服务器安全：从“治标”到“治本”

baise_101

　　长期以来，网络安全界对基于网络应用的外部防范技术关注较多，而当前通过系统内核加固对用户信息的保密性、完整性、可靠性进行有效的保护，正在成为继应用层网络安全产品后，又一行之有效的技术手段。
　　
　　网络安全有局限：服务器是隐患
　　
　　现有主流的服务器操作系统管理员权限，具有至高无上的权力，可谓无所不能。他可操控整个系统，随意修改系统资源，如浏览、修改所有数据文件、格式化硬盘、终止重要进程、终止进程、修改注册表等。
　　
　　而这种权限在现有操作系统中极易被非法盗取，一旦落入非法用户或网络攻击者手中，对整个系统安全产生的威胁，后果不堪设想。所以服务器操作系统的安全越来越引起更多的关注。
　　
　　北京中航嘉信计算机信息技术有限公司推出的内核加固技术，通过对服务器的超级用户权限进行合理分散与适度制约，可以使万一出现的超级用户“大权旁落”的风险与破坏程度大大降低。中航嘉信公司副总经理艾奇伟表示，特别是就Internet上众多的信息泄露来自于企业内部这一现实而言，内核加固技术的实现具有重要意义。
　　
　　对于来自外部网络的攻击，当前常用的网络安全技术与工具主要有：防火墙技术、入侵检测系统技术（IDS）、漏洞扫描技术、VPN技术和防病毒技术等。艾奇伟认为这些工具对于服务器安全存在着一定的局限性。
　　
　　比如，号称“一夫当关，万夫莫开”的防火墙，在一定程度上简化了网络的安全管理，但网络入侵者可能寻找到某些防火墙背后可能敞开的后门，对于这种入侵者可能在防火墙内的网络内部攻击基本无法防范。
　　
　　“正是由于上述常用网络安全技术与工具存在的一些局限，所以构建由应用层网络安全产品与内核加固技术内外结合的立体网络系统防护体系，将成网络安全防护技术的一种发展趋势。”艾奇伟说，“内核加固技术作为应用层网络安全技术的一个坚强后备与补充，使企业网络中服务器的安全技术应用由‘治标’转入‘治本’成为可能。”
　　
　　现场访谈
　　
　　艾奇伟（中航嘉信副总经理、高级网络安全工程师，国家《信息系统安全保护等级》相关技术标准文件编写参与者）。
　　
　　记者：为什么贵公司将解决方案定在国家信息系统安全等级保护的第三级？
　　
　　艾奇伟：国家信息系统安全等级保护分为五级，第一、二、三级提出了整个等级保护的所有技术要求。从第四级开始便不再增加技术要求，而是针对这些技术要求的实现设计方法上，有了更严格的要求。
　　
　　因此，第三级是个分水岭，它包括了所有等级保护的技术要求，并且它在设计方法上也不是太过苛求，所以它是目前政府、企业，包括金融、电信等行业单位最适合的一种安全等级，而且它对应用的影响比较小。
　　
　　安全操作系统：起到“承上启下”的作用
　　
　　目前，网络安全市场以防火墙、IDS等应用层网络安全产品居多，中航嘉信独辟蹊径，在网络安全技术领域引入了针对操作系统安全的内核加固理念，并成功开发了内核加固安全模块产品。
　　
　　安全操作系统结构如下：
　　
　　安全操作系统=操作系统加固技术 普通操作系统
　　
　　这是基于操作系统加固技术（ROST）的安全操作系统。ROST是一项利用安全内核来提升操作系统安全等级的技术。这项技术的核心就是在操作系统的核心层重构操作系统的权限访问的模型，实现真正的强制访问控制，使操作系统达到国家信息系统安全等级保护标准体系中的第三等级的安全技术要求。
　　
　　ROST江西广告网�家信息系统安全等级保护标准体系中系统层面的解决方案，起到“承上启下”的作用，即可以很好地支持各种操作系统及硬件平台，也能对操作系统上层的各种现有的大型应用有很好的安全支撑作用�