服务相关解决方案
咨询热线:
在线联系:
Linux/Unix主机内控安全
 |
|
| 适用群体: | |
| 需求特点: | |
| 相关方案: | |
| 我要咨询 | |
概述
功能
运行环境
客户见证
产品名称:Linux/Unix主机内控安全解决方案
产品描述:通常情况下,原生的 UNIX /Linux操作系统特性不能满足或达到萨班斯法案(SOX)合规性的要求。在没有细粒度授权控制的原生系统环境下,即便是最简单的管理任务都需要用户来访问Root账号。
因为大部分业务应用软件都需要系统管理访问Root的密码,非法用户一旦得到该密码后在操作系统内为所欲为。
大型网络结构,系统管理的职能往往都是多个系统管理员共同进行,尽管管理员的管理权限不同,但在本地系统环境下所有管理员都有访问Root权限的权利。 造成发生事故,不能明确责任。
产品描述:通常情况下,原生的 UNIX /Linux操作系统特性不能满足或达到萨班斯法案(SOX)合规性的要求。在没有细粒度授权控制的原生系统环境下,即便是最简单的管理任务都需要用户来访问Root账号。
因为大部分业务应用软件都需要系统管理访问Root的密码,非法用户一旦得到该密码后在操作系统内为所欲为。
大型网络结构,系统管理的职能往往都是多个系统管理员共同进行,尽管管理员的管理权限不同,但在本地系统环境下所有管理员都有访问Root权限的权利。 造成发生事故,不能明确责任。
1、Unix/Linux的问题: 通常情况下,原生的 UNIX /Linux操作系统特性不能满足或达到萨班斯法案(SOX)合规性的要求。在没有细粒度授权控制的原生系统环境下,即便是最简单的管理任务都需要用户来访问Root账号。 因为大部分业务应用软件都需要系统管理访问Root的密码,非法用户一旦得到该密码后在操作系统内为所欲为。 大型网络结构,系统管理的职能往往都是多个系统管理员共同进行,尽管管理员的管理权限不同,但在本地系统环境下所有管理员都有访问Root权限的权利。 造成发生事故,不能明确责任。
2、Unix/Linux任务: 建立理想安全等级的好办法是按不同用户分配不同的访问权限,这种方法省时,同时避免了因人为的错误操作而引起系统安全问题。对访问系统的操作细节和系统活动进行审计,具体审计内容应该包括如下重要信息内容:
Who---是谁(哪个用户访问了系统)?
What---做什么(执行了哪些任务)?
Where---在哪里执行(目标系统/源系统)?
When---什么时候(访问系统的时间/日期)?
Who---是谁(哪个用户访问了系统)?
What---做什么(执行了哪些任务)?
Where---在哪里执行(目标系统/源系统)?
When---什么时候(访问系统的时间/日期)?
3、Unix/Linux内控安全解决方案:
- 身份验证---双因子身份认证
对于Unix/Linux主机的管理员,用户执行的任务或操作命令会影响到业务中的高敏感数据,因此需要对业务数据操作前要求强身份认证。通过可插拔认证模块(PAM,Pluggable Authentication Modules),可实现对UNIX/Linux操作系统的动态口令身份认证,利用动态口令令牌产生的一次性口令,来实现对用户登录的强身份认证,以保证用户身份的唯一性和真实性。同时动态口令因为一次一密,系统管理员不必记忆多个密码,也不必为定期更换密码而烦恼。
- 授权控制---委托授权机制
管理员一旦成功登录UNIX /Linux系统网络后,经选择性的分配管理权限后,系统网络的安全风险就被降到最低,同时还要防止Root和其他特殊账号因为蓄意或误操作而被破坏的危险,增强授权机制。通过细粒度访问授权控制机制,精确定义用户在何时访问哪台主机,哪些命令可以运行和谁可以运行等,以达到保护敏感数据的目的,同时审计用户操作过程。在访问许可的情况下,同一个用户可以执行打印和队列管理命令,但在没有访问Root账号许可的情况下就没有访问该账号的权限。更进一步,可以通过选择性授权方式,控制用户对第三方的应用系统和账号的访问权限,以保证商用敏感数据的安全。
最小特权策略(The Principle of Least Privilege)要求用户只具有执行一项工作所必需的权限,但在原生系统环境下就不能实现这种策略。更进一层说,单一用户不能被准许一起执行两个或两个以上的任务,这样会引起命令滥用和破坏系统文件的危险。
- 数据加密
为防止网路通讯中被未授权者嗅探监听敏感数据,Unix权限管理系统对网络中的数据流进行了加密处理,在客户端,安全服务器和目的节点通讯数据流之间都使用了加密算法。Unix权限管理还包含了一些控制程序,进行木马和病毒检测,阻止用户执行修改过的后门和染毒程序,同时进行身份校验值匹配,以防止恶意和破坏性攻击。 - 入侵监测
一旦发生违反安全操作的行为,系统能够识别是谁按照什么样的顺序做了什么命令操作就非常的重要。提供了详细的日志显示功能:谁做了什么,在什么时间,在哪台主机上,执行了哪些操作命令,授权成功与否等等每条指令。Unix权限管理能够监测所有的管理行为包括键盘输入和一个会话期间生成的输出命令,这些管理行为命令以日志的形式存储在一台隔离的设备上,以备事后调查、分析、回顾甚至可以利用管理控制台实时回放功能,实时回放一个会话期间的纪录。站点管理员可以按类型和内容展示纪录的内容。被记录的会话信息包括所有跟该会话相关的信息包括:发起会话的用户,在何时,在哪里发起的会话,在什么样系统环境下进行的操作。- 审计追踪
原生的 UNIX /Linux操作系统环境没有专门提供集中管理和维护日志行为的机制。 Unix安全防护提供了两种集中的管理方式Event Logs 和I/O Logs实现日志记录。Event Logs记录用户访问成功、失败记录和环境信息。I/O Logs记录键盘输入、标准输出、标准错误和环境信息。可以把所有日志信息发送到中央日志服务区服务器,除有最高级权限的网络站点管理员外任何人都禁止访问。同时存贮在该服务器内的日志信息不能被删除,以防止第三方改写或破败坏。通过生成不可修改的日志信息,可以记录所有用户在网络上行为。通过正确存贮和归档整理后的日志可以保证你的组织结构满足萨班斯法案(SOX)中规定的维护和记录数据合规性要求。
暂无内容!
暂无内容!
暂无内容!
- 上一篇:企业门户和单点登录平台
- 下一篇:没有了