隨著棱鏡門事件的發(fā)酵,國內(nèi)信息化用戶特別是政府行業(yè)用戶對(duì)信息安全的認(rèn)知發(fā)生了天翻地覆的變化,對(duì)國產(chǎn)信息安全產(chǎn)品的需求也產(chǎn)生了前所未有的迫切感。主機(jī)安全作為信息安全的核心,成為眾多用戶關(guān)注的焦點(diǎn)。不久前,浪潮ssr主機(jī)安全方案成功應(yīng)用于國家財(cái)政部國庫支付系統(tǒng),為國家財(cái)政收支安全構(gòu)建了更完善的信息系統(tǒng)。
操作系統(tǒng):潛藏的失控風(fēng)險(xiǎn)
國家財(cái)政部承擔(dān)中央各項(xiàng)財(cái)政收支管理的責(zé)任,包括財(cái)稅發(fā)展戰(zhàn)略、規(guī)劃、政策和改革方案并組織實(shí)施,分析預(yù)測宏觀經(jīng)濟(jì)形勢,參與制定各項(xiàng)宏觀經(jīng)濟(jì)政策,在國家經(jīng)濟(jì)發(fā)展中發(fā)揮著重要作用。隨著信息化建設(shè)的快速發(fā)展,財(cái)政部信息網(wǎng)絡(luò)中心的應(yīng)用也越來越復(fù)雜,設(shè)備數(shù)量多、信息安全風(fēng)險(xiǎn)難以控制,主要應(yīng)用有國庫支付、web門戶、數(shù)據(jù)庫應(yīng)用等。
財(cái)政部信息網(wǎng)絡(luò)中心對(duì)信息安全建設(shè)一直非常重視,采用了多重的安全技術(shù)手段,在整體信息安全建設(shè)方面構(gòu)建起非常全面的安全防護(hù)。但是在操作系統(tǒng)安全層面,由于不得不采用國外產(chǎn)品,其本身不具備完善安全的防護(hù)功能,存在較大的安全隱患。境內(nèi)境外的黑客容易基于這個(gè)層面發(fā)起相關(guān)的滲透活動(dòng),尤其是針對(duì)核心服務(wù)器的攻擊。一旦核心應(yīng)用被破壞或關(guān)鍵數(shù)據(jù)被竊取,將勢必造成不可彌補(bǔ)的損失或影響。
為了增強(qiáng)財(cái)政部信息中心主機(jī)安全防護(hù)能力,同時(shí)滿足國家信息安全等級(jí)保護(hù)測評(píng)的要求,財(cái)政部擬通過部署實(shí)施主機(jī)加固系統(tǒng)對(duì)現(xiàn)有操作系統(tǒng)進(jìn)行安全加固,實(shí)現(xiàn)身份鑒別、強(qiáng)制訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范,資源控制、日志記錄、完整性檢查等安全功能,滿足等級(jí)保護(hù)三級(jí)的安全標(biāo)準(zhǔn)和要求,保障財(cái)政部信息系統(tǒng)的安全運(yùn)行。
查“疑”補(bǔ)“缺” 浪潮ssr主機(jī)安全方案自主掌控安全
浪潮ssr采用了先進(jìn)的rost(內(nèi)核加固技術(shù))通過對(duì)操作系統(tǒng)的內(nèi)核驅(qū)動(dòng)層加上安全內(nèi)核模塊,攔截所有的內(nèi)核訪問路徑來構(gòu)建強(qiáng)制訪問控制模型,并在強(qiáng)制訪問控制模型的基礎(chǔ)上建立規(guī)則庫,使系統(tǒng)的任何操作都成為必須符合規(guī)則的傳遞方式,從而實(shí)現(xiàn)此技術(shù)的安全效果和重構(gòu)操作系統(tǒng)源代碼技術(shù)一樣,能實(shí)現(xiàn)真正的強(qiáng)制訪問控制,這個(gè)技術(shù)不僅不會(huì)影響客戶的業(yè)務(wù)連續(xù)性,甚至不需要客戶重啟系統(tǒng)。
通過部署浪潮ssr在國庫支付系統(tǒng)平臺(tái),采用顆粒度進(jìn)程防護(hù)技術(shù),保護(hù)業(yè)務(wù)系統(tǒng)不被惡意終止,防止病毒入侵以及其他破壞性操作行為;在電子政府外網(wǎng)(門戶網(wǎng)站)系統(tǒng)部署ssr,通過對(duì)web目錄的訪問權(quán)限控制、進(jìn)程權(quán)限控制以及網(wǎng)站腳本文件的訪問權(quán)限等技術(shù),配合防火墻等技術(shù)可以形成全面立體的防護(hù),既能防止遠(yuǎn)程攻擊如,sql注入攻擊、ddos攻擊等攻擊行為,又能防止基于系統(tǒng)內(nèi)核層的攻擊、后門攻擊等非法篡改網(wǎng)站的行為;針對(duì)于數(shù)據(jù)庫服務(wù)器應(yīng)用的防護(hù),從操作系統(tǒng)底層入手,徹底杜絕非授權(quán)行為發(fā)生,保護(hù)核心數(shù)據(jù)的完整性、可用性以及業(yè)務(wù)的連續(xù)性。
為了方便管理,配置集中管理平臺(tái),進(jìn)行統(tǒng)一部署,統(tǒng)一配置策略以及集中審計(jì)。安全集中管理平臺(tái)提供b/s架構(gòu)的管理方式,支持windows、linux、類unix等幾乎所有操作系統(tǒng)。
浪潮ssr采用三權(quán)分立機(jī)制,安全管理員、審計(jì)管理員和系統(tǒng)管理員,不僅有效防止了因超級(jí)管理員權(quán)限丟失的風(fēng)險(xiǎn)以及超級(jí)權(quán)限的誤操作行為發(fā)生,而且對(duì)服務(wù)器機(jī)密數(shù)據(jù)予以嚴(yán)格的保護(hù),阻止一切非授權(quán)程序和用戶的訪問,避免數(shù)據(jù)庫被黑客、木馬程序非法訪問防止敏感信息的泄露。同時(shí),進(jìn)程保護(hù)機(jī)制對(duì)門戶網(wǎng)站系統(tǒng)實(shí)現(xiàn)了防中斷、防注入的完善保護(hù),保障了財(cái)政部政務(wù)網(wǎng)站不被非法篡改,抵擋一切對(duì)網(wǎng)站服務(wù)器的攻擊行為
據(jù)了解,財(cái)政部國庫支付系統(tǒng)平臺(tái)部署浪潮ssr后,相關(guān)業(yè)務(wù)系統(tǒng)運(yùn)行良好,整體系統(tǒng)安全等級(jí)達(dá)到了國家等級(jí)保護(hù)三級(jí)的安全技術(shù)要求。