浪潮SSR10Forlinux测试方案

浪潮操作系统安全增强系统SSR（SystemSecurityReinforcement）ForLinux测试方案二零一三年四月北京浪潮嘉信计算机信息技术有限公司目录1.SSR简介.......................................................................................................................................22.技术原理........................................................................................................................................23.测试用例........................................................................................................................................44.SSRForLinux功能性测试.........................................................................................................54.1SSR安装与卸载................................................................................................................54.2SSR功能测试.....................................................................................................................54.3测试流程...........................................................................................错误!未定义书签。4.4SSR安装测试....................................................................................................................64.5用户文件强制测试...........................................................................................................64.5.1.用户对文件具有读权限.......................................................................................64.5.2.用户对文件具有写权限.......................................................................................74.5.3.用户对文件具有所有权限,读/写/执行/删除...................................................74.5.4.用户对目录具有读权限.......................................................................................84.5.5.用户对目录具有读写权限...................................................................................84.5.6.用户对目录具有所有权限...................................................................................94.6进程文件强制测试...........................................................................................................94.6.1.受保护文件不可以被读.......................................................................................94.7用户网络强制测试...........................................................................................................104.7.1.受保护用户不可以启用新的服务和监听端口.................................................104.8进程强制测试...................................................................................................................104.8.1.受保护的进程不可以被Kill..............................................................................114.9日志管理测试...................................................................................................................114.9.1.文件违规日志测试.............................................................................................111.SSR简介与传统的防火墙、入侵检测系统等基于网络防护的安全产品不同，服务器安全增强系统是基于对主机的内核级安全增强防护，当未经授权的内、外网用户通过各种手段突破了防火墙等网络安全产品进入了主机内部，服务器安全增强系统就将成为最后的也是最坚固的一道防线。它通过对Linux系统原有系统管理员的权力进行分散，使其不再具有对系统自身安全构成威胁的能力，从而达到保障Linux系统安全的目的。浪潮SSR操作系统安全增强系统能够稳定地工作于Linux系统下，提升系统的安全等级，是实现具有《计算机信息系统安全等级保护划分标准》中规定的第三级即“安全标记保护级”的网络安全产品，能够为用户构造一个更加安全的操作系统平台。浪潮SSR服务器安全加固系统是一款基于操作系统内核的安全增强产品。它可以有效的防止来自于内部、外部网络的威胁隐患。并通过对Linux的系统管理员权限进行合理分散与适度制约，从而使系统管理员“大权旁落”的风险与遭受破坏的程度大大降低。SSR实现了网络管理的功能，可以通过SSR控制台对安装在主要服务器上的SSR服务器端进行策略分发、修改、查询、删除等功能。并可对操作进行日志记录。对于违规日志，可以进行条件查询、备份等审计活动。2.技术原理目前网络安全市场以防火墙、IDS等基于网络防护的安全产品居多，浪潮嘉信网络安全技术公司独辟蹊径，在操作系统网络安全技术领域引入内核加固崭新理念，开发成功操作系统内核加固安全模块产品，该网络安全产品可全面大幅度地提高企业网络安全的国际安全认证等级，使企业网络安全技术应用由“治标”转入“治本”成为可能，对引导企业网络安全技术应用观念的转变也具有重要意义。就像我们上面所说的，现有的安全概念以及安全产品比如防火墙、IDS、杀毒软件等都是一种“戴口罩”的安全防护理念。这是一种很被动的方法。浪潮SSR操作系统安全增强系统就是要使操作系统本身达到一种自身的免疫，去掉口罩也能达到安全防护的目的，而且是从最根本上解决安全问题。浪潮SSR操作系统安全增强系统根据国家三级的安全标识保护级别的标准，为系统中的信息交换的主客体分别加上安全标记，从而达到了强制访问控制(MAC)，制约了操作系统原有的自主访问控制策略(DAC)，从根本上控制了信息的交换，实现安全的信息交换的方法，众所周知，不论来自内部还是来自外部的攻击行为(包括病毒的攻击)的最终目的就是为了对信息的窃取以及监听，我们利用安全标识保护了系统中每一条信息交互的通道，这样就做到了根本上的系统本身的自身免疫。浪潮SSR操作系统安全增强系统目的就是利用安全内核的技术构建一个自身免疫的系统，从根本上实现了一个安全操作系统模型。安全内核(Securitykernel)图示我们知道，公司或者企业或者政府等的重要数据都是保存在磁盘上的文件系统上的，所以我们需要保护操作系统的文件子系统，那么最好的方法是什么呢？就是一个安全的操作系统，做一个安全操作系统的最好的解决方法是安全内核，也就是SecurityKernel，这就是上面的图的意思。SSRFORLinux安全内核加固系统在系统访问界面这一层旁路所有的文件访问操作，从驱动层来达到为主客体进行安全表示判断的目的，实现了一个真正的安全内核。操作系统内核加固技术图示Theprotectioninformationofcorporationis:filesystemThesecureOSsolutionis?(SecurityKernel)Thebestideathatprotectedthefilesystemis:SecureOSSecurityKernel(从根本上解决攻击)3.测试用例SSR版本操作系统版本主要应用及目录应用1目录应用2目录安全软件测试人员测试时间*注：如有更多应用请在主要应用和目录下继续添加。如：JSP网站/网站目录4.SSRForLinux功能性测试4.1SSR安装与卸载测试点测试说明预期结果测试结果SSR安装在安装目录使用“./SSR_install”命令启动成功安装SSRSSR卸载在SSR的系统配置界面卸载SSR成功卸载SSR4.2SSR功能测试测试点测试说明预期结果测试结果用户文件强制针对用户，测试文件的保护设规则是否生效，对保护文件使用规则外的用户进行读、写等操作。对被实施“用户文件强制”的文件或目录，SSR能够完全实现保护。进程文件强制针对进程，测试文件的保护设规则是否生效，对保护文件使用规则外的用户进行读、写等操作。对被实施“进程文件强制”的文件或目录，SSR能够完全实现保护。用户网络强制针对用户，测试用户访问网络或者架设服务的权限。对设置的用户实施“用户网络强制的用户，SSR能够完全实现。进程强制针对进程，测试用户是否能非法终止Kill被保护的进程。对保护的进程，SSR能够阻止Kill等终止进程的操作。日志管理针对违规操作，测试日志管理是否能正常记录。对SSR保护的文件进行违规操作，SSR能正常记录违规日志。4.3SSR安装测试测试目标：能实现完全安装SSR。测试工具：SSR测试步骤：1.进入安装文件所在目录，使用“./SSR_install”命令启动SSRforLinux系统的安装程序2.根据安装提示选择yorn,对SSR进行配置3.选择后待系统提示“SSRINSTALLEDcomplete”后，安装完成4.安装完成后在浏览器输入SSRforLinux管理页面地址“https://服务器ip:1818”，进入SSRforLinux的管理界面，对其进行访问，