?

技術領域

本發明涉及一種服務器系統安全領域，具體地說是一種基于服務器層的安全加固策略。

背景技術

現在的信息化架構基本分四部份，基礎設施（服務器、存儲等）->安全管理（網絡、數據等）->網絡設備管理（路由器、交換機等）->應用程序（Email、辦公等）。大部分的建設資金都投向了基礎設施和應用兩方面，而對于安全管理的投入明顯不足。僅有安全投入也集中在了網絡邊界安全以及PC終端安全兩方面，從各大公司不斷發生的數據泄漏可以看出，這樣做并不能保證數據的安全。

當我們一直把目光放在網絡邊界和PC終端的安全防護上時，卻忽略了一個重點問題，不論攻擊源從何處而來，它們的目標是一致的，那就是承載了信息業務的終端服務器。不僅僅要做網絡邊界和PC終端的安全防護，服務器的安全防護同樣也是重中之重，只有從前端到后端的安全防護都做好，才能真正的保護信息數據的安全性。

傳統的安全防護策略，基本上分為防火墻和殺毒軟件兩種，防火墻是一種硬件層的防護，而殺毒軟件更多的作用在于對已產生的安全問題進行處理。現有技術中還沒有針對服務器系統軟件核心層的防護。

發明內容　　

　　本發明的技術任務是提供一種針對服務器系統軟件核心層進行的一種安全加固防護策略，增強服務器層的安全保護的一種基于服務器層的安全加固策略。

本發明的技術任務是按以下方式實現的，服務器系統采用Linux系統，對服務器系統的危險事件分別做事前防護、事中防護、事后防護，逐層的對服務器系統進行加固；事前防護是通過管理員認證機制、文件安全保護機制、進程和服務安全保護機制對服務器系統的核心進行加固；事中防護依靠監測機制來進行檢測，監測機制在危險事件發生時能夠及時的探測到危險；事后防護是通過審計機制對整個危險事件的審計過程，通過追源回溯去查找危險事件所產生的原因與經過。

事前防護中，

一、管理員認證機制包括：（1）、設定root密碼，保證密碼強度；（2）、使用特定的硬件USB-KEY驗證；（3）、在服務器系統的passwd文件中標識可接入操作的客戶端，passwd驗證通過方可連接；（4）、禁止root用戶遠程登錄。

二、文件安全保護機制包括：（1）、文件目錄權限設置，調用前驗證所在用戶、組的權限；（2）、對/kernel下文件增加不可更改特殊屬性，防止root誤操作造成關鍵文件損壞；（3）、禁止/etc/rc.d/下不需要運行的腳本，減少安全漏洞；（4）、非root用戶禁用CDROM，禁止mount可移動文件系統；（5）、日志文件只能寫入、讀取，不可刪除；（6）、設置可信主機列表/etc/hosts.allow、非可信主機列表/etc/hosts.deny；（7）、減小history記錄值，用戶退出后刪除history紀錄。

三、進程和服務安全保護機制包括：（1）、由root指定可信進程，對指定的進程進行安全保護；非root用戶對可信進程進行的操作都將被拒絕，系統記錄行為實施者的MARK地址及日志信息；（2）、由root指定所使用的服務，系統保護所指定的服務，對所有系統可信服務執行的非安全操作將被拒絕，并將操作發出端的MARK地址記錄入日志；（3）、設定新的服務開啟權限，只有root擁有添加開啟服務的權限；（4）、取消所有不需要的服務；將服務除基本服務之外全部關閉，然后依次打開所需要使用的服務。

事前防護中，管理員認證機制步驟流程為：（1）、管理員認證；（2）、對登錄方式驗證，禁止root用戶遠程登錄，遠程登錄的退出，非遠程登錄的通過進入下一步驟；（3）、進行硬件USB-KEY驗證，未通過則退出，通過則進入下一步驟；（4）、passwd驗證客戶端是否為預先設置的可接入的客戶端，未通過則退出，通過則可進入下一步驟；（5）進入服務器系統管理。

事中防護中，監測機制包括：（1）、端口監測：監測服務器，發現對服務器進行端口掃描的主機，將其加入非可信列表，并記錄危險日志；（2）、登陸超時監測：設置TIMEOUT值，在用戶登錄后開始計時，超過TIMEOUT值的時間沒有動作，則自動注銷用戶登錄；（3）、進程監測：對系統中的進程進行監測，對修改或影響系統配置文件或系統關鍵文件的進程進行日志記錄。