网络安全 频道

服务器安全加固在多个行业中的应用

  如今,人们从观念上对在线电子政务服务、自动化办公系统、信息化生产系统等在线生产生活方式活动逐渐接受,越来越多的企事业单位从传统服务经营模式,升级为传统生产与在线控制、存储相结合的现代运营模式。

  但是,在业务的进行过程中,会有大量的货币资本和机密信息通过网络系统储存、流通,这在大大增加了交易便捷性的同时,也必定会引来藏匿于网络中的不法分子贪婪的窥视。在各种利益的诱惑下,国内外已经形成了较为完整的黑客地下产业链,非法组织或敌对势力雇佣计算机黑客通过非法手段获得企事业单位服务器控制权,进而窃取我国在政务、国防、财政等方面的各类敏感数据,甚至恶意操纵生产系统,以达到非法牟利、破坏人民正常的生产生活的目的。

  面对这些非法的入侵者,看着诸多频发的安全事件,难道我们的网络安全管理者们只能束手就擒?

  在对服务器安全保障方面,浪潮集团近年来,投入相当力量致力于服务器安全领域的研究,旗下的服务器安全加固系统(SSR)作为国内首款操作系统内核级安全产品,通过浪潮独有的内核安全技术,重构操作系统的核心层权限访问控制模型,实现了系统操作人员最小授权管理、行为安全审计功能、重要数据库、业务系统等核心数据资产强制访问控制保护,从信息系统核心层解决了网络病毒、黑客入侵、内部人员违规操作等安全隐患,为中国信息化建设的健康发展保驾护航。

  下面,我们通过3个不同行业的具体应用,来了解一下服务器安全加固在实际应用中的表现。

  政府行业——政务系统底层防护最重要

  网络技术的发展已经深入到社会生活的各个方面。网络新业务的不断兴起,为国内政府部门日常办公提供了极大的便利,通过政府网上办公系统、互动式政府网站系统、门户型政府网站系统等应用,极大地提高了政府部门的办公效率。

  电子政务系统功能丰富的同时也带来了一系列的安全问题,如网络黑客、网络犯罪、病毒爆发等等,这些问题严重制约了电子政务信息化建设的步伐,成为系统建设重点考虑的环节。特别是“一站式”门户网站的开通,大大方便了公众的办事效率,拉近了政府与公众的距离,但也使电子政务平台面临着极大的安全风险,因此,信息安全已成为制约电子政务平台建设的首要因素。

  对电子政务的安全威胁,包括网上黑客入侵和利用新型病毒感染电子政务系统服务,造成数据丢失、系统瘫痪等事故,应引起高度警惕,这不仅会影响业务应用,也会对党和政府的形象造成影响。虽然电子政务系统已经部署了杀毒软件,但由于互联网中病毒和木马的数量呈几何级数增长,传统杀毒软件“特征库”的查杀方式,已很难跟上病毒增长的速度,而且随着病毒技术的发展,很多病毒利用现在操作系统底层安全性不足的缺陷,已经深入到系统内核层,例如今年大规模爆发的“机器狗”病毒,这类病毒不仅增加了杀毒软件查杀的难度,甚至出现杀毒软件自身被病毒从底层破坏,导致电子政务系统数据资产被病毒木马任意操纵的情况。

  浪潮SSR通过独有的内核安全技术,增强电子政务系统操作系统底层安全性,对操作系统的文件、注册表、服务、进程等资源实现强制访问控制,消除病毒等恶意程序的生存环境,即使绕过杀毒软件的新型病毒文件通过电子政务系统的开放服务上传到服务器中,也无法实现启动和破坏行为。使服务器能够免疫针对服务器操作系统的攻击,实现对已知或未知病毒程序、ROOTKIT级后门威胁的主动防御。避免出现电子政务系统因新的蠕虫等感染型病毒而导致的电子政务网络瘫痪、电子政务系统服务中断等安全事故。

  军工行业——信息保密是基础

  军工企业是国家军事装备重要的科研生产单位,在企业进行信息化建设的过程中,其存储在网络以及个人电脑中的有关科研生产方面的信息属于国家机密,如果这些数据文件发生外泄,将给企业和国家造成不可估量的损失。

  为了配合国家保密局,总装备部和国防科工委对武器科研生产单位保密资质认证工作,保护涉及国家机密的文件数据,浪潮在总结以往军工企业的项目经验,根据军工企业的应用情况和工作模式,采用数据文件保护系统,对军工企业内部涉密数据文件信息进行有效的保护。

  军工企业的保密网络一般由服务器,图形工作站,普通个人电脑工作站以及移动办公用笔记本电脑组成。这些涉密的计算机上存储的有关科研生产方面的数据文件,很多都属于国家机密信息。为了国家的安全,为了保护涉密的数据文件不发生泄露事件,迫切需要建立一套安全的数据文件保护保密系统。

  1.保障数据文件访问独立性

  在军工企业生产系统的架构中,生产操作人员通过生产应用系统访问后台数据库、图纸文件,一般生产系统自身都通过CA证书等管理系统控制应用系统账号,以保证前台应用系统的安全性。但在现实的工作环境中,在登录服务器后,除了应用系统程序,还可以通过本地访问、查询工具等很多方式绕过前台授权直接访问后台数据库文件,导致了泄密事件的发生,无法确保数据库的保密性和安全性。浪潮SSR的强制访问控制机制,可以增加数据库文件的独立性,保证后台数据库文件只允许被数据库或图形设计程序等业务程序访问,拒绝其他所有非可信程序,配合前台应用程序的安全认证,保障数据库文件访问的安全性,防止因非法访问服务器数据而造成泄密等安全事故。

  2.敏感数据加密

  除了在服务器中的数据,工作人员终端电脑上也存在大量国家机密信息。从近几年军工企业安全事故趋势看,越来越多的泄密事件是因为个人电脑被木马程序操纵,尤其是移动介质中的“摆渡式木马”,极易造成信息的泄露。浪潮SSR的文件强制访问控制以及数据加密功能,可以对重要文件实现按用户、按进程的访问授权,杜绝木马等恶意程序对文件的非法访问,如果出现文件在使用者不知情的情况下流出电脑,浪潮SSR的USBK-KEY硬件加密技术,也会使得其内容无法被读取。并且,浪潮SSR驱动防护技术,实现未经授权的非受信U盘等移动存储介质插入电脑后无法被识别,从而保证在军工企业内部涉密网络上的数据不被非法的拷贝,复制或打印。

  税务行业——确保业务系统连续性最关键

  税收是国家财政收入的主要来源,是国民经济的重要命脉。随着我国信息化技术的发展,作为履行我国税收职能的税务机构,其信息化建设越来越成为推动我国经济建设的重要动力之一。多元化报税、税银等系统的应用,使税务信息系统由相对封闭和低风险逐渐转变为更加开放和高安全风险。数据大集中模式在国、地税的推广,又对地税信息系统的安全提出了更高的要求。

  目前税务系统通过网络开展的业务主要包括:税务登记、纳税申报、发票管理、纳税服务等子系统,这些复杂但又相互对立的子系统的运行维护需要大量的人力物力和专业化技能,更重要的是各个职能部门的通力配合。税务系统各个部门之间合理的职能划分,是实现信息系统高效、安全运行的制度保障。在现有的税务系统职能划分中,业务部门负责数据录入、输出、流程处理等工作,保障业务信息系统的安全运维工作是由在信息中心指导下的厂商现场专人维护完成。现在行业内的计算机系统基本上都是以厂商现场专人维护方式为主,因此对于本系统应用的服务器系统,存在着由服务器厂商、数据库厂商、应用系统厂商三方共同维护的问题,各厂商都仅对自己负责的范围内负责,然而我们面临的问题却是,三方在分清责任的同时,却并没有规范各自的权限,各方人员通过系统管理员账号进入系统,除了执行责任内的运维、升级等行为外,对服务器中的业务数据文件、核算程序进程也有着完全的访问权限,这就存在着很大的风险隐患。

  浪潮SSR的系统操作人员授权管理功能,可以让主管部门根据各职能单位和外包商的实际工作范围进行授权,对各人员使用的服务器系统管理员的无限权力进行合理分配,设置访问控制规则约束系统管理员的行为,从而达到从根本上保障系统安全的目的。也就是说今后各系统操作人员,即使用系统最高权限账号登录也只能做其职能范围内的操作,例如查看日志、定期备份、软件维护等,如果需要访问业务信息系统的数据库、程序等,就必须取得主管信息系统的授权,否则对所有业务信息系统资源都没有任何访问权限。

  通过合理的权力划分,不仅可以规避来自服务外包商人员对业务数据误操作等非法访问带来的风险,还可建立对数据等敏感信息更加合理的访问控制机制,完善税务系统安全管理制度。

0
相关文章