù)器安全加固設(shè)備型號操作系統(tǒng)安全增強(qiáng)系統(tǒng) V1.0節(jié)點(diǎn)-操作系統(tǒng)安全加固 V1.0SecSSM 3600 服務(wù)器安全加固與管理系統(tǒng)操作系統(tǒng)兼容支持 WINDOWS、 LINUX、HP-UX

3、、 AIX、UNIX、SOLARIS 等主流操作系統(tǒng)支持 Windows, Linux支持 WINDOWS、 LINUX、AIX、UNIX、 SOLARIS三權(quán)分立系統(tǒng)管理員、安全管理員和安全審計(jì)員,其中安全管理員和審計(jì)管理員使用 SSR USB-KEY,也可配置系統(tǒng)管理員使用 KEY+ 的方式登陸系統(tǒng)。支持三權(quán)分立功能支持三權(quán)分立功能完整性校驗(yàn)通過 和對比系統(tǒng)中所有服務(wù)的基本屬性及內(nèi)容校驗(yàn)和來進(jìn)行完整性檢測,以識別哪些服無此功能能夠?qū)ξ募M(jìn)行完整性校驗(yàn),以識別哪些文件被篡改3.3.2 主要性能參數(shù)及性能指標(biāo)浪潮操作系統(tǒng)安全增強(qiáng)系統(tǒng) V1.0 主要性能參數(shù)及性能指標(biāo):支持多:支持多個(gè) Wind

4、ows 操作系統(tǒng),包括 Windws2000/2003/2008所有 32bit 和 64bit 的操作系,并擁有微軟服務(wù)器 Certified for WindowsServer 2008 R2 認(rèn)證、微軟 WHQL 認(rèn)證。權(quán)分立:能有效的限制系統(tǒng)用戶的權(quán)限,合理的劃分系統(tǒng)的權(quán)限為系統(tǒng)管理員,安全管理員,審計(jì)管理員。自我保護(hù):具備良好的系統(tǒng)自身的保護(hù)功能,保護(hù)系統(tǒng)自身進(jìn)程不被異常終止、信息注入,系統(tǒng)自身文件不被修改和刪除。文件強(qiáng)制控制:具備內(nèi)核級文件/目錄強(qiáng)制控制。允許對文件/目錄配置用戶或進(jìn)程以讀、寫、等權(quán)限的安全策略。表強(qiáng)制控制:具備內(nèi)核級表強(qiáng)制控制。允許對表置進(jìn)程以讀、寫等權(quán)限的安全策

5、略。三務(wù)被篡改。強(qiáng)制控制配置用戶/進(jìn)程對文件和目錄、表、服務(wù)的策略,策略權(quán)限包括讀,寫,所限,所有操有強(qiáng)制控制功 能,表支持讀、寫操作。有強(qiáng)制控制功能文件擦除文件擦除:提供至少 7 次以上的文件和目錄反復(fù)擦寫,做到真正的信息清除,防止數(shù)據(jù)恢復(fù)。無此功能無此功能審計(jì)日志與日志過濾,操作日志,報(bào)警及日志。日志與日志過濾,操作日志日志與日志過濾,操作日志進(jìn)程強(qiáng)制控制:具備內(nèi)核級進(jìn)程強(qiáng)制控制。允許對進(jìn)程配置進(jìn)程以讀內(nèi)存、寫內(nèi)存、句柄、終止進(jìn)程等權(quán)限的安全策略。服務(wù)強(qiáng)制控制:具備內(nèi)核級服務(wù)強(qiáng)制控制。能夠新增的服務(wù)及驅(qū)動在系統(tǒng)中的加載,已安裝服務(wù)的啟動類型的更改。系統(tǒng)賬戶強(qiáng)制控制:具備內(nèi)核級別帳戶強(qiáng)制控制

6、。能夠?qū)ο到y(tǒng)帳戶的破環(huán),如新增帳戶、刪除帳戶等。安全標(biāo)記:通過對主體(用戶)和客體(文件/目錄)進(jìn)行標(biāo)記,設(shè)置相應(yīng)的級別,來控制用戶對文件/目錄的權(quán)限。同級別用戶可以隨意同級別文件/目錄,高級別用戶對低級別文件/目錄只讀,低級別用戶對高級別文件/目錄沒有任何權(quán)限,依此來保證重要數(shù)據(jù)流的單向性,只能從低級別流向高級別,不能反過來,保證數(shù)據(jù)的安全性。防格式化保護(hù)機(jī)制:保護(hù)功能開啟時(shí),可防止和者格式化磁盤,同時(shí)降低管理員意外格式化磁盤的風(fēng)險(xiǎn)。信任列表:通過把用戶認(rèn)為信得過的進(jìn)程添加到信任列表中,該進(jìn)程的操作則會暢通無阻,同時(shí)對此進(jìn)程也可以設(shè)置策略進(jìn)行保護(hù),這樣保證了系統(tǒng)的安全性,也保證了一些特殊操作

7、的正常進(jìn)行,減少用戶的操作量。文件完整性檢測:具備文件完整性檢測。通過和對比指定目錄中所有文件的基本屬性及內(nèi)容校驗(yàn)和來進(jìn)行完整性檢測,以識別哪些文件被篡改。服務(wù)完整性檢測:具備服務(wù)完整性檢測。通過和對比系統(tǒng)中所有服務(wù)的基本屬性及內(nèi)容校驗(yàn)和來進(jìn)行完整性檢測,以識別哪些服務(wù)被篡改。保護(hù)與檢測:保護(hù)系統(tǒng)重要的可執(zhí)行程序,比如 exe,dll,com,sys 等文件,可發(fā)現(xiàn)可執(zhí)行程序被篡改并進(jìn)行恢復(fù)。系統(tǒng)與:對系統(tǒng)的 CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)資源進(jìn)行,當(dāng)這些資源的使用狀況超過設(shè)置的閥值時(shí)將進(jìn)行,以提前發(fā)現(xiàn)資源不足、等問題。網(wǎng)絡(luò)限制:可設(shè)置是否允許系統(tǒng)開啟和關(guān)閉共享,以及設(shè)置系統(tǒng)本地帳戶的安全策略以及帳

8、戶認(rèn)證時(shí)的安全傳輸方式,以此來增強(qiáng)系統(tǒng)帳戶的安全性。磁盤限制:可設(shè)置用戶對磁盤的使用來避免磁盤空間的,當(dāng)用戶的磁盤使用量超過限制時(shí)進(jìn)行。增強(qiáng)型認(rèn)證:提供安全管理員和審計(jì)的 USB KEY+的雙因子認(rèn)證功能,還可對系統(tǒng)用戶配發(fā) USB KEY 實(shí)現(xiàn)雙因子認(rèn)證。對于登陸和虛擬化系統(tǒng)而無法識別 USB KEY 的服務(wù)器,提供可配置兩個(gè)組合的登陸認(rèn)證方式,只有掌握的兩個(gè)人同時(shí)存在才能登陸系統(tǒng),以此確保自然人的可信。鑒別強(qiáng)化:可靈活配置系統(tǒng)用戶的復(fù)雜性和登陸失敗處理,以此來增強(qiáng)系統(tǒng)用戶鑒別的安全性。文件:提供至少 7 次以上的文件和目錄反復(fù)擦寫,做到真正的信息清除,防止數(shù)據(jù)恢復(fù)。用戶使用痕跡:提供一鍵式

9、用戶上網(wǎng)、文檔、臨時(shí)文件等信息,防止用戶隱私數(shù)據(jù)泄密。日志審計(jì):系統(tǒng)內(nèi)的所有強(qiáng)制控制策略的事件,并提供日志的查詢、刪除、備份、導(dǎo)出、日志分析和 syslog 轉(zhuǎn)發(fā)功能。操作日志審計(jì):安全管理員和審計(jì)管理員的所有操作事件,如登陸、功能停用等,并提供日志的查詢、刪除、備份和導(dǎo)出。日志審計(jì):安全管理員設(shè)置的一些事件,比如文件完整性定時(shí)自檢,服務(wù)完整性定時(shí)自檢,日志,系統(tǒng)信息等。機(jī)制:提供管理員可配置的時(shí)間機(jī)制,當(dāng)管理員設(shè)定的事件被觸發(fā)時(shí),通過郵件的形式向管理員發(fā)出通知。日配置管理:可以配置日志的最大條數(shù)或者日志所占的最大磁盤空間數(shù),超出的部分不再。郵箱管理:設(shè)置郵箱,在日志的同時(shí)也會往設(shè)置好的郵箱里發(fā)送一份郵件,讓用戶及時(shí)了解系統(tǒng)的狀態(tài)。管理機(jī)制:一個(gè)控制臺可以同時(shí)對多個(gè)的客戶端進(jìn)行管理和,并且可開放接口給第管理集成,實(shí)現(xiàn)與不同產(chǎn)品間管理的融合。內(nèi)置策略模板:提供經(jīng)過驗(yàn)證的分等級的安全策略模板,全面保護(hù)系統(tǒng),方便易用,降低用戶的使用難

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論