本文件规定了主机安全加固系统的安全功能要求、安全保障要求和等级划分要求。
本文件适用于主机安全加固系统的设计、开发及测试。
一、概念
主机安全加固系统是在通用操作系统的基础上,通过对操作系统主客体进行安全标记、增加强制访问控制、完整性保护等技术手段,对操作系统进行安全功能增强,弥补通用操作系统安全性不高的缺陷,提高了操作系统的安全保护能力 。
主机安全加固系统一般采用服务器、客户端部署模式;服务器用于存储各种安全管理策略、管理数据和审计数据,并将安全管理策略下发到客户端,客户端安装在需要被加固的通用操作系统上,并执行安全功能。其保护的资产是操作系统,此外主机安全加固系统本身及其内部的重要数据也是受保护的资产。
主机安全加固系统安全技术要求分为安全功能要求和安全保障要求两类。
其中,安全功能要求是对主机安全加固系统应具备的安全功能提出具体要求,包括身份鉴别、安全标记、强制访问控制、安全审计、完整性保护、剩余资源保护、管理员安全管理、组件安全、审计日志管理;
安全保障要求针对主机安全 加固系统的开发和使用文档的内容提出具体的要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。
按照主机安全加固系统安全功能要求强度及GB/T 18336.3-2015,对主机安全加固系统安全等级进行划分。安全等级分为基本级和增强级,安全功能强弱和安全保障要求高低是等级划分的具体依据,安全等级突出安全特性。
二、“主机安全加固系统”产品概述
主机安全涉及到的各方面内容中,操作系统、网络系统、数据库管理系统的安全是主要问题,其中操作系统安全尤为关键。
操作系统是计算机资源的直接管理者,所有应用软件都是基于操作系统来运行的,不能保障操作系统安全,也就不能保障数据库安全、网络安全及其他应用软件的安全问题。因此构建一个安全级别高的操作系统,成为提高计算机信息系统安全性的重要手段。
主机安全加固系统是一款服务器安全内核保护系统,它不用更改操作系统就可以安装,操作方便。同时主机安全加固系统在操作系统的基础安全功能之上提供安全保护层,通过截取系统调用来实现对文件系统的访问控制,提高操作系统的安全性。
它具有完整的用户身份鉴别,访问权限控制、外设控制、完整性校验、日志审计的功能,并且采用集中式管理,克服了分布式系统在管理上的诸多问题。
产品设计理念
以白名单技术为基础,访问控制技术为核心,构建服务器操作系统安全防御体系。
访问控制是针对越权使用资源的防御措施,利用强制访问控制+自主访问控制双控制模型来限制访问主体(用户、进程)对访问客体(文件、目录、移动介质)的访问权限。
图 2产品设计理念
三、产品特点及优势
图 12 产品优势
1、先进的设计理念
以访问控制(强制访问控制+自主访问控制)为核心,构建服务器整体安全防御体系,实现“防失窃密”、“防系统破坏”、“确保系统可用”的安全目标。在系统原有自主访问控制的基础上,通过对重要的主体、客体进行安全标记,制定访问控制策略,实施强制访问控制严格控制用户行为。
2、恶意代码的主动防御
利用白名单技术,对可执行程序进行可信度量,实现对应用程序的严格控制,赋予服务器具备主动防御恶意代码的能力。
3、完善的外设控制机制
利用安全U盘和对普通U盘的严格权限控制,切断通过移动存储介质将恶意代码摆渡到工业控制网络的途径。
4、先进的管理模式
主机安全加固系统在部署后将集成于统一安全管理平台,利用安全管理平台实现对终端/服务器进行统一管理。统一安全管理平台采用三权分立的管理模式,将管理员分为系统管理员、安全管理员、审计管理员。产品对三个管理员的权限进行严格的分配和管理,授予其各自完成自己承担任务所需的最小权限。三个管理员之间相互制约,从而防止“超级用户”的形成。
5、足够的自身安全强度
主机安全加固系统具备“自我隐藏”的能力,避免成为黑客攻击的攻击目标,且访问控制策略均被严格保护,降低了策略被旁路的风险。
6、透明的安全应用支撑
提供对应用安全的防护,兼容现有系统的全部应用,安装和部署均不改变既有应用环境。
7、典型部署及应用
主机安全加固系统部署位置如下图所示,在工业控制系统内部每台关键服务器上部署主机安全加固系统客户端,在中心部署统一安全管理平台形成整体安全解决方案。不但可以联合工作,还支持单台服务器离线运行,形成针对网络孤岛设备的防护。
典型部署及应用
四、用户价值体现
满足国家、行业针对主机安全的政策法规和技术要求,提高了主机安全防护水平;
对服务器操作系统内关键程序文件、业务应用程序文件进行强制性保护。实现主动防御,以白名单技术为基础,利用访问控制技术为核心全面保障服务器安全,彻底免疫各种病毒、木马和黑客攻击行为;
从根本上解决了因操作系统自身漏洞带来的安全隐患;
拦截内、外网针对服务器的各类攻击,有效防止了利用内、外部用户权限为踏板而达到入侵服务器的行为。
