隨著棱鏡門事件的發(fā)酵��,國內(nèi)信息化用戶特別是政府行業(yè)用戶對信息安全的認知發(fā)生了天翻地覆的變化����,對國產(chǎn)信息安全產(chǎn)品的需求也產(chǎn)生了前所未有的迫切感。主機安全作為信息安全的核心����,成為眾多用戶關(guān)注的焦點���。不久前,浪潮SSR主機安全方案成功應(yīng)用于國家財政部國庫支付系統(tǒng)����,為國家財政收支安全構(gòu)建了更完善的信息系統(tǒng)。
操作系統(tǒng):潛藏的失控風險
國家財政部承擔中央各項財政收支管理的責任��,包括財稅發(fā)展戰(zhàn)略�����、規(guī)劃��、政策和改革方案并組織實施��,分析預(yù)測宏觀經(jīng)濟形勢����,參與制定各項宏觀經(jīng)濟政策,在國家經(jīng)濟發(fā)展中發(fā)揮著重要作用����。隨著信息化建設(shè)的快速發(fā)展��,財政部信息網(wǎng)絡(luò)中心的應(yīng)用也越來越復(fù)雜��,設(shè)備數(shù)量多����、信息安全風險難以控制�����,主要應(yīng)用有國庫支付��、web門戶�����、數(shù)據(jù)庫應(yīng)用等�。
財政部信息網(wǎng)絡(luò)中心對信息安全建設(shè)一直非常重視,采用了多重的安全技術(shù)手段����,在整體信息安全建設(shè)方面構(gòu)建起非常全面的安全防護����。但是在操作系統(tǒng)安全層面����,由于不得不采用國外產(chǎn)品�����,其本身不具備完善安全的防護功能���,存在較大的安全隱患�。境內(nèi)境外的黑客容易基于這個層面發(fā)起相關(guān)的滲透活動��,尤其是針對核心服務(wù)器的攻擊�����。一旦核心應(yīng)用被破壞或關(guān)鍵數(shù)據(jù)被竊取�,將勢必造成不可彌補的損失或影響。
為了增強財政部信息中心主機安全防護能力�,同時滿足國家信息安全等級保護測評的要求,財政部擬通過部署實施主機加固系統(tǒng)對現(xiàn)有操作系統(tǒng)進行安全加固����,實現(xiàn)身份鑒別、強制訪問控制、安全審計�����、剩余信息保護�、入侵防范、惡意代碼防范����,資源控制、日志記錄����、完整性檢查等安全功能,滿足等級保護三級的安全標準和要求�����,保障財政部信息系統(tǒng)的安全運行�。
查“疑”補“缺” 浪潮SSR主機安全方案自主掌控安全
浪潮SSR采用了先進的ROST(內(nèi)核加固技術(shù))通過對操作系統(tǒng)的內(nèi)核驅(qū)動層加上安全內(nèi)核模塊,攔截所有的內(nèi)核訪問路徑來構(gòu)建強制訪問控制模型���,并在強制訪問控制模型的基礎(chǔ)上建立規(guī)則庫��,使系統(tǒng)的任何操作都成為必須符合規(guī)則的傳遞方式��,從而實現(xiàn)此技術(shù)的安全效果和重構(gòu)操作系統(tǒng)源代碼技術(shù)一樣�����,能實現(xiàn)真正的強制訪問控制�,這個技術(shù)不僅不會影響客戶的業(yè)務(wù)連續(xù)性�����,甚至不需要客戶重啟系統(tǒng)��。
通過部署浪潮SSR在國庫支付系統(tǒng)平臺���,采用顆粒度進程防護技術(shù)���,保護業(yè)務(wù)系統(tǒng)不被惡意終止,防止病毒入侵以及其他破壞性操作行為;在電子政府外網(wǎng)(門戶網(wǎng)站)系統(tǒng)部署SSR�����,通過對web目錄的訪問權(quán)限控制�、進程權(quán)限控制以及網(wǎng)站腳本文件的訪問權(quán)限等技術(shù),配合防火墻等技術(shù)可以形成全面立體的防護���,既能防止遠程攻擊如��,SQL注入攻擊�、DDOS攻擊等攻擊行為,又能防止基于系統(tǒng)內(nèi)核層的攻擊����、后門攻擊等非法篡改網(wǎng)站的行為;針對于數(shù)據(jù)庫服務(wù)器應(yīng)用的防護,從操作系統(tǒng)底層入手�����,徹底杜絕非授權(quán)行為發(fā)生�����,保護核心數(shù)據(jù)的完整性���、可用性以及業(yè)務(wù)的連續(xù)性��。
為了方便管理��,配置集中管理平臺�����,進行統(tǒng)一部署��,統(tǒng)一配置策略以及集中審計�����。安全集中管理平臺提供B/S架構(gòu)的管理方式��,支持windows����、Linux��、類UNIX等幾乎所有操作系統(tǒng)�。
浪潮SSR采用三權(quán)分立機制,安全管理員���、審計管理員和系統(tǒng)管理員�����,不僅有效防止了因超級管理員權(quán)限丟失的風險以及超級權(quán)限的誤操作行為發(fā)生��,而且對服務(wù)器機密數(shù)據(jù)予以嚴格的保護����,阻止一切非授權(quán)程序和用戶的訪問,避免數(shù)據(jù)庫被黑客���、木馬程序非法訪問防止敏感信息的泄露����。同時��,進程保護機制對門戶網(wǎng)站系統(tǒng)實現(xiàn)了防中斷��、防注入的完善保護���,保障了財政部政務(wù)網(wǎng)站不被非法篡改��,抵擋一切對網(wǎng)站服務(wù)器的攻擊行為
據(jù)了解�����,財政部國庫支付系統(tǒng)平臺部署浪潮SSR后��,相關(guān)業(yè)務(wù)系統(tǒng)運行良好���,整體系統(tǒng)安全等級達到了國家等級保護三級的安全技術(shù)要求��。
