浪潮数据中心主机安全解决方案

数据库软件

摘要：

网络手艺飞速生长在给信息共享带来了排山倒海的转变的同时，也带来了宁静隐患。Internet和Intranet无所不在的精密联合亦使网络宁静问题突出展现。恒久以来网络宁静界对基于网络应用的外部提防手艺关注较多，而通过系统内核加固对用户信息的保密性、完整性、可靠性举行有用的掩护，以守住数据宁静的最后一道防线，正在成为继应用层网络宁静产物后又行之有用的手艺手段。众所周知，操作系统的超级用户权限（Administrator/root）一权独大可谓无所不能，一旦被外部或内部的非法攻击者所窃取或盗用对系统宁静的威胁厥后果不堪设想。内核加固手艺对盘算系统中信息交流的主客体增添宁静标识，通过宁静标识来填补操作系统的自主会见控制模式（DAC）的局限性，提高系统的宁静性，从而使万一泛起的超级用户“大权旁落”的威胁风险与破损水平大大降低。特殊是Internet中85%的信息泄露来自于内部（O’Higgins，1997），凌驾80%的盘算机犯罪是由内部员工实行。这一现实而言，内核加固手艺更具主要意义。

配景先容：

来自内部的攻击威胁隐患

某些内部员工有攻击所在公司的目的或念头，而且他们熟知公司资源的会见控制；内部网物理窃听容易，有许多的网络工具可以监听局域网传输的任何信息；一样平常的内部服务应用所传输的敏感信息都是明文，如Telnet上岸时输入的帐号和口令，网页登录页面输入的用户名和口令；内部员工所毗连的电脑在物理上直接与服务器相连，来自用户的请求未经任何过滤，直接连到服务器，而相比之下，Internet上的服务器一样平常都有防火墙的掩护。这些缘故原由导致了内部网络存在的宁静威胁相比Internet更值得关注。

内部网络Intranet指的是一个基于TCP/IP通讯协议的内部信息系统，为用户提供网络服务。随着网络应用的生长，许多企业以及政府部门在自己内部的Intranet中集成了多种应用，包罗基于浏览器方式的WWW应用以及基于数据库的Client-Server方式应用。使用者凭用户名和口令进入每个应用，应用也凭据用户名和口令识别用户身份，判断用户的权限。这样应用的增添给内部网络带来了两方面的问题。对用户而言，将拥有多个用户名和口令，用户怎样有用的治理自己在各个应用中对应的用户名和口令？怎样掩护自己的身份信息不被别人窃取呢？若是用户遗忘了某个用户名或口令时将会影响他的事情，可能给自己造ERP系统

成很大的损失；若是用户为了利便影象在各个应用中都使用统一个用户名和口令或把自己的各个用户名、口令记载在纸上，就会带来很大的口令泄露的风险。对整个内部网而言，怎样在多个应用中统一治理用户的权限？怎样提供掩护用户身份信息的宁静机制？怎样有用地确保正当用户在自己拥有的权限内宁静地、利便地使用Intranet，同时防止内部职员非法越权会见？又怎样防止网上传输的秘密信息泄露呢？大多数的WWW服务都使用明文来传输用户名和口令，这很容易被他人从网上截获。纵然是相当好的口令，由于口令的长度很有限，也抵御不了类似字典攻击这样的穷举攻击。

以是当政府部门为了提高服务效率，建设了自己的网上办公系统时；当企业为了提高事情效率，建设了自己的网上治理系统时，将面临上述问题的困扰。

来自外部网络的攻击

随着Internet网络上盘算机的不停增加，所有盘算机之间存在很强的依存性。一旦某些盘算机遭到了入侵，它就有可能成为入侵者的栖息地和跳板，成为进一步攻击的工具。对于网络基础架构如DNS系统、路由器的攻击也越来越成为严重的宁静威胁。

当前常用的网络宁静手艺与工具的局限性

防火墙（Firewall）的局限性，号称“一夫当关，万夫莫开”的关口，一定水平上简化了网络的宁静治理。但入侵者可寻找防火墙背后可能敞开的后门，对于这种防火墙后的入侵者的提倡的网络内部攻击防火墙基本无法提防。

入侵检测（IDS）的局限性，很难跟踪新的入侵模式。且时有误报警。

毛病扫描（Scanner）局限性，毛病扫描系统或者称宁静咨询系统，很难跟踪新的毛病，且不能真正周全实时地扫描毛病。

杀毒软件（Anti-virus）的局限性，杀毒软件具有后置性，无法应对未知的病毒。

 1/2    1 2 下一页 尾页