長期以來信息安全對基于網(wǎng)絡(luò)應(yīng)用的外部防范技術(shù)關(guān)注較多，而通過系統(tǒng)內(nèi)核加固技術(shù)對內(nèi)網(wǎng)核心系統(tǒng)進(jìn)行有效的保護(hù)，筑起數(shù)據(jù)安全的最后一道防線，正在成為繼網(wǎng)絡(luò)層應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品后已成為信息安全產(chǎn)品的發(fā)展趨勢。

二、 安全產(chǎn)品的局限性

由于互聯(lián)網(wǎng)應(yīng)用的不斷延伸，使得信息環(huán)境以及信息技術(shù)能夠快速發(fā)展和層出不窮。 隨著互聯(lián)網(wǎng)環(huán)境的不斷變化，信息安全產(chǎn)品和服務(wù)一定要保證開放式網(wǎng)絡(luò)環(huán)境的安全。信息安全產(chǎn)品的發(fā)展也在適應(yīng)著網(wǎng)絡(luò)發(fā)展的需要，單純的網(wǎng)絡(luò)級安全產(chǎn)品已經(jīng)不能適應(yīng)日益復(fù)雜的網(wǎng)絡(luò)安全需要。信息安全產(chǎn)品已經(jīng)逐步的從被動的防止攻擊，保護(hù)系統(tǒng)和網(wǎng)絡(luò)不被入侵，發(fā)展到能夠主動檢測并防御系統(tǒng)和網(wǎng)絡(luò)本身的信息安全產(chǎn)品。

新的發(fā)展趨勢表明，越來越多的公司和機(jī)構(gòu)把安全的中心轉(zhuǎn)移到核心系統(tǒng)安全上來，這些服務(wù)器中存儲了信息數(shù)據(jù)，因為信息安全的核心目的是保護(hù)服務(wù)器中的重要數(shù)據(jù)不被入侵和數(shù)據(jù)竊取。

Firewall的局限性：

? 只保護(hù)通過防火墻的通訊，而不是保護(hù)系統(tǒng) ? 無法應(yīng)對利用應(yīng)用程序漏洞進(jìn)行的攻擊 ? 無法阻止內(nèi)部人員的攻擊

? 對防火墻策略不能進(jìn)行合理的配置

Host IDS的局限性：

? 進(jìn)行檢測沒有主動防御的功能

? 只有已知的攻擊可以被檢測

? 無法保護(hù)審計日志

? 無法對自身進(jìn)行保護(hù)

Network IDS的局限性：

? 只有已知攻擊可以被檢測

? 高誤報率使管理員無法應(yīng)對

? 使用迂回的方法躲避入侵檢測系統(tǒng)

? 只是對網(wǎng)絡(luò)的檢測，沒有保護(hù)網(wǎng)絡(luò)和系統(tǒng)的功能

三、 產(chǎn)品概述

內(nèi)網(wǎng)核心安全最佳解決方案：

操作系統(tǒng)作為計算機(jī)系統(tǒng)的基礎(chǔ)軟件是用來管理計算機(jī)資源，它直接利用計算機(jī)硬件并為用戶提供使用和編程接口。各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺之上，上層的應(yīng)用軟件要想獲得運行的高可用性和信息的完整性、機(jī)密性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各系統(tǒng)的安全性，而系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安全也毫無根基可言。

所以，操作系統(tǒng)安全是計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)。而服務(wù)器及其上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標(biāo)。因此，部署安全產(chǎn)品，加強(qiáng)對關(guān)鍵服務(wù)器的安全控制，是增強(qiáng)系統(tǒng)總體安全性的核心一環(huán)。

S-NUMEN是國內(nèi)一家自主知識產(chǎn)權(quán)支持跨平臺的系統(tǒng)保護(hù)（安全操作系統(tǒng)）產(chǎn)品，它在操作系統(tǒng)的安全功能之上提供了一個安全保護(hù)層，通過從內(nèi)核層截取文件訪問控制方式，加強(qiáng)操作系統(tǒng)安全性。S-NUMEN支持IBM AIX、HP-UX、Solaris、Compaq Tru64以及RedHat Linux和Windows NT多種系統(tǒng)。即使一個未經(jīng)授權(quán)的入侵者獲得系統(tǒng)管理員權(quán)限，他也不能對系統(tǒng)及數(shù)據(jù)進(jìn)行竊取或篡改，從而在根本上防止由于操作系統(tǒng)自身缺陷所造成的入侵。

百度搜索：99建筑網(wǎng),查看數(shù)百萬資料
四、技術(shù)原理

信達(dá)的S-NUMEN作為操作系統(tǒng)級系統(tǒng)保護(hù)產(chǎn)品，是在不改變操作系統(tǒng)內(nèi)核的情況下，對核心服務(wù)器進(jìn)行保護(hù)。

S-NUMEN工作原理如下：

Unix操作系統(tǒng)有一個系統(tǒng)調(diào)用表，包含指向每個系統(tǒng)調(diào)用的內(nèi)存地址的指針。應(yīng)用程序?qū)�資源的訪問、對硬件設(shè)備的使用、進(jìn)程間的通訊都是通過系統(tǒng)調(diào)用接口在操作系統(tǒng)內(nèi)核中實現(xiàn)的。安全內(nèi)核保存了該表中與安全有關(guān)的系統(tǒng)調(diào)用的指針，并把這些系統(tǒng)調(diào)用重定向到S-NUMEN的相應(yīng)代碼。當(dāng)用戶或程序執(zhí)行一個與安全有關(guān)的系統(tǒng)調(diào)用時，S-NUMEN系統(tǒng)調(diào)用代碼會檢查S-NUMEN數(shù)據(jù)庫。如果調(diào)用是被授權(quán)的，S-NUMEN調(diào)用原來的Unix系統(tǒng)調(diào)用，就像S-NUMEN沒有安裝一樣。否則，安全內(nèi)核返回權(quán)限錯誤，禁止該請求。

這種實現(xiàn)方式與應(yīng)用級的安全產(chǎn)品比較有著明顯的優(yōu)勢。系統(tǒng)入侵檢測產(chǎn)品作為應(yīng)用層產(chǎn)品出于本身安全性考慮以及功能上無法到達(dá)系統(tǒng)保護(hù)的功能。網(wǎng)絡(luò)級入侵檢測產(chǎn)品和防火墻作為網(wǎng)絡(luò)級安全產(chǎn)品從技術(shù)原理上講不具備內(nèi)網(wǎng)核心安全的要求。

同時，S-NUMEN產(chǎn)品與其他系統(tǒng)保護(hù)產(chǎn)品的優(yōu)勢在于它不需要修改操作系統(tǒng)內(nèi)核并且無需重啟系統(tǒng)，這種方式完全滿足現(xiàn)有高端服務(wù)器的要求。而其它系統(tǒng)保護(hù)產(chǎn)品不但使系統(tǒng)管理和支持復(fù)雜了，也會違背操作系統(tǒng)的供應(yīng)商授權(quán)-使操作系統(tǒng)維護(hù)更困難，增加了巨大的開支。

五、產(chǎn)品特征

1．實現(xiàn)內(nèi)網(wǎng)核心安全

當(dāng)防火墻、入侵檢測、VPN等網(wǎng)絡(luò)級安全產(chǎn)品不能滿足日益受到威脅的內(nèi)網(wǎng)核心安全時，S-NUMEN作為系統(tǒng)級系統(tǒng)保護(hù)產(chǎn)品可以保證內(nèi)網(wǎng)核心服務(wù)器的安全。由于來自于內(nèi)部外部的網(wǎng)絡(luò)入侵事件頻頻發(fā)生，企業(yè)的網(wǎng)絡(luò)和其他重要的服務(wù)器前所未有地暴露在黑客及非授權(quán)內(nèi)部人員的侵入和攻擊的威脅下。S-NUMEN能夠防止非授權(quán)的訪問，使內(nèi)網(wǎng)核心服務(wù)器安全運行。

2．基于數(shù)字簽名的用戶認(rèn)證

大部分信息系統(tǒng)使用ID和口令保護(hù)自身安全。但是單獨的口令不能帶來充分的保護(hù)，它們很容易被共享和猜出來。有時候，口令會遭到野蠻攻擊和詞典攻擊。S-NUMEN利用數(shù)字簽名證書機(jī)制保證了用戶身份識別的可靠性。

3．不修改操作系統(tǒng)內(nèi)核，無需重啟系統(tǒng)

S-NUMEN是系統(tǒng)級安全產(chǎn)品，在加強(qiáng)操作系統(tǒng)安全的同時，并不對系統(tǒng)的內(nèi)核進(jìn)行修改，從而保證了關(guān)鍵業(yè)務(wù)服務(wù)器的穩(wěn)定運行。除此之外，在服務(wù)器安裝S-NUMEN后，系統(tǒng)無需重啟，避免了服務(wù)器重啟所產(chǎn)生的不必要損失。

4．提升現(xiàn)有操作系統(tǒng)的安全級別

WINDOWS、UNIX系統(tǒng)大多為C2級，采用自主存取控制機(jī)制。安全性更高的B1級采用強(qiáng)制存取控制機(jī)制，強(qiáng)制存取控制(MAC) 提供了基于信息機(jī)密性的存取控制方法，用于將系統(tǒng)中的用戶和信息進(jìn)行分級別、分類別管理，強(qiáng)制限制信息的共享和流動，使不同級別和類別的用戶只能訪問到與其有關(guān)的、指定范圍的信息，從根本上防止信息的丟失泄密和訪問混亂現(xiàn)象。尤其適用于軍事、政府重要部門和金融、電力領(lǐng)域。

5．跨平臺支持功能

S-NUMEN是國內(nèi)第一家自主知識產(chǎn)權(quán)支持跨平臺的系統(tǒng)保護(hù)（安全操作系統(tǒng)）產(chǎn)品，S-NUMEN能夠提升每個系統(tǒng)的安全性，以滿足整個業(yè)務(wù)的安全需求。S-NUMEN支持包括UNIX、

Linux和Windows在內(nèi)的多種平臺。

6．權(quán)限分離

操作系統(tǒng)訪問控制以及操作系統(tǒng)漏洞的最佳策略是任務(wù)分離和最小權(quán)限原則。 S-NUMEN通過RBAC（角色訪問控制）、MAC（強(qiáng)制訪問控制）將安全管理員的權(quán)限分離。嚴(yán)格分開系統(tǒng)管理員和安全管理員的權(quán)限，以控制系統(tǒng)管理員的權(quán)限，來防止內(nèi)外人員通過非法獲得系統(tǒng)管理員權(quán)限破壞文件系統(tǒng)信息。

7．堆棧溢出保護(hù)

S-NUMEN能夠防止黑客利用堆棧溢出的機(jī)會，從而可以阻止黑客執(zhí)行任意指令、侵入系統(tǒng)。

六、產(chǎn)品功能

（1）數(shù)字簽名認(rèn)證機(jī)制

為了達(dá)到內(nèi)網(wǎng)核心安全的目的，S-NUMEN采用了數(shù)字簽名證書為基礎(chǔ)并結(jié)合訪問控制的技術(shù)。當(dāng)安全內(nèi)核安裝后，沒有通過數(shù)字簽名證書認(rèn)證的用戶，即使獲得了管理員權(quán)限，也不能訪問被安全內(nèi)核保護(hù)的資源。

S-NUMEN通過接管系統(tǒng)所有訪問控制權(quán)限，實際上取消了“超級用戶”（root）權(quán)限，通過使用數(shù)字簽名證書認(rèn)證機(jī)制，達(dá)到用戶認(rèn)證目的。用戶或者其他非法入侵者即使獲得了超級用戶口令也無法訪問系統(tǒng)重要資源。

對系統(tǒng)管理員或用戶頒發(fā)數(shù)字簽名證書，通過基于操作系統(tǒng)內(nèi)核級的認(rèn)證機(jī)制完成用戶登錄過程。

（2）帳號管理

S-NUMEN提供遠(yuǎn)程站點的unix用戶帳戶及組管理功能。S-NUMEN在內(nèi)核層基于證書進(jìn)行認(rèn)證，提高安全強(qiáng)度，所以為控制安全管理員配置的文件要用安全管理員發(fā)行的證書得到認(rèn)證。

（3）口令質(zhì)量控制

S-NUMEN為管理員提供了口令質(zhì)量控制的功能，管理員可以利用這項功能實現(xiàn)密碼的質(zhì)量控制，如：設(shè)置密碼的最大長度和最小長度，密碼中出現(xiàn)的特殊字符的最少數(shù)量，當(dāng)口令更改后，該密碼的使用期限等。通過S-NUMEN與系統(tǒng)結(jié)合，S-NUMEN提供了對用戶登錄口令的管理，S-NUMEN 將口令質(zhì)量控制分為兩部分：密碼更改期限&密碼登錄限制和密碼格式。 這些口令質(zhì)量控制規(guī)則如下：

? 一旦口令被更改，那么該口令將在多少時間內(nèi)不允許再次更改。

? 當(dāng)口令更改后，該密碼的使用期限。

? 該帳戶被注銷的期限。

? 帳戶距注銷時間還剩多少時對該用戶進(jìn)行通知。

? 試圖更改密碼的次數(shù)。

? 密碼中存在數(shù)字的數(shù)量。

? 密碼的最大長度和最小長度。

? 密碼中存在的字符串大寫字母和小寫字母的最少數(shù)量。

? 密碼中出現(xiàn)的數(shù)字的最少數(shù)量。

? 口令不能重復(fù)的期限。

? 密碼中出現(xiàn)的特殊字符的最少數(shù)量。

? 與以前密碼之間至少有多少個字符不一樣。

? 創(chuàng)建的用戶名至少與其他用戶名有多少個字符的區(qū)別。

? 利用口令字典限制某些特定詞做口令。

? 禁止使用的用戶。

（4）文件的訪問控制

S-NUMEN 允許已經(jīng)通過認(rèn)證的S-NUMEN 用戶或該組訪問由S-NUMEN保護(hù)的文件。S-NUMEN 可以控制多達(dá)17種的系統(tǒng)調(diào)用，S-NUMEN將對照相應(yīng)的列表實現(xiàn)對用戶的控制。UNIX本身用戶對用戶、組成員、其他用戶擁有讀、寫、刪除等控制權(quán)限，通過S-NUMEN 可以實現(xiàn)更強(qiáng)大的安全策略，由S-NUMEN 控制的文件，即使root用戶也不能對其進(jìn)行訪問。 提供有條件的訪問控制列表的方式對資源保護(hù)：

S-NUMEN 可根據(jù)用戶的需求，依據(jù)用戶、組、文件、任務(wù)、權(quán)限等配置安全策略，制定詳細(xì)的訪問控制，可管理23個以上的系統(tǒng)調(diào)用，對文件、系統(tǒng)、進(jìn)程等系統(tǒng)資源進(jìn)行保護(hù)。并可防止由攻擊引起的對數(shù)據(jù)的篡改， 阻止非授權(quán)用戶中斷進(jìn)程和守護(hù)進(jìn)程，保障服務(wù)器的穩(wěn)定運行。

限制訪問資產(chǎn)的方式。：

按組、用戶、操作等分類的多種訪問控制功能。

（a）S-NUMEN 可以建立基于用戶的訪問控制，可以根據(jù)業(yè)務(wù)及責(zé)任建立信息策略。 （b）S-NUMEN 可以建立基于Group的訪問控制。

（c）多樣的Operation Control 功能(控制17個以上的 Permission)，控制17個以上的訪問控制。

注釋：數(shù)據(jù)庫中最基本的單位是文件，實現(xiàn)對文件訪問權(quán)限控制即可達(dá)到對數(shù)據(jù)庫的保護(hù)。