随着棱镜门事件的发酵,国内信息化用户特别是政府行业用户对信息安全的认知发生了天翻地覆的变化,对国产信息安全产品的需求也产生了前所未有的迫切感。主机安全作为信息安全的核心,成为众多用户关注的焦点。不久前,浪潮SSR主机安全方案成功应用于国家财政部国库支付系统,为国家财政收支安全构建了更完善的信息系统。
操作系统:潜藏的失控风险
国家财政部承担中央各项财政收支管理的责任,包括财税发展战略、规划、政策和改革方案并组织实施,分析预测宏观经济形势,参与制定各项宏观经济政策,在国家经济发展中发挥着重要作用。随着信息化建设的快速发展,财政部信息网络中心的应用也越来越复杂,设备数量多、信息安全风险难以控制,主要应用有国库支付、web门户、数据库应用等。
财政部信息网络中心对信息安全建设一直非常重视,采用了多重的安全技术手段,在整体信息安全建设方面构建起非常全面的安全防护。但是在操作系统安全层面,由于不得不采用国外产品,其本身不具备完善安全的防护功能,存在较大的安全隐患。境内境外的黑客容易基于这个层面发起相关的渗透活动,尤其是针对核心服务器的攻击。一旦核心应用被破坏或关键数据被窃取,将势必造成不可弥补的损失或影响。
为了增强财政部信息中心主机安全防护能力,同时满足国家信息安全等级保护测评的要求,财政部拟通过部署实施主机加固系统对现有操作系统进行安全加固,实现身份鉴别、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范,资源控制、日志记录、完整性检查等安全功能,满足等级保护三级的安全标准和要求,保障财政部信息系统的安全运行。
查“疑”补“缺” 浪潮SSR主机安全方案自主掌控安全
浪潮SSR采用了先进的ROST(内核加固技术)通过对操作系统的内核驱动层加上安全内核模块,拦截所有的内核访问路径来构建强制访问控制模型,并在强制访问控制模型的基础上建立规则库,使系统的任何操作都成为必须符合规则的传递方式,从而实现此技术的安全效果和重构操作系统源代码技术一样,能实现真正的强制访问控制,这个技术不仅不会影响客户的业务连续性,甚至不需要客户重启系统。
通过部署浪潮SSR在国库支付系统平台,采用颗粒度进程防护技术,保护业务系统不被恶意终止,防止病毒入侵以及其他破坏性操作行为;在电子政府外网(门户网站)系统部署SSR,通过对web目录的访问权限控制、进程权限控制以及网站脚本文件的访问权限等技术,配合防火墙等技术可以形成全面立体的防护,既能防止远程攻击如,SQL注入攻击、DDOS攻击等攻击行为,又能防止基于系统内核层的攻击、后门攻击等非法篡改网站的行为;针对于数据库服务器应用的防护,从操作系统底层入手,彻底杜绝非授权行为发生,保护核心数据的完整性、可用性以及业务的连续性。
为了方便管理,配置集中管理平台,进行统一部署,统一配置策略以及集中审计。安全集中管理平台提供B/S架构的管理方式,支持windows、Linux、类UNIX等几乎所有操作系统。
浪潮SSR采用三权分立机制,安全管理员、审计管理员和系统管理员,不仅有效防止了因超级管理员权限丢失的风险以及超级权限的误操作行为发生,而且对服务器机密数据予以严格的保护,阻止一切非授权程序和用户的访问,避免数据库被黑客、木马程序非法访问防止敏感信息的泄露。同时,进程保护机制对门户网站系统实现了防中断、防注入的完善保护,保障了财政部政务网站不被非法篡改,抵挡一切对网站服务器的攻击行为
据了解,财政部国库支付系统平台部署浪潮SSR后,相关业务系统运行良好,整体系统安全等级达到了国家等级保护三级的安全技术要求。