一种加固系统

1.一种用于UNIX系统的加固系统，其特征在于，所述加固系统包括：双因子身份验证子系统，基于安全标记的强制访问控制子系统，可执行代码的保护验证执行子系统，剩余信息保护子系统，基于角色的权限管理子系统，安全审计子系统，内置LDAP目录服务子系统；
所述双因子身份验证子系统用于对用户身份进行证书与密码双重认证；
所述基于角色的权限管理子系统用于对通过验证进入系统的用户的权限进行管理；
所述基于安全标记的强制访问控制子系统用于控制用户操作，所述基于安全标记的强制访问控制子系统包括：对相关主体及客体进行配置的安全标记模块，对安全策略进行配置的安全策略配置模块与根据安全标记与安全策略对相关主体及客体进行控制的执行控制模块，在安全策略配置模块与执行控制模块的共同作用下，加固系统在实施强制访问控制过程中支持两种模式：许可和强制模式；
所述执行代码的保护验证执行子系统用于对系统服务和应用程序进行控制；
所述剩余信息保护子系统用于在程序运行完毕后，清理与所述程序相关的信息；
所述安全审计子系统用于记录用户操作、系统服务调用和应程序运行的信息；
所述内置LDAP目录服务子系统用于根据上级服务端的安全策略的情况随时更新本地策略。
2.根据权利要求1所述的加固系统，其特征在于，
所述双因子身份验证子系统包括数字证书验证模块及用户口令验证模块；
其中，所述数字验证模块包括：
用于输入用户名与密码并显示登陆状态的登录单元，用于证书文件的读取的数字证书输入单元，证书文件传输单元与数字证书验证单元；所述登录单元将用户名与密码信息传输给所述的数字证书验证单元，所述证书文件传输单元将所述数字证书信息传输给所述的数字证书验证单元，所述数字证书验证单元用于验证用户名、密码以及证书中数字签名；
所述用户口令验证模块包括：用于输入用户名与密码并显示登陆状态的信息登录单元，用于传输用户名与密码信息的数据传输单元，以及用于验证密码的密码验证单元。
3.根据权利要求1所述的加固系统，其特征在于，
所述可执行代码的保护验证执行子系统包括白名单，读取所述白名单的白名单读取模块，与所述白名单读取模块通信的解析模块。
4.根据权利要求1所述的加固系统，其特征在于，
所述剩余信息保护子系统包括第一监听模块和初始化模块；
其中，所述第一监听模块用于对程序是否运行完毕进行监听；
所述初始化模块用于进行下一步操作之前，将相应的程序所用过的系统存储或内存初始化。
5.根据权利要求1所述的加固系统，其特征在于，
所述基于角色的权限管理子系统包括角色配置模块与角色验证模块；所述角色验证模块用于根据所述角色配置模块的配置信息，控制各用户操作。
6.根据权利要求5所述的加固系统，其特征在于，
所述角色配置模块所配置的信息包括系统管理员，安全管理员与安全审计员三种角色；其中，
系统管理员负责构建系统基本环境；安全管理员负责安全策略的制定，还负责对用户的管理；安全审计员负责审计系统重要状态变化以及系统一般用户、系统管理员和安全管理员角色的操作，并对相关操作做出记录。
7.根据权利要求1所述的加固系统，其特征在于，
所述安全审计子系统是数据库系统或文件系统。
8.根据权利要求1所述的加固系统，其特征在于，
所述内置LDAP目录服务子系统包括第二监听模块与更新模块；
所述第二监听模块用于监视上级服务端的安全策略是否变化；
所述更新模块用于当所述第二监听模块监听到发生变化时下载或接受最新的安全策略。
9.根据上面所述的任何一项权利要求中的加固系统，其特征在于，
所述加固系统支持AIX、HP-UX、Solaris、Linux平台。

一种加固系统\n技术领域\n[0001] 本发明涉及一种UNIX的上层中间件系统，尤其涉及一种UNIX的安全增强系统。\n背景技术\n[0002] 商用UNIX系统在很多用户的关键业务信息系统中被采用，但是随着其应用逐渐成熟，其安全弱点也不断暴露并被利用，给用户业务带来安全风险。在这些安全弱点中，系统结构上的安全缺陷是最根本的。商用UNIX系统安全结构缺陷使得黑客或其他攻击者能够通过系统后门入侵系统、运行非法程序、破坏系统正常服务，或未经允许访问业务敏感数据等；同时系统在软件工程中的编码缺陷导致系统存在溢出攻击漏洞，这些漏洞可以使得攻击者获取没有控制的权限、绕开系统安全机制的检查并躲避系统审计。\n[0003] 商用UNIX系统在用户身份及帐户管理方面也存在安全强度不足的问题，它可能导致合法用户的身份被窃取和冒用，从而带来非法访问等安全隐患。另外商用UNIX系统在安全管理权限不能很好地支持“最小特权”和“权限分离”的安全原则，系统管理员或超级用户拥有不受控的权限，一旦这些管理身份和角色被非法窃取或被恶意利用，系统无法采取充分的安全措施来保护自身，也无法对这些行为进行追踪。\n[0004] 此外，商用UNIX系统还缺乏充分或足够强度的安全机制措施，难以满足用户对重要应用或敏感信息的高强度保护要求。比如铁路、电力等行业中，其管理和组织结构往往具有明确的上下级层次和部门关系，这一管理层次和部门关系也会映射到相关的业务系统中，但是一般商用UNIX系统不具备与这一业务结构相适应的多级访问控制机制，因此难以满足对系统重要资源或敏感信息的安全保护和管理要求。\n[0005] 一方面商用UNIX系统存在以上重大安全弱点，另一方面，国外商用UNIX系统厂商开发的操作系统安全产品无论从技术功能上还是从政策上都不能满足我们国家信息安全的要求。\n发明内容\n[0006] 本发明的目的是提供一种具有基于数字证书和用户口令的双因子身份认证，基于安全标记的强制访问控制，可执行代码的保护验证执行，剩余信息保护，基于角色的权限管理分离，安全审计，内置LDAP目录服务功能，为关键业务应用提供安全可靠运行环境的加固系统。\n[0007] 为达到上述目的，本发明采用如下技术方案：\n[0008] 一种用于UNIX系统的加固系统，包括：双因子身份验证系统，基于安全标记的强制访问控制子系统，可执行代码的保护验证执行子系统，剩余信息保护子系统，基于角色的权限管理子系统，安全审计子系统，内置LDAP目录服务子系统；双因子身份验证子系统对用户身份进行验证，用户通过验证进入系统后，在基于角色的权限管理子系统的控制下，进行操作，其中，基于安全标记的强制访问控制子系统控制用户操作，执行代码的保护验证执行子系统对系统服务和应用程序进行控制，只有通过验证的系统服务和应用程序才可以运行，程序运行完毕后，由剩余信息保护子系统清理与之相关的信息，安全审计子系统记录上述用户操作、系统服务调用和应程序运行的信息，内置LDAP目录服务子系统根据上级服务端的安全策略的情况随时更新本地策略。\n[0009] 双因子身份验证子系统实现了证书与密码双重认证，其包括字验证模块与用户口令验证模块。所述数字验证模块包括：用于输入用户名与密码并显示登陆状态的登录单元，用于证书文件的读取的数字证书输入单元，证书文件传输单元与数字证书验证单元；所述登录单元将用户名与密码信息传输给所述的数字证书验证单元，所述证书文件传输单元将所述数字证书信息传输给所述的数字证书验证单元，所述数字证书验证单元用于验证用户名、密码以及证书中数字签名。所述用户口令验证单元包括：用于输入用户名与密码并显示登陆状态的信息登录单元，用于传输用户名与密码信息的数据传输单元，以及用于验证密码的密码验证单元。\n[0010] 其中，基于安全标记的强制访问控制子系统包括有关主体及客体的安全标记模块，安全策略配置模块与执行控制模块；用户通过所述的安全标记系统模块对有待控制的主体及客体指定安全标记，并通过安全策略配置模块配置相应的安全策略，所述执行控制模块根据所指定的安全标记与相应的安全策略控制相应的主体及客体。\n[0011] 其中，所述可执行代码的保护验证执行子系统包括白名单，白名单读取模块与解析模块；白名单读取模块读取白名单，并由解析模块对所读取的内容进行解析，只有白名单中的系统服务和应用程序被允许运行。\n[0012] 其中，所述剩余信息保护子系统包括监听模块，初始化模块；程序运行完毕，监听模块监听到后，进行下一步操作之前，相应的程序所用过的系统存储或内存被所述初始化模块初始化为0或1。\n[0013] 其中，所述基于角色的权限管理子系统包括角色配置模块与角色验证模块；所述角色验证模块通过由角色配置模块的配置信息，控制各个用户操作。\n[0014] 作为一种优选方案，所述角色配置模块所配置的信息包括系统管理员，安全管理员与安全审计员三种角色；其中，系统管理员负责构建系统基本环境；安全管理员负责安全策略的制定，还负责对用户的管理；安全审计员负责审计系统重要状态变化以及系统一般用户、系统管理员和安全管理员角色的操作，并对相关操作做出记录。\n[0015] 其中，所述安全审计子系统是数据库系统或文件系统。\n[0016] 所述内置LDAP目录服务子系统包括监听模块与更新模块；当监听模块监视到上级服务端的安全策略变化的时候，由更新模块下载或接受最新的安全策略。\n[0017] 其中，所述安全增强系统支持AIX、HP-UX、Solaris、Linux平台。\n[0018] 本发明提供的加固系统包括：双因子身份验证子系统，基于安全标记的强制访问控制子系统，可执行代码的保护验证执行子系统，剩余信息保护子系统，基于角色的权限管理子系统，安全审计子系统，内置LDAP目录服务子系统，在这些子系统的共同作用下，增加了一般商业UNIX操作系统不具有的强制访问控制、双因子身份认证、防客体重用、系统和应用程序完整性保护、重要数据保护等安全功能，满足了铁路、电力等重要信息系统的等级保护技术要求，为关键业务应用提供安全可靠的运行环境的加固系统。\n附图说明\n[0019] 下面结合附图对本发明作详细说明。\n[0020] 图1为本发明的加固系统的结构层次图；\n[0021] 图2为本发明的加固系统的双因子身份验证子系统的流程图。\n具体实施方式\n[0022] 为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。\n[0023] 如图1所示本发明的加固系统处于UNIX操作系统之上，应用程序之下，其包括：双因子身份验证子系统；基于安全标记的强制访问控制子系统；可执行代码的保护验证执行子系统；剩余信息保护子系统；基于角色的权限管理子系统；安全审计子系统；内置LDAP目录服务子系统；双因子身份验证子系统对用户身份进行验证，用户通过验证进入系统后，在基于角色的权限管理子系统的控制下，进行操作，其中，基于安全标记的强制访问控制子系统控制用户操作，执行代码的保护验证执行子系统对系统服务和应用程序进行控制，只有通过验证的系统服务和应用程序才可以运行，程序运行完毕后，由剩余信息保护子系统清理与之相关的信息，安全审计系统记录上述用户操作、系统服务调用和应程序运行的信息，内置LDAP目录服务子系统根据上级服务端的安全策略的情况随时更新本地策略。\n[0024] 正是所述加固系统所具有的各个子系统，提供了增加强制访问控制、双因子身份认证、防客体重用、系统和应用程序完整性保护、重要数据保护等安全功能，满足铁路、电力等重要信息系统的等级保护技术要求，为关键业务应用提供安全可靠的运行环境。\n[0025] 图2是本发明的加固系统的双因子身份验证子系统的流程图，其中，双因子身份验证子系统实现了证书与密码双重认证。当用户开机以后，需要通过用户口令验证模块的登录单元进行用户及密码信息的输入，数据传输单元将所输入的用户及密码信息传送到密码验证单元，密码验证单元对密码进行验证，如果密码正确，将验证通过的提示信息显示到用户口令验证模块的登录界面，从而双因子身份验证子系统将进行用户证书的验证，否则将验证失败的提示信息显示到用户口令验证模块的登录界面。其中，用户证书的验证是在后台进行的，双因子身份验证子系统在用户口令验证完成后，根据配置文件，找到用户证书，再验证证书的合法性和证书与用户的对应关系，从而决定是否允许用户登录。如果验证通过，将成功登陆系统，否则提示用户证书错误，需要提供正确的用户证书。通过用户口令验证后，用户根据数字证书验证模块的登录界面的提示，将数字证书提供给数字输入单元，数字输入单元读取证书中的信息，通过证书文件传输单元传递到数字证书验证单元，数字证书验证单元验证传入的数字证书，并将结果显示到登录界面上。如果用户同时通过了口令与证书验证，将进入操作系统，否则，将无法进入操作系统。对于用户证书，既可以存在本地，也可以存于USBKey中。\n[0026] 用户证书的验证是在后台进行的，双因子身份验证子系统在用户口令验证完成后，根据配置文件，找到用户证书(可以存在本地，也可以位于USBKey中)，再验证证书的合法性和证书与用户的对应关系，从而决定是否允许用户登录。\n[0027] 其中，基于安全标记的强制访问控制子系统包括有关主体及客体的安全标记模块，安全策略配置模块与执行控制模块；用户通过所述的安全标记系统模块对有待控制的主体及客体指定安全标记，并通过安全策略配置模块配置相应的安全策略，所述执行控制模块根据所指定的安全标记与相应的安全策略控制相应的主体及客体。\n[0028] 加固系统支持国家信息安全等级保护中所要求的强制访问控制机制。通过安全标记子系统模块可以对系统中的所有主体及有特殊要求的客体指定安全标记(security label)，并根据这些安全标记实施多级安全访问控制，从而为重要应用或敏感数据提供高强度的安全保护。加固系统的安全标记符合CIPSO等标准，并可以根据用户实际灵活定制。\n[0029] 为保证用户重要信息系统的业务连续性要求，在安全策略配置模块与执行控制模块的共同作用下，加固系统在实施强制访问控制过程中支持两种模式：许可(permissive)和强制(enforcing)模式。在许可模式时，只是把违背策略的操作信息记录到审计系统的日志中，并不拒绝用户操作。在强制模式时，违背策略的操作不但会被记录到审计日志，而且会被系统拒绝。\n[0030] 其中，可执行代码的保护验证执行子系统包括白名单，白名单读取模块与解析模块；白名单读取模块读取白名单，并由解析模块对所读取的内容进行解析，只有白名单中的系统服务和应用程序被允许运行。\n[0031] 为了保证用户重要信息系统及其应用程序的完整性，加固系统通过应用可信白名单机制对系统服务和应用程序实施安全验证和保护，防止代码被篡改或非法代码的运行，确保应用环境的可信。在Java应用服务器上，加固系统还支持应用组件级的控制，它不但能够保证Java虚拟机环境的可信，还能够保证Java应用程序(Java类和Jar包等)的可信，阻止不可信Java应用程序的执行。加固系统通过直至应用组件级的可执行代码控制，实现对系统和应用程序的保护。\n[0032] 为了保证可信白名单机制在实际应用中的适用性，还可以提供相关的实用工具，它们能够基于系统和应用产生可执行代码白名单。\n[0033] 经过测试，加固系统可信白名单机制对系统效率的影响小于3％。\n[0034] 其中，剩余信息保护子系统包括监听模块，初始化模块；程序运行完毕，监听模块监听到后，进行下一步操作之前，相应的程序所用过的系统存储或内存被所述初始化模块初始化为0或1。\n[0035] 一般的UNIX仅仅可以进行文件系统层面的删除，而通过剩余信息保护系统的初始化模块对存储或内存进行清理，保证了敏感内容不会被他人通过技术手段重新获取。\n[0036] 其中，基于角色的权限管理子系统包括角色配置模块与角色验证模块；角色验证模块通过由角色配置模块的配置信息，控制各个用户操作。角色配置模块所配置的信息包括系统管理员，安全管理员与安全审计员三种角色；其中，系统管理员负责构建系统基本环境，不能管理安全标记和安全策略，也不能管理用户；安全管理员负责安全策略的制定，比如强制访问控制安全策略、定义主客体安全标记等，同时还负责对用户的管理；安全审计员负责审计系统重要状态变化以及系统一般用户、系统管理员和安全管理员角色的操作，并对相关操作做出记录。\n[0037] 正是加固系统将商用UNIX系统的管理职责进行重新定义和分配后，支持了基于角色的权限管理机制。\n[0038] 其中，安全审计子系统是数据库系统或文件系统。\n[0039] 加固系统支持单用户粒度级的审计功能，审计范围覆盖到每个操作系统用户，审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果。审计日志仅能由安全审计员进行读写等相关操作。\n[0040] 其中，内置LDAP目录服务子系统包括监听模块与更新模块；当监听模块监视到上级服务端的安全策略变化的时候，由更新模块下载或接受最新的安全策略。\n[0041] 由于加固系统的LDAP目录服务子系统可以随时与上级服务端的同时保持同步，所以可以支持重要信息系统的集中安全管理要求，支持身份、访问控制、可执行代码白名单策略等安全策略的统一分发和维护。同时由于可以直接将安全策略转化为操作系统可以直接读取的本地策略存储形式，所以可以保持了系统的稳定性。\n[0042] 其中，安全增强系统支持AIX、HP-UX、Solaris、Linux平台。\n[0043] 以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；如果不脱离本发明的精神和范围，对本发明进行修改或者等同替换，均应涵盖在本发明权利要求的保护范围当中。