UNIX 主机安全管理系统

　　在不考虑物理防护和行政管理措施的情况下，信息系统的安全主要涉及两方面技术问题，即网络系统的安全和主机系统的安全。网络系统的安全主要针对来自信息系统外部的入侵与威胁。主机系统的安全主要针对信息系统内部用户的非授权行为和入侵，主要解决操作系统的安全、文件系统的安全、服务程序代理限制、服务器隔离、输出设备隔离、计算机进程及文件系统扫描、时间控制、审计与追踪、入侵检测与异常时间统计等。同时，信息安全技术还分为静态安全技术和动态安全技术。传统的信息安全技术主要集中在系统自身的静态加固和防护上，缺乏对安全威胁和安全现状的动态检测和响应，目前新兴的可适应安全模型则是一种动态的信息安全技术，它在整体的安全策略的控制和指导下，综合运用防护工具、动态检测工具了解和评估系统的安全状态，通过适当的反应调整系统的安全状态。可有效地增加信息系统的安全强度和响应时间。

　　根据涉密系统物理上与外部安全隔绝的特性，在内部网中的违规、违法、滥用者绝大部分都是拥有不同访问权限的内部合法用户。基于主机的信息安全防范理论和技术，主要针对操作系统及其网络的安全漏洞和弱点，研究可能的攻击方式和相应的防护策略，研究动态安全模型及其实现技术，很多主机系统都采用UNIX操作系统，在此基础上研究开发UNIX系统的安全检测管理软件。基本改变涉密信息系统的安全保密工作只依靠行政命令，而没有技术手段来保障的不利状态。

　　一、系统原型结构

　　1、系统设计目标

　　(1)访问控制：加强用户访问系统资源及服务时的安全控制，防止非法用户的入侵及合法用户的非法访问;

　　(2)实时监控：实时监控系统的运行状态，包括运行进程、系统设备、系统资源、网络服务等，判断在线用户的行为，禁止其非法操作;

　　(3)事后审计：对用户的行为进行跟踪，确保其对自己的行为负责;

　　(4)系统漏洞检测：检测主机系统的安全漏洞，防止因主机设置不当而带来的安全隐患。

　　2、系统设计原则

　　(1)系统自身的安全性：不能因为安全系统而带来新的安全漏洞，为此应有专门的自我校验模块;

　　(2)可降级使用性：安全系统自身的正常与否对主机的正常运行不能带来明显的影响，不能因为安全系统自身出错而导致目标应用系统瘫痪;

　　(3)对网络及主机系统性能的影响：对正常的网络通信不能带来明显的影响，对主机系统上原有的应用软件系统运行效率不能带来明显的影响;

　　(4)功能模块的可扩充性：由于在不同的条件下，运行的功能模块不尽相同，在进行主体设计时应充分考虑到模块的可扩充性;

　　(5)对操作系统版本的适应性：不能修改操作系统的内核程序，能较方便地移植到不同的UNIX操作系统上;

　　(6)系统安装和卸载的安全性：安装和卸载不能导致系统停机;

　　(7)用户使用的透明性：安装后用户使用时不需要额外的繁琐输入。

　　3、系统总体模块结构图

　　本安全系统的访问模式采用B/S结构，即安全管理员通过浏览器来进行访问。总体结构如图1所示。

　　图1系统总体结构图

　　图1 系统总体结构

　　4、模块说明

　　(1)用户接口(UI)：通过IE等浏览器，安全管理员进行安全策略管理;

　　(2)WEB服务器：为WWW服务端，通过CGI程序执行管理员通过浏览器发送的指令，将安全管理员的配置信息保存到数据库，执行安全管理员对数据库的管理、查询等操作，服务器的操作系统为Linux;

　　(3)数据库(DB)：原则上是Linux系统下的免费分布式数据库(MYSQL，POSTGRE)。数据库用来保存配置信息、各主机的用户记录、警告信息等数据;

　　(4)管理主体(MA)：与数据库在同一台主机，与在本机WEB服务器上运行的CGI程序通过socket连接，同时访问数据库，与各TSA通过socket通讯。接收CGI发送的配置修改，从数据库中得到修改的配置文件向TSA分发，接收TSA发送的数据、数据请求、报警，对收到的信息判断并进行相应处理;

　　(5)通信服务主体(TSA)：为代理端通讯模块，负责下层安全代理模块与Manager的通讯，对代理的Unix操作系统提供安全代理，启动各安全代理模块，为SSH及Unix网络信息安全模块提供环境信息 ，创建用户环境;

　　(6)安全SHELL(SSH)：为系统管理员及普通用户提供的安全SHELL，安全管理员在管理界面配置系统管理员的权限，shell得到此配置文件后限制系统管理员的操作行为，同时shell对系统管理员及普通用户的行为提供记录;

　　(7)UNIX系统分析及状态检测程序：包括UNIX文件系统分析及状态检测模块，UNIX用户账号状态检测模块，UNIX进程状态检测模块，安全策略检查模块，安全策略配置模块等;

　　(8)Unix改造命令：对UNIX系统的部分模块根据需要进行改进，象login、passwd模块等。

　　二、用户访问控制

　　图2 用户访问控制过程

　　安全管理系统引入权限列表加强对用户的管理、控制和审计，用户访问控制过程如图2所示

　　用户对主机的访问可通过网络和主机来访问，用户通过网络来访问时，网络服务认证模块判断用户的IP地址和访问控制，禁止非法的IP地址或者合法的IP地址非法时间段访问。

　　用户通过网络服务认证模块或通过本机访问时，需通过强化后的用户认证模块。主机操作系统对用户认证是通过用户输入用户名和口令，校验其正确性来完成，不同的主机系统此部分功能不尽相同，用户认证模块加强并统一了认证过程，增加用户用机时间段的控制。

　　用户操作控制模块在用户进入系统以后，根据用户所做的操作和用户的权限列表，判断用户所做的操作是否合法，禁止用户作不允许的操作。

　　三、基于策略的安全管理系统

　　安全管理系统以多级安全策略为核心。安全管理员的管理界面是策略管理界面，安全策略是为了描述系统的安全需要而制定的对用户行为进行约束的一整套严谨的规则，此规则规定系统中所有授权的访问，是实施访问控制的基础，系统遵循一定的安全策略设计，它的安全性首先取决于安全策略，其次依赖于实现这一策略的机制。

　　多级安全的概念始于60年代，是军事安全的数学描述，用计算机可实现的方式定义。多级安全计算机系统是遵循多级安全策略而设计的，它提供了控制敏感信息泄漏的强有力的机制。在系统中，将用户和代表用户进行操作的进程称为主体，它是使信息在客体间流动的一种实体。将文件、存储器段等称为客体，客体是一种信息实体，或者他们是从其它主体或客体接收信息的实体。主体也可以当作客体处理。在多级安全计算机系统中，每一个主体和客体都有一个安全级，客体的安全级表示该客体所包含的信息的敏感程度，主体的安全级表示该主体被信任的程度。安全管理系统通过设置各主体及客体的权限，实现多级安全策略，针对目前主机系统仅提供身份鉴别，自主访问控制和审计等安全措施，引入强制访问控制机制。

　　在安全管理系统中，主体和客体的种类繁多，为便于管理，安全管理系统可以通过策略模板来生成策略配置信息。策略模版根据各主机的功能侧重点不同，如对文件服务器、WWW服务器等侧重于网络安全策略配置;对工程计算侧重于用户管理、进程管理和文件管理等。同时策略模板对相同功能主机提供不同的安全等级的策略配置信息。在生成策略配置信息后，安全管理员可根据具体需要，修改策略配置，使安全策略更加适应不同需求。

　　四、开发平台和工具

　　本主机安全防护管理软件是一种分布式系统体系结构，因此根据其驻留位置和环境的不同、用户操作使用界面的不同、性能要求和界面要求的不同等，在不同的部件上采用了不同的开发工具。

　　对于控制台软件，由于其使用对象主要为安全管理员和系统管理员，且应支持网络上的监控和审计查询，对人机界面友好性要求较高，对性能要求并不是很高。因此可以选用普通PC作为运行平台，WINDOWS操作系统为系统支撑平台，选用IE浏览器为图形人机界面，选用PHP为编程开发工具。

　　对于管理器系统，由于其主要是后台运行形式，对人机界面无直接要求，对性能和可靠性有一定的要求，并需满足7×24的长期持续运行要求，为了安全保护起见，需与被监控主机分离。因此可以选用工控级PC机为运行平台，选用LINUX操作系统为系统支撑平台，选用MYSQL为数据库管理平台，选用PHP为数据库编程语言工具。

　　对于被控的UNIX系统上驻留的通讯服务代理程序和安全功能检测与控制程序，由于其运行形式主要为自动或后台启动，无人机交互操作，对人机界面无直接要求，但对可靠性和性能要求较高，对防止黑客从内部攻击的要求比较高。因此我们选用C语言为开发语言，内部进程间通讯使用SOCKET技术，计算机之间使用带加密身份认证的鉴别技术。

　　由于采用这种分布式体系结构，既解决了涉密内网中高密级信息系统管理时严格要求的权限限制、职责分离的问题，又方便了大型信息中心中多服务器群的集中管理问题，为组织的系统分析、安全审计和报告生成等提供了方便的手段。

　　该原型它采用了两种不同的计算机安全技术。它不仅搜寻可疑行为，还搜寻可疑特征。也就是，第一，它象其他检测系统一样，通过分析系统的审计数据以获得可疑行为的证据;第二，它还分析目标系统的状态以获得标示脆弱配置的特征，或已发生误用的其他证据。因此，它具有静态检测与动态监测相结合，实时检测与历史检测相结合，用户审计与系统状态分析相结合等特点。以该原型为基础的安全管理系统特别适用于政府机关、银行、证券、国防科研院所等行业。使用该系统可有效地保护涉密主机及其涉密信息，并可有效地监控、管理和规范用户的行为。(作者单位 中国工程物理研究院计算机应用研究所)