（5）防止程序非法終止

S-NUMEN 提供進程保護功能，通過防止進程的非法終止保證服務(wù)器的穩(wěn)定運行。被S-NUMEN 保護的進程無法kill，即使是root用戶不通過認證也無法終止被保護的進程。進程被S-NUMEN 保護后， 除通過電子簽名認證過程并取得認證的安全管理員之外，任何人都無法停止相應(yīng)程序的運行。該功能設(shè)置到需要持續(xù)提供服務(wù)的程序(例如，Web服務(wù)器程序、DNS 程序、郵件服務(wù)器程序等)中，是非常有用的功能，可防止由于非法取得系統(tǒng) root權(quán)限而引起中斷服務(wù)的事故。

S-NUMEN提供了對進程的保護，截取發(fā)向進程的sigkill、sigstop和sigterm信號。被保護的進程可以正�；虍惓Ｍ瞥�，但是不能被非授權(quán)用戶（包括root）殺死。

傳統(tǒng)的Unix沒有對進程的保護措施。進程的屬主和root可以用kill命令殺死正在運行的進程。實際上，一些關(guān)鍵的進程如數(shù)據(jù)庫守護進程、應(yīng)用程序進程等應(yīng)該一直運行，不應(yīng)該被殺死。

S-NUMEN 提供了對進程的保護，他截取了發(fā)向進程的sigkill、sigstop和sigterm信號。被保護的進程可以正�；虍惓Ｍ顺�，但是不能被非授權(quán)的用戶(包括root)殺死。這就保護了誤操作造成的關(guān)鍵進程的異常中止，保障了系統(tǒng)的可靠性，只有通過認證的超級用戶(安全管理員)可以結(jié)束進程。

（6）程序自動權(quán)限設(shè)置

由于S-NUMEN 會控制未經(jīng)過電子簽名認證過程的用戶(程序)訪問已設(shè)置了訪問權(quán)限的文件，所以，未獲得認證的用戶(程序)無法訪問設(shè)置了訪問權(quán)限的文件。

但是，如是在系統(tǒng)中不停運行的程序，它不是用戶程序，所以無法經(jīng)過認證過程。 如果對運行這種程序所需的文件設(shè)置了訪問權(quán)限，程序無法被訪問，因此會無法正常運行。

在這種情況下，S-NUMEN 通過“程序自動權(quán)限設(shè)置”，設(shè)置為賦予相應(yīng)程序以適當(dāng)?shù)臋?quán)限，可保障在運行相應(yīng)程序時，自動分配相應(yīng)權(quán)限，程序即可正常運行。

S-NUMEN 中對設(shè)置訪問控制的文件通過證書進行認證，所以沒有獲得認證的用戶(進程)不能訪問受保護的文件。但作為在系統(tǒng)中運行的進程因不是用戶不能進行認證過程.因這些進程無法訪問不能正常運行。

在這樣的情況下通過[自動權(quán)限文件設(shè)置]對相應(yīng)進程賦與適當(dāng)權(quán)限,這樣可以保障進程的正常運行。

（7）Setuid 控制－特權(quán)程序控制

控制執(zhí)行文件時UID變化的文件。例如象對系統(tǒng)的口令文件記錄信息的 passwd 程序，為執(zhí)行命令以root權(quán)限運行。SUID因臨時對用戶賦予更大的權(quán)限，所以對設(shè)置Setuid位的所有系統(tǒng)中的程序要監(jiān)控它的變化。

S-NUMEN在安裝時會自動檢測系統(tǒng)中的特權(quán)程序，將這些特權(quán)程序加入S-NUMEN資源列表中，安全管理員可以通過配置，限制特權(quán)程序的使用，如果沒有S-NUMEN的授權(quán)，即使root用戶也不能使用特權(quán)程序，這樣就可以進一步加強系統(tǒng)的安全性。通過S-NUMEN向用戶頒發(fā)的數(shù)字簽名證書，只有通過數(shù)字簽名證書認證的用戶可以使用特權(quán)程序。

（8）網(wǎng)絡(luò)控制服務(wù)

S-NUMEN網(wǎng)絡(luò)控制具備了系統(tǒng)防火墻功能，該功能控制遠程對服務(wù)器IP或服務(wù)的訪問。通過功能強大的網(wǎng)絡(luò)服務(wù)及IP地址控制，可以很好的限制用戶訪問系統(tǒng)資源。

S-NUMEN 提供的系統(tǒng)防火墻功能允許對TCP、UDP以及ICMP等數(shù)據(jù)包進行內(nèi)外訪問的控制，并且可以對以用戶為主體進行網(wǎng)絡(luò)訪問控制。

（9）登錄服務(wù)控制

S-NUMEN 提供對登錄服務(wù)的限制，這些服務(wù)包括 ：

“telnet”、 “ftp”、 “rlogin”、“dtlogin”。 S-NUMEN 具備了識別不同登錄過程中使用的系統(tǒng)調(diào)用序列來攔截用戶登錄過程，在S-NUMEN中添加相應(yīng)的策略，可以限制用戶使用telnet、ftp、rlogin、dtlogin、ssh等多種登錄系統(tǒng)的方式。

a)過識別不同登錄過程中使用的系統(tǒng)調(diào)用序列來攔截用戶登錄過程

S-NUMEN具備了識別不同登錄過程中使用的系統(tǒng)調(diào)用序列來攔截用戶登錄過程，在S-NUMEN中添加相應(yīng)的策略，可以限制用戶使用telnet、ftp、rlogin、dtlogin、ssh等多

種登錄系統(tǒng)的方式。

b)限制用戶登錄的終端

S-NUMEN具備用戶登錄訪問控制功能，可以很好的實現(xiàn)限制用戶登錄終端的目的，通過S-NUMEN管理控制臺，安全管理員可以設(shè)置系統(tǒng)用戶允許登錄的終端IP地址，該用戶只有使用策略中允許的終端才可以登錄到系統(tǒng)中。

c)限制用戶的登錄段

S-NUMEN可以對用戶的登錄時間段進行限制，這些策略包括用戶在一周中的哪天可以登錄，一天中的某個時間段可以登錄，以及某個特定的時間段可以登錄。

d)控制用戶登錄時可以輸入錯誤口令的次數(shù)

通過S-NUMEN 控制臺用戶認證管理，可以設(shè)置用戶登錄輸入錯誤口令的次數(shù)。并且當(dāng)某種登錄連接（例如：telnet、ftp）在一段時間沒有任何操作時，S-NUMEN可以自動斷開連接。

（10）入侵響應(yīng)－系統(tǒng)IPS

當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時，S-NUMEN利用自身功能對用戶（程序）在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對該用戶（程序） 進行阻斷，并且由系統(tǒng)向管理員進行報警。在報警條件中添加相應(yīng)的報警規(guī)則，S-NUMEN可對入侵行為和違反安全策略的用戶（程序）進行阻斷。當(dāng)有違反安全規(guī)則的情況出現(xiàn)時，S-NUMEN 服務(wù)器端會向特定的系統(tǒng)發(fā)送報警信息，S-NUMEN監(jiān)控程序會以多種方式進行報警。

S-NUMEN IPS功能特點：

1)不同于網(wǎng)絡(luò)級IPS產(chǎn)品，S-NUMEN IPS功能不存在誤報率問題。網(wǎng)絡(luò)級IPS可以對試圖入侵的行為做出報警和主動響應(yīng)，然而入侵者可以利用偽造IP地址發(fā)送數(shù)以萬計的攻擊數(shù)據(jù)包，從而造成大量的誤報。同時，如果網(wǎng)絡(luò)IPS規(guī)則應(yīng)對不好，還會造成大量的合法IP地址被屏蔽。S-NUMEN IPS會主動攻擊已經(jīng)發(fā)生的入侵或者破壞行為，而不是攻擊那些“試圖”入侵行為，這從根本上避免了誤報問題。

2)如果破壞者擁有“合法身份”，只要他違反了S-NUMEN IPS制定的規(guī)則，S-NUMEN IPS仍然會第一時間對這種入侵行為進行主動攻擊。系統(tǒng)管理員擁有服務(wù)器最高操作權(quán)限，當(dāng)一個用戶通過某種方法獲得該帳號，那么他都可以正常登錄這臺服務(wù)器。這時，網(wǎng)絡(luò)級IPS不會對這個用戶的任何操作做出響應(yīng)，因為他是“正�！钡卿�。然而只要這個用戶做出具有

破壞行為的操作，S-NUMEN IPS就會對這個用戶做出主動攻擊。

3)S-NUMEN IPS可以制定任何主動防御規(guī)則，這個規(guī)則可以歸納為8個類型：文件 權(quán)限 登錄 網(wǎng)絡(luò) 進程 系統(tǒng) 認證 入侵。即使再復(fù)雜的系統(tǒng)，通過合理的規(guī)則制定，S-NUMEN IPS可以保證應(yīng)對任何非法入侵或者破壞。

（11）日志系統(tǒng)及設(shè)置

日志審計和日志管理對于網(wǎng)絡(luò)安全會起到重要作用，S-NUMEN擁有獨立的日志審計系統(tǒng)，通過方便的檢索可以方便安全管理員的工作。S-NUMEN的日志生成是在內(nèi)核級上實現(xiàn)的，日志根據(jù)設(shè)置也可不生成，當(dāng)生成時，還可以設(shè)置是否按項目設(shè)置生成，所以應(yīng)視系統(tǒng)存儲空間的大小進行適當(dāng)設(shè)置來使用。S-NUMEN提供多種檢索功能，方面管理員的管理工作。 注釋：S-NUMEN的日志可以獨立生成，也可通過系統(tǒng)本身（syslogd命令）結(jié)合成系統(tǒng)日志，這種方式對于大型網(wǎng)絡(luò)，可以將日志記錄在一個統(tǒng)一的日志服務(wù)器中進行管理。并且S-NUMEN支持各種第三方安全審計軟件。

（12）程序自身保護功能(Self-Security)

作為一個安全產(chǎn)品，首先需要考慮自身的安全性，以防止當(dāng)黑客入侵時，產(chǎn)品失去應(yīng)有的安全保護功能。S-NUMEN采用內(nèi)核密封(Kernel Sealing)技術(shù)，可防止內(nèi)核模塊的Loading/Uploading，阻斷入侵者對內(nèi)核層的惡意攻擊；通過隱藏自身的安全模塊(Kernel Stealth)的功能，盡可能避免了由于安全產(chǎn)品暴露所導(dǎo)致的黑客攻擊，進一步降低安全風(fēng)險，使非法者不能察覺S-NUMEN在系統(tǒng)中的存在；并且通過對安裝程序的目錄及文件的自動保護，來防止刪除與卸載，S-NUMEN采用了以上多種技術(shù)保證了在自身安全的情況下持續(xù)的維護系統(tǒng)安全。

（13）跨平臺管理

S-NUMEN支持主流操作系統(tǒng)（Linux/Sun Solaris/IBM AIX/HP UNIX/ Unixware /Windows NT、2000），在需要管理的服務(wù)器中如果有多操作系統(tǒng)平臺的服務(wù)器，S-NUMEN 管理端可以進行統(tǒng)一的管理，實現(xiàn)必要的安全策略。S-NUMEN可以同時管理不同操作系統(tǒng)的服務(wù)器，并且在不同操作系統(tǒng)中功能完全一致，顯示了良好的跨平臺性。

（14）遠程站點信息

用戶通過S-NUMEN管理控制臺可以查看系統(tǒng)的一些重要信息。利用S-NUMEN管理控制臺連接到安裝S-NUMEN的服務(wù)器上，用戶可以通過界面化的方式，查看系統(tǒng)中的重要信息。這為管理員提供了一種十分便捷的管理方法。

可以顯示遠程站點的系統(tǒng)信息：

? 遠程系統(tǒng)信息

? 遠程系統(tǒng)磁盤信息

? 網(wǎng)絡(luò)狀態(tài)

? 系統(tǒng)信息

? 登錄信息

（15）防止非法結(jié)束系統(tǒng)功能(reboot, shutdown 等)

黑客侵入系統(tǒng)后試圖通過非法結(jié)束系統(tǒng)，如關(guān)機或重啟的方式，來導(dǎo)致系統(tǒng)不能正常工作，S-NUMEN 可以防止未經(jīng)授權(quán)的超級用戶中斷系統(tǒng)，只有獲得認證的用戶才能結(jié)束系統(tǒng)。

（16）當(dāng)系統(tǒng)意外斷電，啟動后系統(tǒng)保持原有的安全設(shè)置

當(dāng)系統(tǒng)斷電重起后，系統(tǒng)保持原有的安全設(shè)置，這樣避免由于系統(tǒng)重起的弱點而造成的安全隱患。

（17）提供"test"模式(模擬運行)功能

對所有安全控制策略的實施，S-NUMEN還提供了模擬運行--"TEST"模式，以此減少因配置安全策略引起的問題。在該模式下，S-NUMEN的安全策略不產(chǎn)生真正的控制和禁止動作，仍然允許用戶象沒有S-NUMEN一樣訪問資源，但是這些訪問都被記錄在審計日志中，供審計人員檢查。在安全策略的實施過程中，我們先采用"TEST"模式，就可以檢查設(shè)置的安全策略是否會影響業(yè)務(wù)的正常運行，是否真正保障系統(tǒng)的安全等等。這為我們順利實施S-NUMEN提供了保障。

七、產(chǎn)品應(yīng)用 （1）產(chǎn)品運行環(huán)境

（2）產(chǎn)品應(yīng)用領(lǐng)域

產(chǎn)品適用范圍： - 數(shù)據(jù)庫服務(wù)器 - 網(wǎng)站服務(wù)器 - 郵件服務(wù)器 - 應(yīng)用服務(wù)器

- 文件服務(wù)器等所有需要安全保護的系統(tǒng)。