時間......

我們常說這個錶不準，或是那個鐘不準，表示在我們的現實生活中，時間有一個絕對的參考標準，這個標準通常可以用原子鐘來規範。在傳統的物理中，時間的快慢也只有一個標準，和重力的大小扯不上關係，然而在愛因斯坦於20世紀初提出「相對論」後，一切都改觀了。

廣義相對論的主要內涵可以用「愛因斯坦方程式」來表述，就像牛頓第二運動定律可以用F＝ma來表述一樣。牛頓的式子中，用等號（＝）連結了「力」 （F）和「加速度」（a）這兩個物理觀念，然而愛因斯坦方程式則是用等號連結了「時空的結構」和「空間中能量的分佈」兩個物理觀念，也就是：

時空的結構＝空間中能量的分佈

愛因斯坦把傳統物理中的「重力」概念解釋成一種「時空結構扭曲」的自然現象，而這個扭曲程度的大小（也就是重力表現的大小；即上式的左手邊），則由 空間中能量「不均勻」分佈的程度（即上式的右手邊）來決定。能量越是不均勻分佈，則時空結構就越扭曲，其所表現出來的重力現象也就越大，同時這個「時、 空」扭曲也會讓時間的流逝變慢。所以用物理的因果邏輯來解釋，嚴格而言並不能說是「重力影響了時間流逝的快慢」，而是說「空間中由於能量的不均勻分佈（例 如腳下的地球就是極大質量聚集在一起的表徵），造成了時空結構的扭曲，而這個扭曲所表現出來的，一個是重力的產生（例如地球的重力），另一個則是時間流逝 的變慢」。時空扭曲越厲害的地方，不但表現出來的重力越大，其時間的流逝也越慢！

了解這點以後，我們就可以用上面的式子來解釋黑洞。黑洞其實就是能量分佈極度不均勻（集中在其中心）所造成的一個物理現象，根據上式，它會造成時空 結構的極度扭曲，讓其附近的光的路徑都扭曲指向黑洞的中心，致使光子無論如何都無法逃離，而形成「黑」洞。如之前所說，這個時空扭曲也會讓時間的流逝變 慢，然而這所謂的「變慢」，是對極遠處一個不受重力的觀測者而言。

試想，站在一個離黑洞很遠的地方觀察一艘太空船駛入黑洞中，觀測者會看到太空船在接近黑洞邊緣（稱為事件視界）的同時，其中的太空人動作會無止盡地 慢下來，太空船內所掛的鐘也會無止盡地慢下來而趨完全靜止，那是因為太空船受到極大的時空扭曲，致使它的時間流逝比身處無時空扭曲之觀測者的時間為慢。如 果太空船到達黑洞邊緣的話，則觀測者會看到它的時間完全靜止。反觀就太空船裡的人而言，在太空船漸漸接近黑洞時，他會發現外面遠處的觀測者動作漸漸變快， 就像是錄影帶影片的快轉播放一般。因此太空人並不自覺時間變慢，而是遠處的觀察者看到他的時間變慢。所以這個太空人如果自覺花了一星期繞行黑洞外圍一圈， 而且很幸運地沒被它吞噬，那麼等他再回到遠處的觀測者處時，有可能會發現觀測者所在地的時間實際上已經過了一億年！

總而言之，當我們感受到有越「大」重力存在的地方，表示該處的時空結構扭曲就越厲害，其時間也就過得越「慢」。舉一反三，十層樓房中的一樓，與地心 的距離比頂樓近，所以重力較大，因此時間也就過得比頂樓慢。所以你如果要活得比別人久，記得要住一樓不要住頂樓，因為一樓的時間過得比較慢！至於一輩子住 下來可以多活多久，依據愛因斯坦的廣義相對論來推估，你可以多活一微秒！

專家輕鬆駭入XP

2007/11/14 13:43

兩位英國電子犯罪專家僅利用幾分鐘的時間就駭入一台未受保護的Windows XP主機，並連結一個不安全的無線網路，讓親眼目睹的微軟公司高層大感「震攝」。

由英國政府和產業界贊助的網路安全活動Get Safe Online，12日邀請了兩位任職於英國重大組織犯罪局（Serious Organized Crime Agency）的專家，示範如何將一台使用Windows XP及Service Pack 1的電腦，連上一個不安全的無線網路。這台主機沒有任何防毒軟體、防火牆或反間諜軟體機制，並有一個內含密碼的檔案，作為示範偷竊的目標。

這兩位SOCA官員希望保持匿名。其中一位自稱"Mick"，在示範駭入同事"Andy"未受保護的電腦時，一直待在一面屏幕後。他 說：「要連上不安全的無線網路很容易。好比Andy一直在他的臥室裡，而我則在屋外的車內掃瞄網路，如果我訂購或瀏覽了非法的東西，倒楣的人會是 Andy。」

Mick用一種他從網路下載的普通、開放原始碼的弱點搜尋工具。SOCA要求記者不要透露該工具的名稱。Mick說：「你可以從網路上下載攻擊工具，而這個甚至連小孩都會用。」

Mick用XP Wireless Network Connection Status（無線網路連線狀態）對話窗找到他自己電腦的IP位址，再用數字推演法，將前後一定範圍的IP位址輸入攻擊工具，尋找其中是否有未受保護的主機。

使用一種不同的攻擊工具，他製作出一份詳細列出該系統弱點的安全報告。Mick決定利用其中一項弱點。他再度用攻擊工具在MS-DOS植入一小段惡意程式，只要一、兩分鐘就能突破那個瑕疵。

連上不安全的無線網路後，刺探網路上其他電腦可能的IP位址，他找到了Andy未受保護的電腦。接著，他掃瞄開放的入口，用攻擊工具建立刺探程式，再以惡意軟體駭入XP系統的command shell，此時只花了6分鐘。

SOCA電子犯罪組副主任Sharon Lemon表示：「如果你是坐在（一家有Wi-Fi網路的咖啡廳裡），你的咖啡甚至還沒變涼呢。」

Mick接著前往「我的文件」資料夾，利用一組極普通的傳輸協定，就把內含密碼的文件轉到他自己的電腦裡。加上這一道程序，整個過程也不過11分鐘。

SOCA的代表說，這場示範「純粹是為了凸顯，如果系統沒有受到保護，要駭入是相對簡單的是。」SOCA並未因此建議中小企業儘快升級Vista，但表示安裝執行Service Pack 2 to XP和所有的修補程式，並使用安全的無線網路，是「合理的作法」。

微軟英國分公司的平台策略首長Nick McGrath目睹了整個示範過程。他說：「在剛才的示範中，看到攻擊一台（Windows）電腦是如此容易，讓人深感啟發和恐懼。但那是一台新的、未經更新也沒有修補過的電腦。」

McGrath表示，安裝反間諜軟體機制不如定時更新軟體來得重要。他說微軟和原始設備製造商（OEM）密切合作，鼓勵他們預先安裝防 毒軟體和反間諜軟體機制，供顧客免費試用30天。他表示，XP Service Pack 2有一道防火牆，而Vista的「作業系統元件」也不會讓一般駭客進出自如。

微軟Forefront防毒試用軟體下載

免費試用軟體下載：

作業系統防毒軟體
Forefront Client Security正式評估版

應用伺服器防毒軟體
Server Security 試用版

閘道資訊安全產品
Edge Security試用版

Client Security 提供以下三項重要功能：

• 防護
  Client Security 提供單一解決方案，專門用來協助防禦新興威脅及其他傳統型攻擊。掃描會識別惡意程式碼，例如間諜軟體、Rootkit 及病毒。掃描也會檢查像是遺漏的軟體更新等漏洞，藉此評估您的安全性狀態。
• 控制
  Client Security 讓系統管理員能夠決定用戶端電腦的特定安全性設定，包括掃描的頻率和類型、對於特定威脅的預設回應方式、發出警示的時機、以及賦予使用者控制掃描的權限等。
• 報告
  Client Security 使用詳細的報表及警示來排列安全性問題的優先順序。報表內容包括有關威脅、漏洞的目前及歷史趨勢資訊，以及電腦詳細資料。

這些內容的編排架構全都能夠與您現有的基礎結構整合。本主題將介紹使用者介面並詳加探討主要功能。

使用者介面

使用者介面包括 [儀表板] 索引標籤及 [原則管理] 索引標籤。

儀表板索引標籤
使用 Client Security 時，大多數的操作都是在 Microsoft Forefront Security 管理主控台中的 [儀表板] 索引標籤中進行。儀表板是執行多項工作的起點。其中提供實用的高階資訊以指出您環境的安全性狀態，並能以巡覽方式存取 Client Security 主控台的其他部分。

儀表板可提供：

• 您企業的高階健全狀態資料 (從 Client Security 的角度)。
• 報表的進入點。
• 警示的進入點。

如需儀表板及可用功能的詳細說明，請參閱 Client Security 系統管理員指南。

原則管理索引標籤
Client Security 原則是您可套用到許多用戶端電腦的設定集合。您可以使用主控台中的 [原則管理] 索引標籤建立、修改及刪除原則。

功能概觀

下表說明 Client Security 的主要功能。

原則
描述	判定用戶端電腦狀態、哪些用戶端受到感染、掃描執行的特定作業，以及向 Client Security 伺服器通報哪些資訊。Client Security 將原則儲存為登錄機碼的設定集合。
工作	使用 Client Security 主控台建立、編輯及部署原則。
更多資訊	《Client Security 系統管理員指南》中的使用原則 (英文)
報表
描述	描述您的環境，包括警示快照和歷史趨勢、部署、電腦、威脅及漏洞。
工作	從 Client Security 主控台、網頁瀏覽器以及 Microsoft Operations Manager (MOM) 警示中取得報表。報表預設顯示為 HTML 檔案，但可匯出成 XML 檔案、Microsoft Office ExcelR 試算表以及其他格式。
更多資訊	《Client Security 系統管理員指南》中的使用報表、警示及事件 (英文)
安全性狀態評估 (SSA) 掃描
描述	偵測用戶端電腦上的潛在安全性問題，包括遺漏的安全性更新及純文字密碼。
工作	使用 Client Security 原則進行排程。 SSA 掃描的結果可在報表及警示中查閱。
更多資訊	《Client Security 系統管理員指南》中的掃描惡意程式碼及漏洞 (英文)
惡意程式碼掃描
描述	偵測惡意程式碼，包括間諜軟體、病毒及 Rootkit。
工作	使用 Client Security 原則進行排程，亦可由系統管理員及使用者隨選執行。 掃描的結果可在報表及警示中查閱。
更多資訊	《Client Security 系統管理員指南》中的掃描惡意程式碼及漏洞 (英文)
即時防護
描述	當惡意程式碼嘗試在用戶端電腦上擅自安裝或執行時產生警示。
工作	使用 Client Security 原則進行設定。 結果可在報表及警示中查閱。
更多資訊	《Client Security 系統管理員指南》中的設定即時防護 (英文)
警示
描述	根據威脅或漏洞的嚴重性而產生。警示等級 (可依每個原則個別設定) 會決定針對某個電腦群組產生警示的時機。
工作	自 Client Security 主控台存取，並於 MOM 操作員主控台中解析。
更多資訊	《Client Security 系統管理員指南》中的使用報表、警示及事件 (英文)
定義
描述	識別新惡意程式碼及新的 SSA 檢查。由 Microsoft 發行定義。
工作	從 Microsoft Update 透過 Microsoft Windows ServerR Update Services (WSUS) 對用戶端電腦進行更新。
更多資訊	《Client Security 系統管理員指南》中的關於定義 (英文)

搖搖的原理

傳統搖搖（最 左圖）的繩子綁在連接兩側球盤的固定軸上；現在則是將繩子鬆鬆地圈在軸上，因此球盤可以空轉，或稱為懸停，這也是大部份特技的基礎。現代的搖搖有時具備 可空轉的貫穿軸，減低作用在繩子上的摩擦力，讓球盤可以懸停得更久。另外還可在邊圈加上重物，以增加轉動慣量並提高球盤的角速度，使它可懸停得更久。

具離合器的搖搖快速轉動時，離合器會因離心力而維持在張開狀態。活動的轉軸使軸心與球盤都可空轉。旋轉減慢時，離心力減小，彈簧壓著離合器臂擠向轉軸，使轉軸接觸軸心並一起轉動，便可「自動」捲回繩子。

具滾珠軸承的搖搖，其貫穿軸比其他設計更能降低繩子的摩擦力，使懸停時間達到最長。

進動可使旋轉的搖搖傾斜。如果選手抓持或扯動繩子的角度太大，繩子會碰到搖搖外緣，碰撞的力道會使搖搖在繩子周圍擺盪（產生進動）。同時，繩子與搖搖外緣之間的摩擦力會產生轉矩，使搖搖傾斜。這兩個效應將使搖搖失去控制。

急促拉繩時，搖搖就會回頭。拉繩動作停止的那一瞬間，旋轉的球盤就會升高（左），把鬆開的繩子推向繩捲，然後再拉下繞過軸心。繩團迫使繩子貼著球盤（上），大幅提高了摩擦力，使球盤攀住繩子向上爬。

繩子完全鬆開時，球盤就會開始空轉。若用力拋下搖搖，但在搖搖到達底端時，手腕略微下沉，就可以抵消反彈力，讓搖搖獲得最大的角速度（ω）而延長懸停時間，以便進行花式特技。

主機入侵防禦系統的應用

網 絡的互連是為了實現信息的方便共享和傳輸。但是幾乎自從有了網絡的存在，入侵行為也就同時出現了。Internet的出現和高速發展同時帶動了網絡入侵活 動的發展。在種種網絡入侵行為中，針對關鍵服務器的攻擊可以說是最具威脅性、可能造成損失最大的行為。越來越重要的信息無形資産存儲在這些服務器上，一旦 服務器受到了安全威脅勢必殃及這些信息和數據。下面將從分析一些最普遍的攻擊方式入手，逐一介紹破解這種攻擊的方法，此處用到的核心技術是主機入侵防禦系 統。

一、堆棧溢出防範 這種類型的攻擊赫赫有名，頻頻出現在CERT、SANS、CSI等國際網絡安全組織的最具威脅的攻擊類型名單內。據統計，通過緩沖區溢出進行的攻擊占所有 系統攻擊總數的80%以上。這是一種滲透到系統中的攻擊技術，其基本原理是當來自某個程序的輸入數據超出程序緩沖區能夠處理的長度時會産生溢出，結果不受程 序員的控制。當入侵者巧妙地安排代碼後，被攻擊的服務器還可能執行入侵者指定的程序代碼，從而導致攻擊者甚至可以獲得系統中超級用戶的權限。比如80年代 的Morris"蠕蟲"事件導致了當時Internet上1/3的計算機癱瘓，這種入侵方式就是采用了UNIX的Finger服務的一個緩存區溢出的漏 洞；2001年的紅色代碼病毒在短短幾個小時內傳遍了全球，造成了數十億美元的損失，也是采用了Windows服務器平台上的IIS服務的一個緩存區溢出 漏洞。2003年的SQL Slammer蠕蟲、2004年的震蕩波等同樣也是利用了這種漏洞。為什麽這種攻擊這麽多呢？主要原因在于（單不僅限于）目前廣泛用于系統編程的語言-- C語言本身的某些函數就存在著一些漏洞，造成了這種漏洞的廣泛存在和難以徹底清查。


目前對這種攻擊方式的防範方式主要有以下幾種：第一，對存在溢出漏洞的程序打補丁。這是最常見的防範方式，需要依靠程序的廠商提供相應的補丁程序才能生 效。但是隨著網絡攻擊的頻度不斷加快，一個漏洞從被發現到運用在大規模的攻擊中的時間大大縮短。往往程序廠商還沒有發布相應的補丁程序，攻擊就已經發生 了。所以這種方式是非常被動的，無法防範新出現的漏洞入侵。第二，通過操作系統的設置使得緩沖區不可執行，從而阻止攻擊者植入攻擊代碼。這種方式的主要問 題在于首先可能和現有的應用程序存在沖突，其次對溢出攻擊的防範不全面。因為有些攻擊不需要進行攻擊代碼的植入過程。第三，采用專用的防範溢出的編譯器對 程序進行編譯檢查。這是一個比較完整的保護措施，但是卻需要付出非常高昂的時間和費用的代價。



所有上述的辦法都無法在現實的業務系統中順利使用。主機入侵防禦系統則提供了另一種切實可行、易于實施的防止"堆棧溢出攻擊"的方法。主機入侵防禦系統中 具有一種STOP (STack Overflow Protection，堆棧溢出保護)技術，可以阻止這種入侵，防止用戶或程序獲得超級用戶權限。


所有的緩沖區漏洞挖掘程序都基于以下一個假設，即：程序在每次運行時有問題的參數壓入棧內的數據地址空間偏移量是一定的（或者相差較小）。如果在程序運行 時由操作系統定義並且分配一個隨機化的偏移給該應用程序，那麽則專為此有缺陷的程序設計的溢出程序在溢出時就會返回一個錯誤的ret地址，而不能跳轉到惡 意構造的shellcode下。雖然大部分的緩沖區溢出程序也能提供可調整的offset變量，但由于每次有缺陷的程序運行時都將擁有一個隨機化的偏移， 因此通過上次不成功的溢出猜測所得到的地址空間和內容並不能來指導修正下次調整的offset。主機入侵防禦系統提供了STOP技術在不改變操作系統內核 下同級工作，能幫助定義並且分配一個隨機化的偏移量，在不修改的系統內核的情況動態實現上述功能。


　　 通過這種防範措施，用戶不僅僅能夠對所有已知和未知推棧溢出類型的攻擊進行高強度防範，而且還不需要修改任何現有的操作系統和應用程序，保證原有系統的持續運行，保護了投資。


二、信息篡改保護 信息篡改破壞了信息的完整性，是入侵者攻擊目的的一種。信息篡改主要有兩種形式：信息傳輸中的篡改和信息存儲時的篡改。信息傳輸中的篡改主要發生在 在線的交易過程中對交易信息的篡改，將導致交易雙方的嚴重經濟損失；網絡設備控制信息的篡改，可能導致網絡工作異常、甚至導致信息傳輸途徑的更改以至于失 密。這種攻擊行為的防範主要依靠信息交換雙方對信息的加密和數字簽名以及強驗證方式來實現。信息存儲時的篡改是最為常見的攻擊方式，往往表現在對關鍵業務 服務器上數據的更改，導致業務無法正常運行；對一些關鍵文件的篡改，比如針對網站主頁的篡改，會導致被攻擊者形象的損失和潛在的經濟損失。比如一家在線交 易單位如果網頁被篡改，其後果可能會導致大量客戶的流失，即使入侵行為沒有危及到關鍵的交易數據。另外一種最具威脅的攻擊手段是對可執行程序的篡改。入侵 者通過對系統原有的可執行文件的篡改能夠達到很多破壞目的。比如通過非法修改證券交易系統或者銀行業務系統的程序以獲取暴利；通過篡改某些關鍵應用程序導 致系統無法正常運行。但是最常見的篡改目的是：通過篡改一些管理員或者用戶經常使用的應用程序，使其在運行的時候除了執行正常的操作之外，同時運行一個入 侵者放置的木馬程序。這樣，對管理員或者用戶來說好像系統運行一切正常，但是卻在不知不覺中運行了木馬程序，導致後門洞開。這種入侵的後果是非常嚴重的， 將可能導致嚴重的信息泄密。


　　 主機入侵防禦系統的解決方法就是從根本入手，大大細化了對資源的控制粒度。不管是UNIX還是Windows服務器操作系統，對文件和目錄的安全許可權限 都是非常有限的。但是通過主機入侵防禦系統就能夠使文件和目錄的許可控制大大增強。如圖所示，許可類型除了讀、寫、執行外，還額外添加了刪除、重命名、模 式更改、屬主更改、時間更新、ACL更改、創建、更改目錄等8項許可，為管理員提供了充分的授權空間，能夠按照最貼切的方式對各個賬戶進行資源的授權，防 止授權過大造成的內部安全隱患。同時，同樣一個賬戶采用不同的應用程序訪問資源也有可能獲得不同級別的訪問許可，這給某些行業的特殊需求提供了極大的便 利。


　　 有了文件許可的細化控制能夠極大地減少由于授權原因造成的信息篡改事件。但是為了徹底杜絕對關鍵信息的篡改，主機入侵防禦系統還提供了數字簽名的功能，能 夠對普通文件、數據文件以及可執行文件特別是入侵者攻擊的首要目標--UNIX中的suid和sgid類型的程序進行完整性校驗。如果普通文件和數據文件 發生了意外更改，主機入侵防禦系統將會報警；如果可執行文件發生了意外更改，主機入侵防禦系統將會自動拒絕這個可執行文件的執行，並且同時報警。這樣，即 使非法入侵者對目標文件進行了篡改，其目的也很難得逞。當然，如果實現利用主機入侵防禦系統的文件保護功能對這些關鍵的文件進行了保護，入侵者是無法達到 非法篡改的目的的。


木馬後門防範
　　特洛伊木馬（以下簡稱木馬），英文叫做"Trojan horse"，其名稱取自古希臘的特洛伊木馬攻城故事，相信大家都已經耳熟能詳了。正是這種古老的攻城方式卻成為了現在令人色變的網絡入侵方式。


　　首先，主機入侵防禦系統具有的程序訪問控制列表(PACL)功能使得同樣一個用戶訪問同樣的資源的時候，如果采用不同的應用程序訪問，將會得到不同的 權限。也就是說，對于一些重要的資源，我們可以采用主機入侵防禦系統這種功能限定不同應用程序的訪問權限，只允許已知的合法的應用程序訪問這些資源。這 樣，即使入侵者在被攻擊的服務器上運行了木馬程序，但是木馬程序需要竊取關鍵信息的時候必須要經過主機入侵防禦系統的安全驗證。由于PACL中沒有定義木 馬程序的訪問權限，按照默認權限是不能夠訪問的，由此就起到了對木馬信息竊取的防範。


　　另外，計算機一旦連結上了網絡就融入了一個整體，需要對整體的安全性負責任。通過上文的分析我們已經發現，木馬不僅僅會竊取本地信息，更嚴重的是入侵 者能夠通過本地計算機對網絡中的其它計算機發起入侵，如DDoS攻擊行為。美國政府法律規定由于某台計算機的安全問題直接導致的其它聯網計算機的入侵事 件，這台具有安全問題的計算機的所有人是需要負責任的。目前其它國家也正在陸續出台相關的規定。所以，在網絡上僅僅采取明哲保身的自保策略是不夠的。為了 避免被植入木馬的服務器成為入侵者的跳板和傀儡，主機入侵防禦系統還具備了網絡訪問控制的作用。網絡訪問控制規則不僅僅能夠定義哪些人能夠在什麽時間從哪 裏訪問本機的哪些服務，而且更為重要的是，它還能夠定義從本機能夠發出什麽類型的網絡連接。這樣，凡是不符合規則的連結將不能夠從本機發出。舉例來說，在 紅色代碼泛濫的時候，許多運行IIS服務的服務器感染病毒後會在網絡中進行大範圍的掃描，發現TCP 80端口開放的潛在受攻擊者。但是Web服務器的這種行為明顯地是非常異常的行為。所以通過在主機入侵防禦系統中定義外出連結的類型，能夠從根本上避免由 木馬發起的外部攻擊行為，特別是避免成為DDoS攻擊的傀儡。

四、進程中止保護 在很多關鍵業務環境中，肯定都會有幾種比較重要的服務在運行。比如一個電子商務交易Web站點，服務器上的HTTP服務或者守護進程就是非常關鍵 的。而在後台的支撐環境中運行的數據庫服務器上，數據庫的守護進程就是這台服務器的靈魂。同樣地，對于一個剛剛興起的收費郵箱服務提供商來說，如果後台郵 件服務器上的SMTP服務忽然停頓，勢必會更加難以招徕用戶。所以，信息化的社會的基石就是在關鍵服務器上運行的種種服務。一旦服務中止，上層的應用就會 沒有了根基。而在操作系統中，這些關鍵服務是以後台進程的方式存在。


　　 目前，受到攻擊最多的服務就是HTTP、SMTP以及數據庫進程，當然也有其它的關鍵服務進程。入侵者對于這些進程的中止方式一般有兩種：一種是利用這些 服務本身存在的某些漏洞進行入侵，而另外一種則是首先獲得操作系統中能夠中止進程的權限，一般是超級用戶的權限，然後再中止進程。


　　 進程的安全性完全依賴于操作系統提供的安全級別。一般來說，進行進程中止的防止主要是采用Watchdog的技術。所謂Watchdog就是看門 狗的意思，其主要功能是對進程進行看護，防止進程的意外中止。如果由于某些意外因素，進程非正常中斷，Watchdog能夠在很短時間內快速重新啓動被看 護的進程。


　　 主機入侵防禦系統就具備了這種Watchdog的功能。事實上，主機入侵防禦系統本身提供的服務就是基于三個進程的。主機入侵防禦系統要對操作系 統進行安全保護，需要首先進行自身的保護，防止自己進程的意外中止。在實際運行當中，這三個進程出了各自完成自己的職能外，還存在一種互相看守的關系。就 是進程一是進程二的Watchdog，而進程二又是進程三的Watchdog，進程三則是進程一的Watchdog。這樣，如果其中一個進程意外中止了， 總有一個進程會將其重新啓動。即使在非常情況之下兩個進程同時意外中斷，剩下的一個進程依然能夠將另一個進程啓動，然後啓動最後一個進程。所以，主機入侵 防禦系統的這種安全機制是非常嚴密的，不僅僅用來保護自己，而且還能夠很好地應用于對關鍵服務進程的安全防護。

五、超級權限分割 超級用戶的存在為管理者帶來了極大的方便，登錄一次，就能夠完成所有的管理工作，執行所有的命令，進行所有的系統維護。但是，同時正是因為有了超級用戶無所不能的超級權限，也造成了很多的麻煩。

　　首先抛開入侵者的攻擊不談，僅僅管理員在執行正常的操作時，超級權限就帶來了不少的問題。一旦使用超級用戶登錄，管理員在作各種操作的時候必須慎之又 慎。系統中的很多動作是不可逆的，一旦管理員因為人為失誤做出不當的操作，往往會造成不可挽回的損失。特別在關鍵的業務服務器系統上經常會出現這種類似的 損失慘重的失誤，我們經常能夠在媒體上看到相關的一些報道。據統計，管理員的人為失誤是對整個網絡系統最大的安全威脅之一。實際上有一些操作是遠遠不需要 超級用戶的權限就能夠完成的，但是絕大多數的人還是會選擇采用超級用戶的賬戶進行登錄，究其原因，恐怕最根本的就是為了圖方便，從而釀成大錯。

　　其次，在操作系統中設置超級用戶有其不合理的一面。一般來說，管理員的職責是維護系統的正常運行，建立和維護各種賬戶，對資源的訪問權限進行分配等 等，他們一般不應該具有讀取甚至修改、刪除某些存放在服務器上的機密信息的權利。但是在現實中，具有超級用戶的權限者就能夠任意地對這些數據進行處理，即 使經過加密的數據他們也能夠輕而易舉地破壞甚至刪除。這是不合乎正常的安全策略的，需要通過某種措施進行控制。

　　最後，在入侵者的世界裏，恐怕再沒有獲取一個新的重要系統的超級用戶的身份更加美好的事情了。幾乎所有的攻擊手段的終極目標就是要獲得被攻擊系統的完 全控制權，而這一切基本上同于獲得系統的超級用戶的賬戶名稱和密碼。口令破解、堆棧溢出、網絡竊聽…等等，目的無不于此。一旦獲得超級用戶的權限，入侵者 不僅僅能夠完成上面所說的一系列行為，而且還能夠任意地切換到其他人的身份，甚至不需要任何密碼驗證；能夠隨意地抹去對自己動作的一切審計記錄，讓審計人 員無據可查。當然，超級用戶的存在同樣也使網絡安全人員陷入了一種尴尬的境地。不管采用的防火牆是如何的牢不可破、IDS是如何地明察秋毫、加密算法是如 何的先進，只要入侵者獲得了超級用戶的權限，這一切都形同虛設。

　　為了對于上述的種種情況，主機入侵防禦系統在操作系統的層次對超級用戶的特權進行了再分配，並且將所有的用戶都同等對待，使得系統中不再有超級用戶的 概念存在。經過分權後，每一個管理員自能夠在自己的職責範圍內工作，而不具備其它的特權。比如安全管理員能夠對資源進行許可的分配，但是不能夠隨意刪除日 志；安全審計員的職責就是分析日志，發現所有用戶的可疑行為，但是卻不具備其它所有的系統權利。這樣就好像給一個保險箱加了三把鎖一樣，僅僅拿到一把鑰匙 是沒有辦法獲得保險箱裏面的東西的。為了用戶能夠按照自己的意願進行分權，主機入侵防禦系統還提供了權限分配（task delegation）的接口，以供更加細化的配置，讓普通的用戶具有某些超級用戶才能夠執行的權利。經過權力分配和細化後，可以大幅度避免管理員的人為 誤操作，並且防止入侵者一旦獲得一個賬戶的所有權後就能夠橫行無阻的狀況發生。

　　為了更加細致准確地跟蹤系統上的活動，主機入侵防禦系統提供了根據原始登錄ID進行審計的功能。也就是說不論登錄者後來通過su切換到哪一個登錄ID 號，在日志中始終以其原始的登錄ID進行活動的跟蹤和記錄，而且入侵者即使獲得了root的口令也無法對日志進行破壞。另外，主機入侵防禦系統將ID的使 用權限也作為一種資源進行管理，也就是說如果一個賬號需要su到另外一個賬號，必須經過主機入侵防禦系統的授權，否則就不能成功。哪怕是root用戶想要 su到其它賬戶也是如此。這樣就大大降低了通過切換ID實現的假冒攻擊行為。

　　主機入侵防禦系統基于穩固的安全體系和全新的安全設計理念，具有穩固的運行特性和強大的安全性，為各種UNIX平台以及Windows服務器平台提供 了極大的安全保障，並且同大型機的安全機制兼容。該系統是對關鍵服務器資源進行重點保護的重要安全工具，正在越來越受到用戶的重視。

當然，主機入侵防禦系統提供的保護措施主要是集中在對服務器資源和行為的保護，不能替代所有的安全産品。防火牆、防病毒、網絡入侵檢測系統、VPN等都是 對主機入侵防禦系統的有益補充。只有將關鍵服務器的保護和整體的網絡架構保護合理地結合在一起，才能夠為我們的網絡空間提供最為完善的保障。針對當前的病 毒、蠕蟲、入侵等種種威脅構成的混合型威脅，主機入侵防禦系統無疑會給我們的關鍵資源提供更加主動的防禦方式。