長(zhǎng)期以來(lái)信息安全對(duì)基于網(wǎng)絡(luò)應(yīng)用的外部防范技術(shù)關(guān)注較多，而通過(guò)系統(tǒng)內(nèi)核加固技術(shù)對(duì)內(nèi)網(wǎng)核心系統(tǒng)進(jìn)行有效的保護(hù)，筑起數(shù)據(jù)安全的最后一道防線(xiàn)，正在成為繼網(wǎng)絡(luò)層應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品后已成為信息安全產(chǎn)品的發(fā)展趨勢(shì)。

二、 安全產(chǎn)品的局限性

由于互聯(lián)網(wǎng)應(yīng)用的不斷延伸，使得信息環(huán)境以及信息技術(shù)能夠快速發(fā)展和層出不窮。 隨著互聯(lián)網(wǎng)環(huán)境的不斷變化，信息安全產(chǎn)品和服務(wù)一定要保證開(kāi)放式網(wǎng)絡(luò)環(huán)境的安全。信息安全產(chǎn)品的發(fā)展也在適應(yīng)著網(wǎng)絡(luò)發(fā)展的需要，單純的網(wǎng)絡(luò)級(jí)安全產(chǎn)品已經(jīng)不能適應(yīng)日益復(fù)雜的網(wǎng)絡(luò)安全需要。信息安全產(chǎn)品已經(jīng)逐步的從被動(dòng)的防止攻擊，保護(hù)系統(tǒng)和網(wǎng)絡(luò)不被入侵，發(fā)展到能夠主動(dòng)檢測(cè)并防御系統(tǒng)和網(wǎng)絡(luò)本身的信息安全產(chǎn)品。

新的發(fā)展趨勢(shì)表明，越來(lái)越多的公司和機(jī)構(gòu)把安全的中心轉(zhuǎn)移到核心系統(tǒng)安全上來(lái)，這些服務(wù)器中存儲(chǔ)了信息數(shù)據(jù)，因?yàn)樾畔�安全的核心目的是保護(hù)服務(wù)器中的重要數(shù)據(jù)不被入侵和數(shù)據(jù)竊取。

Firewall的局限性：

? 只保護(hù)通過(guò)防火墻的通訊，而不是保護(hù)系統(tǒng) ? 無(wú)法應(yīng)對(duì)利用應(yīng)用程序漏洞進(jìn)行的攻擊 ? 無(wú)法阻止內(nèi)部人員的攻擊

? 對(duì)防火墻策略不能進(jìn)行合理的配置

Host IDS的局限性：

? 進(jìn)行檢測(cè)沒(méi)有主動(dòng)防御的功能

? 只有已知的攻擊可以被檢測(cè)

? 無(wú)法保護(hù)審計(jì)日志

? 無(wú)法對(duì)自身進(jìn)行保護(hù)

Network IDS的局限性：

? 只有已知攻擊可以被檢測(cè)

? 高誤報(bào)率使管理員無(wú)法應(yīng)對(duì)

? 使用迂回的方法躲避入侵檢測(cè)系統(tǒng)

? 只是對(duì)網(wǎng)絡(luò)的檢測(cè)，沒(méi)有保護(hù)網(wǎng)絡(luò)和系統(tǒng)的功能

三、 產(chǎn)品概述

內(nèi)網(wǎng)核心安全最佳解決方案：

操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)的基礎(chǔ)軟件是用來(lái)管理計(jì)算機(jī)資源，它直接利用計(jì)算機(jī)硬件并為用戶(hù)提供使用和編程接口。各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺(tái)之上，上層的應(yīng)用軟件要想獲得運(yùn)行的高可用性和信息的完整性、機(jī)密性，必須依賴(lài)于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴(lài)于網(wǎng)絡(luò)中各系統(tǒng)的安全性，而系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒(méi)有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安全也毫無(wú)根基可言。

所以，操作系統(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)。而服務(wù)器及其上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)。因此，部署安全產(chǎn)品，加強(qiáng)對(duì)關(guān)鍵服務(wù)器的安全控制，是增強(qiáng)系統(tǒng)總體安全性的核心一環(huán)。

S-NUMEN是國(guó)內(nèi)一家自主知識(shí)產(chǎn)權(quán)支持跨平臺(tái)的系統(tǒng)保護(hù)（安全操作系統(tǒng)）產(chǎn)品，它在操作系統(tǒng)的安全功能之上提供了一個(gè)安全保護(hù)層，通過(guò)從內(nèi)核層截取文件訪(fǎng)問(wèn)控制方式，加強(qiáng)操作系統(tǒng)安全性。S-NUMEN支持IBM AIX、HP-UX、Solaris、Compaq Tru64以及RedHat Linux和Windows NT多種系統(tǒng)。即使一個(gè)未經(jīng)授權(quán)的入侵者獲得系統(tǒng)管理員權(quán)限，他也不能對(duì)系統(tǒng)及數(shù)據(jù)進(jìn)行竊取或篡改，從而在根本上防止由于操作系統(tǒng)自身缺陷所造成的入侵。

百度搜索：99建筑網(wǎng),查看數(shù)百萬(wàn)資料
四、技術(shù)原理

信達(dá)的S-NUMEN作為操作系統(tǒng)級(jí)系統(tǒng)保護(hù)產(chǎn)品，是在不改變操作系統(tǒng)內(nèi)核的情況下，對(duì)核心服務(wù)器進(jìn)行保護(hù)。

S-NUMEN工作原理如下：

Unix操作系統(tǒng)有一個(gè)系統(tǒng)調(diào)用表，包含指向每個(gè)系統(tǒng)調(diào)用的內(nèi)存地址的指針。應(yīng)用程序?qū)�資源的訪(fǎng)問(wèn)、對(duì)硬件設(shè)備的使用、進(jìn)程間的通訊都是通過(guò)系統(tǒng)調(diào)用接口在操作系統(tǒng)內(nèi)核中實(shí)現(xiàn)的。安全內(nèi)核保存了該表中與安全有關(guān)的系統(tǒng)調(diào)用的指針，并把這些系統(tǒng)調(diào)用重定向到S-NUMEN的相應(yīng)代碼。當(dāng)用戶(hù)或程序執(zhí)行一個(gè)與安全有關(guān)的系統(tǒng)調(diào)用時(shí)，S-NUMEN系統(tǒng)調(diào)用代碼會(huì)檢查S-NUMEN數(shù)據(jù)庫(kù)。如果調(diào)用是被授權(quán)的，S-NUMEN調(diào)用原來(lái)的Unix系統(tǒng)調(diào)用，就像S-NUMEN沒(méi)有安裝一樣。否則，安全內(nèi)核返回權(quán)限錯(cuò)誤，禁止該請(qǐng)求。

這種實(shí)現(xiàn)方式與應(yīng)用級(jí)的安全產(chǎn)品比較有著明顯的優(yōu)勢(shì)。系統(tǒng)入侵檢測(cè)產(chǎn)品作為應(yīng)用層產(chǎn)品出于本身安全性考慮以及功能上無(wú)法到達(dá)系統(tǒng)保護(hù)的功能。網(wǎng)絡(luò)級(jí)入侵檢測(cè)產(chǎn)品和防火墻作為網(wǎng)絡(luò)級(jí)安全產(chǎn)品從技術(shù)原理上講不具備內(nèi)網(wǎng)核心安全的要求。

同時(shí)，S-NUMEN產(chǎn)品與其他系統(tǒng)保護(hù)產(chǎn)品的優(yōu)勢(shì)在于它不需要修改操作系統(tǒng)內(nèi)核并且無(wú)需重啟系統(tǒng)，這種方式完全滿(mǎn)足現(xiàn)有高端服務(wù)器的要求。而其它系統(tǒng)保護(hù)產(chǎn)品不但使系統(tǒng)管理和支持復(fù)雜了，也會(huì)違背操作系統(tǒng)的供應(yīng)商授權(quán)-使操作系統(tǒng)維護(hù)更困難，增加了巨大的開(kāi)支。

五、產(chǎn)品特征

1．實(shí)現(xiàn)內(nèi)網(wǎng)核心安全

當(dāng)防火墻、入侵檢測(cè)、VPN等網(wǎng)絡(luò)級(jí)安全產(chǎn)品不能滿(mǎn)足日益受到威脅的內(nèi)網(wǎng)核心安全時(shí)，S-NUMEN作為系統(tǒng)級(jí)系統(tǒng)保護(hù)產(chǎn)品可以保證內(nèi)網(wǎng)核心服務(wù)器的安全。由于來(lái)自于內(nèi)部外部的網(wǎng)絡(luò)入侵事件頻頻發(fā)生，企業(yè)的網(wǎng)絡(luò)和其他重要的服務(wù)器前所未有地暴露在黑客及非授權(quán)內(nèi)部人員的侵入和攻擊的威脅下。S-NUMEN能夠防止非授權(quán)的訪(fǎng)問(wèn)，使內(nèi)網(wǎng)核心服務(wù)器安全運(yùn)行。

2．基于數(shù)字簽名的用戶(hù)認(rèn)證

大部分信息系統(tǒng)使用ID和口令保護(hù)自身安全。但是單獨(dú)的口令不能帶來(lái)充分的保護(hù)，它們很容易被共享和猜出來(lái)。有時(shí)候，口令會(huì)遭到野蠻攻擊和詞典攻擊。S-NUMEN利用數(shù)字簽名證書(shū)機(jī)制保證了用戶(hù)身份識(shí)別的可靠性。

3．不修改操作系統(tǒng)內(nèi)核，無(wú)需重啟系統(tǒng)

S-NUMEN是系統(tǒng)級(jí)安全產(chǎn)品，在加強(qiáng)操作系統(tǒng)安全的同時(shí)，并不對(duì)系統(tǒng)的內(nèi)核進(jìn)行修改，從而保證了關(guān)鍵業(yè)務(wù)服務(wù)器的穩(wěn)定運(yùn)行。除此之外，在服務(wù)器安裝S-NUMEN后，系統(tǒng)無(wú)需重啟，避免了服務(wù)器重啟所產(chǎn)生的不必要損失。

4．提升現(xiàn)有操作系統(tǒng)的安全級(jí)別

WINDOWS、UNIX系統(tǒng)大多為C2級(jí)，采用自主存取控制機(jī)制。安全性更高的B1級(jí)采用強(qiáng)制存取控制機(jī)制，強(qiáng)制存取控制(MAC) 提供了基于信息機(jī)密性的存取控制方法，用于將系統(tǒng)中的用戶(hù)和信息進(jìn)行分級(jí)別、分類(lèi)別管理，強(qiáng)制限制信息的共享和流動(dòng)，使不同級(jí)別和類(lèi)別的用戶(hù)只能訪(fǎng)問(wèn)到與其有關(guān)的、指定范圍的信息，從根本上防止信息的丟失泄密和訪(fǎng)問(wèn)混亂現(xiàn)象。尤其適用于軍事、政府重要部門(mén)和金融、電力領(lǐng)域。

5．跨平臺(tái)支持功能

S-NUMEN是國(guó)內(nèi)第一家自主知識(shí)產(chǎn)權(quán)支持跨平臺(tái)的系統(tǒng)保護(hù)（安全操作系統(tǒng)）產(chǎn)品，S-NUMEN能夠提升每個(gè)系統(tǒng)的安全性，以滿(mǎn)足整個(gè)業(yè)務(wù)的安全需求。S-NUMEN支持包括UNIX、

Linux和Windows在內(nèi)的多種平臺(tái)。

6．權(quán)限分離

操作系統(tǒng)訪(fǎng)問(wèn)控制以及操作系統(tǒng)漏洞的最佳策略是任務(wù)分離和最小權(quán)限原則。 S-NUMEN通過(guò)RBAC（角色訪(fǎng)問(wèn)控制）、MAC（強(qiáng)制訪(fǎng)問(wèn)控制）將安全管理員的權(quán)限分離。嚴(yán)格分開(kāi)系統(tǒng)管理員和安全管理員的權(quán)限，以控制系統(tǒng)管理員的權(quán)限，來(lái)防止內(nèi)外人員通過(guò)非法獲得系統(tǒng)管理員權(quán)限破壞文件系統(tǒng)信息。

7．堆棧溢出保護(hù)

S-NUMEN能夠防止黑客利用堆棧溢出的機(jī)會(huì)，從而可以阻止黑客執(zhí)行任意指令、侵入系統(tǒng)。

六、產(chǎn)品功能

（1）數(shù)字簽名認(rèn)證機(jī)制

為了達(dá)到內(nèi)網(wǎng)核心安全的目的，S-NUMEN采用了數(shù)字簽名證書(shū)為基礎(chǔ)并結(jié)合訪(fǎng)問(wèn)控制的技術(shù)。當(dāng)安全內(nèi)核安裝后，沒(méi)有通過(guò)數(shù)字簽名證書(shū)認(rèn)證的用戶(hù)，即使獲得了管理員權(quán)限，也不能訪(fǎng)問(wèn)被安全內(nèi)核保護(hù)的資源。

S-NUMEN通過(guò)接管系統(tǒng)所有訪(fǎng)問(wèn)控制權(quán)限，實(shí)際上取消了“超級(jí)用戶(hù)”（root）權(quán)限，通過(guò)使用數(shù)字簽名證書(shū)認(rèn)證機(jī)制，達(dá)到用戶(hù)認(rèn)證目的。用戶(hù)或者其他非法入侵者即使獲得了超級(jí)用戶(hù)口令也無(wú)法訪(fǎng)問(wèn)系統(tǒng)重要資源。

對(duì)系統(tǒng)管理員或用戶(hù)頒發(fā)數(shù)字簽名證書(shū)，通過(guò)基于操作系統(tǒng)內(nèi)核級(jí)的認(rèn)證機(jī)制完成用戶(hù)登錄過(guò)程。

（2）帳號(hào)管理

S-NUMEN提供遠(yuǎn)程站點(diǎn)的unix用戶(hù)帳戶(hù)及組管理功能。S-NUMEN在內(nèi)核層基于證書(shū)進(jìn)行認(rèn)證，提高安全強(qiáng)度，所以為控制安全管理員配置的文件要用安全管理員發(fā)行的證書(shū)得到認(rèn)證。

（3）口令質(zhì)量控制

S-NUMEN為管理員提供了口令質(zhì)量控制的功能，管理員可以利用這項(xiàng)功能實(shí)現(xiàn)密碼的質(zhì)量控制，如：設(shè)置密碼的最大長(zhǎng)度和最小長(zhǎng)度，密碼中出現(xiàn)的特殊字符的最少數(shù)量，當(dāng)口令更改后，該密碼的使用期限等。通過(guò)S-NUMEN與系統(tǒng)結(jié)合，S-NUMEN提供了對(duì)用戶(hù)登錄口令的管理，S-NUMEN 將口令質(zhì)量控制分為兩部分：密碼更改期限&密碼登錄限制和密碼格式。 這些口令質(zhì)量控制規(guī)則如下：

? 一旦口令被更改，那么該口令將在多少時(shí)間內(nèi)不允許再次更改。

? 當(dāng)口令更改后，該密碼的使用期限。

? 該帳戶(hù)被注銷(xiāo)的期限。

? 帳戶(hù)距注銷(xiāo)時(shí)間還剩多少時(shí)對(duì)該用戶(hù)進(jìn)行通知。

? 試圖更改密碼的次數(shù)。

? 密碼中存在數(shù)字的數(shù)量。

? 密碼的最大長(zhǎng)度和最小長(zhǎng)度。

? 密碼中存在的字符串大寫(xiě)字母和小寫(xiě)字母的最少數(shù)量。

? 密碼中出現(xiàn)的數(shù)字的最少數(shù)量。

? 口令不能重復(fù)的期限。

? 密碼中出現(xiàn)的特殊字符的最少數(shù)量。

? 與以前密碼之間至少有多少個(gè)字符不一樣。

? 創(chuàng)建的用戶(hù)名至少與其他用戶(hù)名有多少個(gè)字符的區(qū)別。

? 利用口令字典限制某些特定詞做口令。

? 禁止使用的用戶(hù)。

（4）文件的訪(fǎng)問(wèn)控制

S-NUMEN 允許已經(jīng)通過(guò)認(rèn)證的S-NUMEN 用戶(hù)或該組訪(fǎng)問(wèn)由S-NUMEN保護(hù)的文件。S-NUMEN 可以控制多達(dá)17種的系統(tǒng)調(diào)用，S-NUMEN將對(duì)照相應(yīng)的列表實(shí)現(xiàn)對(duì)用戶(hù)的控制。UNIX本身用戶(hù)對(duì)用戶(hù)、組成員、其他用戶(hù)擁有讀、寫(xiě)、刪除等控制權(quán)限，通過(guò)S-NUMEN 可以實(shí)現(xiàn)更強(qiáng)大的安全策略，由S-NUMEN 控制的文件，即使root用戶(hù)也不能對(duì)其進(jìn)行訪(fǎng)問(wèn)。 提供有條件的訪(fǎng)問(wèn)控制列表的方式對(duì)資源保護(hù)：

S-NUMEN 可根據(jù)用戶(hù)的需求，依據(jù)用戶(hù)、組、文件、任務(wù)、權(quán)限等配置安全策略，制定詳細(xì)的訪(fǎng)問(wèn)控制，可管理23個(gè)以上的系統(tǒng)調(diào)用，對(duì)文件、系統(tǒng)、進(jìn)程等系統(tǒng)資源進(jìn)行保護(hù)。并可防止由攻擊引起的對(duì)數(shù)據(jù)的篡改， 阻止非授權(quán)用戶(hù)中斷進(jìn)程和守護(hù)進(jìn)程，保障服務(wù)器的穩(wěn)定運(yùn)行。

限制訪(fǎng)問(wèn)資產(chǎn)的方式。：

按組、用戶(hù)、操作等分類(lèi)的多種訪(fǎng)問(wèn)控制功能。

（a）S-NUMEN 可以建立基于用戶(hù)的訪(fǎng)問(wèn)控制，可以根據(jù)業(yè)務(wù)及責(zé)任建立信息策略。 （b）S-NUMEN 可以建立基于Group的訪(fǎng)問(wèn)控制。

（c）多樣的Operation Control 功能(控制17個(gè)以上的 Permission)，控制17個(gè)以上的訪(fǎng)問(wèn)控制。

注釋?zhuān)簲?shù)據(jù)庫(kù)中最基本的單位是文件，實(shí)現(xiàn)對(duì)文件訪(fǎng)問(wèn)權(quán)限控制即可達(dá)到對(duì)數(shù)據(jù)庫(kù)的保護(hù)。