SCSP简介.docx

第1章 服务器安全防护与监控审计1.1 关键业务服务器防护Symantec SCSP赛门铁克针对服务器安全防护与监控审计的的产品为Symantec Critical System Protection，以下简称SCSP。 该产品是居目前业界领导地位的的主机安全保护的解决方案，同时集成了主机入侵检测、主机入侵防御、主机防火墙、主机安全审计，关键配置文件监控等多项功能。SCSP通过在服务器上强制实施基于行为的安全策略，针对每个操作系统和应用程序进程都创建基于行为的“虚拟”Shell，监控对内核的系统调用并根据用户定义的策略允许或拒绝对系统资源的访问。可以抵御“零日攻击”(day zero attack)、强化系统并有助于确保遵从安全策略。集中式管理控制台使管理员能够在跨越多种异构操作系统来配置、部署和维护安全策略、管理用户和角色、查看警报以及运行报告。这种基于行为的控制针对每个操作系统功能和应用程序创建了操作的安全区，从而使企业 IT 管理员能够细致控制主机安全性，而不必采用“救火”模式不断竞相应用补丁程序。针对关键业务服务器能提供如下几个大类的防护特色功能：l 提供最广泛的对不同系统服务器的保护，包含虚拟服务组自身安全防护Symantec SCSP关键业务服务器防护，提供了最为广泛的针对不同服务器的攻击防护，如下图：l 零日攻击防护:阻止恶意程序利用零日漏洞对关键业务服务器进行攻击; 阻止恶意程序通过零日漏洞进行传播。l 系统加固和访问控制: 锁定操作系统，应用程序，数据库, 阻止未授权的程序运行，针对每个操作系统和应用程序进程都创建基于行为的“虚拟”Shell，监控对内核的系统调用并根据用户定义的策略允许或拒绝对系统资源的访问。通过设定访问控制列表(ACL),规定什么用户可以从什么地址来访问主机上的什么进行，例如：在UNIX主机平台下可以拦截Rlogin能实时监控用户对主机上文件和应用的访问及程序运行，并这些主机资源对照用户的身份和权限要求进行控制，针对各个进程设定ACL，可以限定允许访问的网络地址，开放访问的时间以及访问权限等。Symantec Critical System Protection 可以限制系统配置设置、文件系统以及对服务的访问。可以利用该功能逐一锁定服务器，并确保对面向公众和关键任务服务器执行了适当的更改控制。如果是面向公众的服务器，那么可以利用该功能防止对网页和 Web 应用程序等进行未授权的更改。它有助于确保避免出现公开 Web 破坏或 Web 应用程序篡改的尴尬局面SCSP可以监控系统关键业务服务的配置改变，比如AD域，Exchangel 文件完整性监控：可以监控主机上的关键系统配置或关键应用的配置文件变动情况，以及变动的内容，实施变动的用户等。l 用户监控和审计：能够监控用户登录的核心进程login，通过此进程可以拦截各种方式的用户登录过程。主机用户行为审计l 高性能防火墙：内置高性能防火墙对进出TCP/UDP流量进行管控。管理员可以依据端口，协议，IP地址或IP地址段进行控制。l 保持终端遵从：通过在客户端和服务器上部署强制安全策略满足企业的遵从性要求l 支持缓冲区溢出和内存防护l 物理或虚拟服务器系统及关键应用的实时监控和审计Symantec Critical System Protection 提供了一个由应该受到监控的最常见安全事件组成的大型库。赛门铁克凭借其在入侵检测领域十年的丰富经验，在该库中提供了最佳实践监控规则集合。持续监控系统可以从该库中选择一组检测规则应用于一组服务器，以此减轻安全管理员的负担，使他们可以集中精力处理价值更高的工作。除了预定义的规则之外，管理员可以使用工作台定义规则，以通过监控日志文件了解一切情况。您不仅可以利用规则集来进行监控，还可以对目标服务器做出即时反应。例如，您可能想通过监控 Web 服务器了解失败登录尝试情况。达到阈值之后，您就可以禁用该用户帐户，提示管理员并添加安全日志记录。以上所有操作都是籍着触发器自动完成的。下面是预定义安全事件监控规则的一些示例： 域配置更改 文件篡改 扫描程序探测 恶意软件检测 IIS 安全配置更改 网络通信配置 审核篡改检测 IIS 或 Apache 易受攻击的脚本检测 Sendmail 漏洞利用检测 UNIX 拒绝的堆栈执行检测 Syslog 篡改检测 系统强化检测 系统共享配置更改 启动选项更改检测 系统安全配置检测 USB 设备活动检测l 提供大量的主机入侵检测和入侵保护的模板： 基于不同级别和应用的主机入侵防护策略：能提供基于操作系统内核，关键应用程序和服务，普通交互式应用程序的不同级别的入侵防护策略配置功能。 主动防御零天攻击 主动防护缓冲区溢出或者是基于内存的攻击 提供默认的操作系统加固规则 限制应用程序或系统的行为 应用程序控制 主机配置文件锁定 关闭端口 限制应用程序的网络连接 外接设备控制 用户权限控制 基于主机的入侵检测策略： 提供基于策略的日志和安全事件的审计和监控 高级别事件的智能分析和响应动作 文件和注册表的保护和监控 策略可以通过简单的激活和停止来进行管理 包括大多数基于微软的交互式应用程序的策略l 提供了对VMware虚拟环境的ESX的IPS策略模板： SCSP提供ESX Host IPS 策略兼容大型的虚拟化数据中心的防护要求。防止虚拟服务器的虚拟层被滥用和被攻击。 控制访问关键的虚拟化文件 控制执行VMware的关键命令和工具 控制虚拟机标准网络接口或者其他关键应用 提供一种简单的机制监控VMware重要动作日志 提供最大的兼容性业务的VMware系统网络规则列表 以限制非ESX必要网络协