本發明專利技術公開了一種基于服務器層的安全加固策略,屬于服務器系統安全領域,服務器系統采用Linux系統,對服務器系統的危險事件分別做事前防護、事中防護、事后防護,逐層的對服務器系統進行加固;事前防護是通過管理員認證機制、文件安全保護機制、進程和服務安全保護機制對服務器系統的核心進行加固;事中防護依靠監測機制來進行檢測,監測機制在危險事件發生時能夠及時的探測到危險;事后防護是通過審計機制對整個危險事件的審計過程,通過追源回溯去查找危險事件所產生的原因與經過。本發明專利技術的一種基于服務器層的安全加固策略,針對服務器系統軟件核心層進行的一種安全加固防護策略,增強服務器層的安全保護。
【技術實現步驟摘要】
本專利技術涉及一種服務器系統安全領域,具體地說是一種基于服務器層的安全加固策略。
技術介紹
現在的信息化架構基本分四部份,基礎設施(服務器、存儲等)-> 安全管理(網絡、數據等)_>網絡設備管理(路由器、交換機等)_>應用程序(Email、辦公等)。大部分的建設資金都投向了基礎設施和應用兩方面,而對于安全管理的投入明顯不足。僅有安全投入也集中在了網絡邊界安全以及PC終端安全兩方面,從各大公司不斷發生的數據泄漏可以看出,這樣做并不能保證數據的安全。當我們一直把目光放在網絡邊界和PC終端的安全防護上時,卻忽略了一個重點問題,不論攻擊源從何處而來,它們的目標是一致的,那就是承載了信息業務的終端服務器。不僅僅要做網絡邊界和PC終端的安全防護,服務器的安全防護同樣也是重中之重,只有從前端到后端的安全防護都做好,才能真正的保護信息數據的安全性。傳統的安全防護策略,基本上分為防火墻和殺毒軟件兩種,防火墻是一種硬件層的防護,而殺毒軟件更多的作用在于對已產生的安全問題進行處理。現有技術中還沒有針對服務器系統軟件核心層的防護。
技術實現思路
本專利技術的技術任務是提供一種針對服務器系統軟件核心層進行的一種安全加固防護策略,增強服務器層的安全保護的一種基于服務器層的安全加固策略。本專利技術的技術任務是按以下方式實現的,服務器系統采用Linux系統,對服務器系統的危險事件分別做事前防護、事中防護、事后防護,逐層的對服務器系統進行加固;事前防護是通過管理員認證機制、文件安全保護機制、進程和服務安全保護機制對服務器系統的核心進行加固;事中防護依靠監測機制來進行檢測,監測機制在危險事件發生時能夠及時的探測到危險;事后防護是通過審計機制對整個危險事件的審計過程,通過追源回溯去查找危險事件所產生的原因與經過。事前防護中, 一、管理員認證機制包括(1)、設定root密碼,保證密碼強度;(2)、使用特定的硬件USB-KEY驗證;(3)、在服務器系統的passwd文件中標識可接入操作的客戶端,passwd驗證通過方可連接;(4)、禁止root用戶遠程登錄。二、文件安全保護機制包括 (I)、文件目錄權限設置,調用前驗證所在用戶、組的權限;(2)、對/kernel下文件增加不可更改特殊屬性,防止root誤操作造成關鍵文件損壞;(3)、禁止/etc/rc. d/下不需要運行的腳本,減少安全漏洞;(4)、非root用戶禁用⑶R0M,禁止mount可移動文件系統;(5)、日志文件只能寫入、讀取,不可刪除;(6)、設置可信主機列表/etc/hosts, allow、非可信主機列表/etc/hosts, deny ; (7)、減小history記錄值,用戶退出后刪除history紀錄。三、進程和服務安全保護機制包括(I)、由root指定可信進程,對指定的進程進行安全保護;非root用戶對可信進程進行的操作都將被拒絕,系統記錄行為實施者的MARK地址及日志信息;(2)、由root指定所使用的服務,系統保護所指定的服務,對所有系統可信服務執行的非安全操作將被拒絕,并將操作發出端的MARK地址記錄入日志;(3)、設定新的服務開啟權限,只有root擁有添加開啟服務的權限;(4)、取消所有不需要的服務;將服務除基本服務之外全部關閉,然后依次打開所需要使用的服務。事前防護中,管理員認證機制步驟流程為(1)、管理員認證;(2)、對登錄方式驗證,禁止root用戶遠程登錄,遠程登錄的退出,非遠程登錄的通過進入下一步驟;(3)、進行硬件USB-KEY驗證,未通過則退出,通過則進入下一步驟;(4)、passWd驗證客戶端是否為預先設置的可接入的客戶端,未通過則退出,通過則可進入下一步驟;(5)進入服務器系統管理。事中防護中,監測機制包括(1)、端口監測監測服務器,發現對服務器進行端口掃描的主機,將其加入非可信列表,并記錄危險日志;(2)、登陸超時監測設置I1ME0UT值,在用戶登錄后開始計時,超過HME0UT值的時間沒有動作,則自動注銷用戶登錄;(3)、進程監測對系統中的進程進行監測,對修改或影響系統配置文件或系統關鍵文件的進程進行日志記錄。事后防護中,審計機制包括(I)、建立審計系統,添加審計規則和觀察器收集危險數據,以便生成審計報表和搜索日志;(2)、匯總端口檢測、進程監測以及超時監測的日志,對危險日志記錄進行分類,生成審計日志;(3)、分析審計產生的報表和日志,對系統中潛存的不安全因素進行修正。本專利技術的一種基于服務器層的安全加固策略具有以下優點這是一種針對系統軟件核心層的防護,它比殺毒軟件的粒度更細,堵塞的是系統中不安全因素產生的源頭;比防火墻更能節能資源與成本,它是針對Linux系統所遺留的安全缺陷問題的一系列的安全修正策略。因而,具有很好的推廣使用價值。附圖說明下面結合附圖對本專利技術進一步說明。附圖1為一種基于服務器層的安全加固策略的框附圖2為一種基于服務器層的安全加固策略的管理員認證機制的流程圖。具體實施例方式參照說明書附圖和具體實施例對本專利技術的一種基于服務器層的安全加固策略作以下詳細地說明。實施例 本專利技術的一種基于服務器層的安全加固策略,服務器系統采用Linux系統,對服務器系統的危險事件分別做事前防護、事中防護、事后防護,逐層的對服務器系統進行加固;事前防護是通過管理員認證機制、文件安全保護機制、進程和服務安全保護機制對服務器系統的核心進行加固;事中防護依靠監測機制來進行檢測,監測機制在危險事件發生時能夠及時的探測到危險;事后防護是通過審計機制對整個危險事件的審計過程,通過追源回溯去查找危險事件所產生的原因與經過。事前防護中, 一、管理員認證機制包括(1)、設定root密碼,保證密碼強度;(2)、使用特定的硬件USB-KEY驗證;(3)、在服務器系統的passwd文件中標識可接入操作的客戶端,passwd驗證通過方可連接;(4)、禁止root用戶遠程登錄。二、文件安全保護機制包括(I)、文件目錄權限設置,調用前驗證所在用戶、組的權限;(2)、對/kernel下文件增加不可更改特殊屬性,防止root誤操作造成關鍵文件損壞;(3)、禁止/etc/rc. d/下不需要運行的腳本,減少安全漏洞;(4)、非root用戶禁用⑶R0M,禁止mount可移動文件系統;(5)、日志文件只能寫入、讀取,不可刪除;(6)、設置可信主機列表/etc/hosts, allow、非可信主機列表/etc/hosts, deny ; (7)、減小history記錄值,用戶退出后刪除history紀錄。三、進程和服務安全保護機制包括(I)、由root指定可信進程,對指定的進程進行安全保護;非root用戶對可信進程進行的操作都將被拒絕,系統記錄行為實施者的MARK地址及日志信息;(2)、由root指定所使用的服務,系統保護所指定的服務,對所有系統可信服務執行的非安全操作將被拒絕,并將操作發出端的MARK地址記錄入日志;(3)、設定新的服務開啟權限,只有root擁有添加開啟服務的權限;(4)、取消所有不需要的服務;將服務除基本服務之外全部關閉,然后依次打開所需要使用的服務。事前防護中,管理員認證機制步驟流程為(1)、管理員認證;(2)、對登錄方式驗證,禁止root用戶遠程登錄本文檔來自技高網...
【技術保護點】
一種基于服務器層的安全加固策略,其特征在于服務器系統采用Linux系統,對服務器系統的危險事件分別做事前防護、事中防護、事后防護,逐層的對服務器系統進行加固;事前防護是通過管理員認證機制、文件安全保護機制、進程和服務安全保護機制對服務器系統的核心進行加固;事中防護依靠監測機制來進行檢測,監測機制在危險事件發生時能夠及時的探測到危險;事后防護是通過審計機制對整個危險事件的審計過程,通過追源回溯去查找危險事件所產生的原因與經過。
【技術特征摘要】
1.一種基于服務器層的安全加固策略,其特征在于服務器系統采用Linux系統,對服務器系統的危險事件分別做事前防護、事中防護、事后防護,逐層的對服務器系統進行加固;事前防護是通過管理員認證機制、文件安全保護機制、進程和服務安全保護機制對服務器系統的核心進行加固;事中防護依靠監測機制來進行檢測,監測機制在危險事件發生時能夠及時的探測到危險;事后防護是通過審計機制對整個危險事件的審計過程,通過追源回溯去查找危險事件所產生的原因與經過。2.根據權利要求1所述的一種基于服務器層的安全加固策略,其特征在于事前防護中, 管理員認證機制包括(I)、設定root密碼,保證密碼強度;(2)、使用硬件USB-KEY驗證;(3)、在服務器系統的passwd文件中標識可接入操作的客戶端,passwd驗證通過方可連接;(4)、禁止root用戶遠程登錄; 文件安全保護機制包括(1)、文件目錄權限設置,調用前驗證所在用戶、組的權限;(2)、對/kernel下文件增加不可更改特殊屬性,防止root誤操作造成關鍵文件損壞;(3)、禁止/etc/rc. d/下不需要運行的腳本,減少安全漏洞;(4)、非root用戶禁用⑶ROM,禁止mount可移動文件系統;(5)、日志文件只能寫入、讀取,不可刪除;(6)、設置可信主機列表/etc/hosts, allow、非可信主機列表/etc/hosts, deny ; (7)、減小history記錄值,用戶退出后刪除history紀錄; 進程和服務安全保護機制包括(I )、由root指定可信進程,對指定的進程進行安全保護;#root用戶對可信進程進行的操作都將被拒絕,系統記錄行為實施者的MARK地址及日志信息;(2...
【專利技術屬性】
技術研發人員:梁吉林,
申請(專利權)人:浪潮電子信息產業股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。