在设计和开发WZSysGuard软件时,我们希望我们的软件能改进以下一些UNIX/Linux安全软件常见的问题:
1. 太多虚假警报。
2. 很难在保障安全的条件下,调整软件设置以减少虚假警报。
3. 可能在某些情况下无法检测到文件的实际改变。
4. 无法防止有超级用户权限的不良人员改变软件的行为。
5. 难以设置哪些文件应被保护,而哪些文件无需被保护。
有些UNIX/Linux文件改变检测软件是经由修改操作系统核心来实现的。以这种方式实现检测功能有一个好处:可实时发现文件的改变。但这也会引发很多问题:
a. 如果该软件将每一次对文件的写操作都报告,则报告的条目会太多。若不是那样,则何时报告何时不报告? 不良人员可设计一程序:从文件中读一块, 将该块写回,等五秒,读下一块, 写回下一块, 等等,等等。过了几小时后, 将他/她所想写的内容改变写入文件中, 然后再回过头来做先前所做的。若不是在适当的时候将检测到的改变作出报告,安全人员可能很难从报告中发现真正的重要改变。
b. 若不良人员对文件的改变并非经由文件系统调用,很可能核心模块无法检测到该改变或无法准确告之哪个文件发生了改变。
c. 若文件的改变发生在当为机器做维护,机器被从其他介质启动时, 则这些改变将无法被检测。
d. 难以对操作系统进行升级,也易造成软件兼容性问题。
现有的多数UNIX/Linux安全软件无法有效防止有超级用户权限的人修改其软件,而软件一旦被修改,其检测报告的可信度则很难令人接受。
使用WZSysGuard,
1. 与其他功能类似的软件相比,少得多的虚假警报。
2. 在缺省的情况下,虚假警报已被大大减少,但您仍可较容易地对软件进行调整从而进一步减少虚假警报。
3. 不会错过任何永久的文件内容改变。
4. 若不是不可能,不良人员也会发现他/她很难改变WZSysGuard的行为以影响其检测及报告的可信度。
5. 缺省情况下,WZSysGuard会对系统上OS缺省的安全敏感文件进行保护,而客户可以方便地以自定义类的方式将您认为需要保护的文件加以保护。
6. 在缺省的情况下,WZSysGuard已含盖UNIX/Linux系统上对系统安全有重要影响的文件,即使不做任何调整,也能较有效地检测入侵迹象而不会有大的漏洞。
WZSysGuard被设计成单线索的应用,所以在现代的多处理器多CPU核心的机器上,您可以随时运行安全扫描而无须担心应用的性能受到大的影响。例如,在一台有八个CPU核心的机器上,运行WZSysGuard安全扫描所消耗的CPU资源不会超过系统总的CPU资源的百分之十三,且由于通常情况下,应用可能有别的瓶颈,无法将所有CPU资源用尽,所以在这样一台机器上, 运行WZSysGuard安全扫描不会对应用的性能产生大的影响。
为何您应使用WZSysGuard作为UNIX/Linux安全软件