李洪亮 发表于:13年11月05日 10:45 [综述] DOIT.com.cn
日前,浪潮操作系统安全增强系统(简称“SSR”)产品在山东省17地市、近百个区县的检察院涉密系统分级保护项目中得到成功应用,并顺利通过了相关的安全检测与验收,为山东省检察院行业统一业务软件应用平台的信息安全保驾护航。
项目背景:
2009年全国检察技术信息会议中,国家最高检提出了全面推进全国检察机关应用软件“大统一”的战略指导思想,旨在通过信息化手段,重点推进从国家最高检、省、地市、区县等检察院系的办案信息化、执法规范化;2012年8月,最高检通过了《全国检察机关统一业务应用软件开发方案》,决定以功能齐全、运行成熟的广东省深圳市检察机关业务软件为基础,充分吸收检察系统已有软件的长处,委托专业研发机构开发融办案、管理、统计于一体的统一业务软件,包括侦监、公诉、反贪、渎检、监所、控告、申诉、检委办、检察技术、案管等检察院专属业务,涵盖执法信息网上录入、执法业务网上审批、执法流程网上管理、执法活动网上监督等,有利于加强对执法办案活动的全程管理监督;同时,该软件还专门设置案件查询、律师阅卷等系统,以保障诉讼当事人的合法权利。山东省检察院作为全国检察院行业的试点单位。
检察机关业务应用软件统一是检察工作创新发展的关键时期作出的一项战略决策,事关检察工作全局和检察事业的长远发展,其运行的安全性、运行环境的安全性是保障检察系统业务应用软件的关键因素。考虑到该业务应用软件主要运行在服务器平台上,而服务器系统的安全性很大程度上有操作系统的安全性决定,因此经过专家评估、多方的综合考察、测评,经过严格的招投标,山东检察院最终采用了浪潮SSR主机操作系统安全增强系统作为服务器平台操作系统安全运行的保护神。
浪潮SSR主机操作系统安全增强系统,主要部署在对于安全要求较高的应用服务器系统上,如网上办案、网上办公等业务应用服务器、打印与审计服务器、密码管理服务器、身份认证服务器等。由于浪潮SSR采用了业内先进的ROST技术理论,通过对操作系统的内核驱动层(0层)加上安全内核模块,拦截所有的内核访问路径来构建强制访问控制模型,并在强制访问控制模型的基础上建立规则库,使系统的任何操作都成为必须符合规则的传递方式,从而实现此技术的安全效果和重构操作系统源代码技术一样,能实现真正的强制访问控制,这个技术不仅不会影响客户的业务连续性,甚至不需要客户重启系统,对上层的所有应用都支持,对下层所有系统和机器都支持,而且能在操作系统粒度上保证上层应用的安全。因而它从根本上免疫目前针对操作系统的各类攻击行为,彻底防范病毒、蠕虫、黑客攻击等对操作系统和数据库的破坏,从而提高服务器运行平台的安全级别。
浪潮SSR ROST技术原理图
浪潮SSR在应用中的安全价值
山东省、地市、区县检察院系统部署浪潮SSR后,不仅达到国家相关信息安全主管单位对涉密业务的政策、应用要求,而且有效提升了业务应用系统的安全级别,变“被动”为“主动”的信息安全防御。浪潮SSR的ROST技术原理实现了对信息安全的主动防御,通过对服务器设置访问控制规则,对系统内核层进行加固,保护系统中的重要数据和应安全,无需担忧操作系统补丁的“善恶”之分,不必担忧操作系统补丁更新对业务应用系统影响,降低了对系统厂商的依赖,从根本上免疫目前针对操作系统的各类攻击,彻底防范病毒、木马对操作系统及业务平台的破坏。浪潮SSR可以杜绝漏洞发现到漏洞修补的“真空期”,将服务器操作系统提升到国家信息安全等级保护三级标准, 并采取统一管理的策略,保证了服务器策略的一致性,并通过对服务器的系统资源、系统运行状态等设置安全阀值,一旦监控
浪潮SSR为山东省检察院信息安全保驾护航
发现异常对象及时通知管理员,真正做到事前预警、事中巡查,统一管理。
浪潮SSR通过三权分离的技术,把系统管理员、安全管理员和审计管理权限分开,业务部门根据实际情况配制访问控制规则,通过对系统原有系统管理员的权力进行分散,设置访问控制规则约束信息中心管理员的行为,从而达到从根本上保障系统安全的目的。也就是说今后信息中心的运维人员,即使用系统最高权限账号登录也只能做其职能范围内的操作,例如查看日志、定期备份、软件维护等,如果需要访问业务信息系统的数据库、程序等,就必须取得业务信息系统的授权,否则对所有业务信息系统资源都没有任何访问权限。
浪潮SSR如同对检察院应用服务器加了一层保护罩,杜绝病毒木马对系统的破坏,真正实现“主动”防御。在实际的应用部署中,浪潮SSR无需改变现有的网络架构,与操作系统、服务器、业务应用系统具有良好的兼容性。
作为中国主机安全第一品牌,浪潮从2002年致力于主机操作系统安全加固技术的研究和推广,在我国的政府、军工军队、金融、能源、企业、教育等行业得到广泛、成熟的应用。