浪潮SSR安全應(yīng)用架構(gòu)圖
從操作系統(tǒng)入手�����,打造內(nèi)核級安全
操作系統(tǒng)是銜接服務(wù)器硬件與服務(wù)器應(yīng)用軟件的橋梁,橋梁的安全�����、可靠�����,決定了應(yīng)用系統(tǒng)和數(shù)據(jù)的安全��、可靠�。
針對于此���,浪潮SSR增加目標(biāo)應(yīng)用服務(wù)器上操作系統(tǒng)的內(nèi)核級安全���,對操作系統(tǒng)的文件、注冊表����、服務(wù)�����、進(jìn)程等資源實(shí)現(xiàn)強(qiáng)制訪問控制,消除病毒等惡意程序的生存環(huán)境��,使服務(wù)器能夠免疫針對操作系統(tǒng)的攻擊����,實(shí)現(xiàn)對已知或未知病毒程序、ROOTKIT級后門威脅的主動防御�����,避免出現(xiàn)油田信息系統(tǒng)因新的蠕蟲等感染型病毒的出現(xiàn)�,而導(dǎo)致的網(wǎng)絡(luò)癱瘓、應(yīng)用服務(wù)中斷等安全事故����。
四管其下,有效降低運(yùn)維風(fēng)險
在系統(tǒng)的運(yùn)維過程中�,如果系統(tǒng)缺乏身份認(rèn)證以及授權(quán)機(jī)制,來自內(nèi)���、外部的頻繁訪問有可能使得不法分子獲得很好的偽裝身份���,從而輕而易舉的獲取到重要信息�����。針對于此�����,浪潮SSR采用了規(guī)范系統(tǒng)管理員行為����、強(qiáng)制訪問控制����、關(guān)鍵業(yè)務(wù)進(jìn)程保護(hù)機(jī)制以及建立安全審計機(jī)制4個維度的管控機(jī)制,有效降低了內(nèi)���、外部的運(yùn)維風(fēng)險。
浪潮SSR加強(qiáng)對操作系統(tǒng)管理員行為的管理��,實(shí)現(xiàn)對不同廠商的運(yùn)維人員的“最小授權(quán)”�����,通過技術(shù)和制度手段對ROOT賬號的權(quán)力加以分散����。即使擁有ROOT賬號的運(yùn)維人員����,如果需要訪問不屬于自己的資源���,也必須取得相關(guān)部門的授權(quán)����。這樣既保證了運(yùn)維工作的正常進(jìn)行�,又能夠規(guī)避因?yàn)檫\(yùn)維人員權(quán)限過大而帶來的風(fēng)險。
而對服務(wù)器的資源�,尤其是業(yè)務(wù)信息系統(tǒng)資源,浪潮SSR實(shí)現(xiàn)細(xì)粒度的強(qiáng)制訪問控制�����,使得運(yùn)維人員或惡意攻擊人員不能夠隨意安裝和開啟遠(yuǎn)程控制軟件�,即便在利用SSH等方式遠(yuǎn)程登錄后,也不能對系統(tǒng)關(guān)鍵資源實(shí)施竊取��、破壞等行為����。
同時��,浪潮SSR也能夠建立行之有效的進(jìn)程保護(hù)機(jī)制����,確保業(yè)務(wù)進(jìn)程不會因?yàn)檫\(yùn)維人員的誤操作等原因終止����,也不會被病毒、木馬等惡意程序注入而導(dǎo)致業(yè)務(wù)過程被破壞�。
最后,浪潮SSR能夠建立安全審計機(jī)制��,通過“三權(quán)分立”機(jī)制實(shí)現(xiàn)對操作人員的最小授權(quán)����。當(dāng)出現(xiàn)操作人員企圖越權(quán)訪問核心數(shù)據(jù)資產(chǎn)的情況時,會及時的按照訪問用戶��、程序��、時間�����、動作等信息記錄在系統(tǒng)中�����,在日后的企業(yè)內(nèi)審中作為技術(shù)判斷依據(jù)��。在發(fā)生病毒���、木馬等惡意程序通過移動介質(zhì)企圖進(jìn)入系統(tǒng)時�,浪潮SSR也會及時的定位病毒文件�����,便于安全運(yùn)維人員清理和刪除這些危險程序�。
化被動為主動
在電影《偷天陷阱》中,凱瑟琳·澤塔瓊斯扮演的女主角曾利用千年蟲漏洞�,成功洗劫了吉隆坡的一家國際銀行。而電影中所展現(xiàn)的利用系統(tǒng)漏洞牟利的畫面并非純粹的想象����,而是確實(shí)存在這樣的風(fēng)險。眾所周知���,業(yè)內(nèi)主流����、商用的服務(wù)器操作系統(tǒng)基本為國外產(chǎn)品,本身存在漏洞和后門����,而且一旦出現(xiàn)漏洞、后門后���,系統(tǒng)補(bǔ)丁升級需要時間�。在此期間����,服務(wù)器系統(tǒng)的應(yīng)用、數(shù)據(jù)安全如何得到保證�,一直是困擾用戶的一個難題。
浪潮SSR利用安全內(nèi)核技術(shù)構(gòu)建一個自身免疫的系統(tǒng)��,從根本上實(shí)現(xiàn)一個安全操作系統(tǒng)模型��。它主要根據(jù)國家信息安全等級保護(hù)三級的安全標(biāo)識保護(hù)級別的標(biāo)準(zhǔn)����,為系統(tǒng)中的信息交換的主客體分別加上安全標(biāo)記,從而達(dá)到了強(qiáng)制訪問控制(MAC)���,制約了操作系統(tǒng)原有的自主訪問控制策略(DAC)�,從根本上控制了信息的交換�,實(shí)現(xiàn)安全的信息交換的方法。
不論來自內(nèi)部還是來自外部的攻擊行為(包括病毒的攻擊)的最終目的就是為了對信息的竊取以及監(jiān)聽���,浪潮SSR利用安全標(biāo)識保護(hù)了系統(tǒng)中每一條信息交互的通道��,以主動的智能化方式��,從根本上實(shí)現(xiàn)了系統(tǒng)本身免疫�����。
浪潮SSR工作模型
值得一提的是���,浪潮SSR部署無需改變現(xiàn)有應(yīng)用架構(gòu),且與服務(wù)器系統(tǒng)����、業(yè)務(wù)應(yīng)用系統(tǒng)等存在良好的兼容性。而某油田在批量部署浪潮SSR服務(wù)器操作系統(tǒng)加固系統(tǒng)之后���,扭轉(zhuǎn)了傳統(tǒng)安全被動防御的風(fēng)險���。通過與網(wǎng)絡(luò)���、終端等安全設(shè)備組成整個信息系統(tǒng)的縱深防御,浪潮SSR為油田信息系統(tǒng)的運(yùn)行連續(xù)性��、穩(wěn)定性�、安全性及可靠性提供堅實(shí)的支撐,構(gòu)筑了其主機(jī)安全長城��。
