压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　背景：軍工涉密行業(yè)的信息系統(tǒng)因其特殊性，一直是竊密與反竊密、滲透與反滲透的主戰(zhàn)場。目前，作為國家級軍工重點涉密單位，中國電子科技集團公司某研究所（以下簡稱：中電科某所）與浪潮公司達成合作，采用浪潮SSR操作系統(tǒng)安全增強系統(tǒng)從根源提升內(nèi)網(wǎng)安全防護水平，保證了服務(wù)器操作系統(tǒng)及關(guān)鍵數(shù)據(jù)的完整性和安全性，并以此形成了主動化、集中化、智能化的安全架構(gòu)體系。

　　涉密信息重點防護 內(nèi)網(wǎng)安全亟需"再提升"

　　中電科某所創(chuàng)建于1965年，是專業(yè)從事信息安全和保密、通信網(wǎng)絡(luò)和信息系統(tǒng)的專業(yè)研究所，屬國家一類科研事業(yè)單位。經(jīng)過近五十年的發(fā)展，中電科某所在軍用、黨政及民用領(lǐng)域，先后承擔(dān)了一大批核心、關(guān)鍵的信息化建設(shè)項目，獲得黨中央、國務(wù)院、中央軍委的肯定。如今，中電科某所的業(yè)務(wù)和產(chǎn)品領(lǐng)域不斷擴展，已涉及手機（終端）安全保護、基于GPS的車輛和移動服務(wù)、金融稅控和安全支付系統(tǒng)、網(wǎng)絡(luò)電視（IPTV）和視頻監(jiān)控、芯片設(shè)計、行業(yè)應(yīng)用軟件開發(fā)、信息系統(tǒng)工程建設(shè)和運維連鎖服務(wù)等項目。

　　隨著我國軍工行業(yè)信息安全建設(shè)的快速推進，中電科某所建立了自己的涉密信息系統(tǒng)和非涉密信息系統(tǒng)。由于工作性質(zhì)的特殊性，中電科某所的內(nèi)網(wǎng)中多套信息系統(tǒng)涉及的機密信息數(shù)量不斷增加，不僅需要在市場競爭中維護自己的技術(shù)產(chǎn)權(quán)，更需要在網(wǎng)絡(luò)安全防御能力上不斷提升，嚴(yán)防不法人員竊取核心資料的事件發(fā)生。

　　據(jù)中電科某所相關(guān)負(fù)責(zé)人介紹，中電科某所內(nèi)外網(wǎng)隔離的措施，以及涉密信息系統(tǒng)中采用的前置主機（堡壘機）方案在安全防護上已經(jīng)達到一定的防護效果，但仍然存在許多不足，這包括如下幾個方面：

　　首先因為歷史原因，中電科某所的服務(wù)器操作系統(tǒng)包含了部分國外品牌，而由國外廠商設(shè)計研發(fā)的產(chǎn)品，對于涉密行業(yè)而言，操作系統(tǒng)內(nèi)核、服務(wù)以及應(yīng)用程序的可信級別明顯偏低。

　　其次由于內(nèi)網(wǎng)隔離的特殊性，一些補丁不能在第一時間隨意升級安裝，這造成了操作系統(tǒng)的漏洞、后門隱患，安全管理缺少主動應(yīng)對的措施和手段。

　　再者服務(wù)器存儲大量涉密數(shù)據(jù)，現(xiàn)有管理機制沒有進行訪問控制分權(quán)，無法控制內(nèi)網(wǎng)管理員的權(quán)限。

　　中電科某所借助浪潮SSR提升內(nèi)網(wǎng)防護水平

　　鑒于以上問題的存在，中電科某所希望在現(xiàn)有信息保護措施的基礎(chǔ)上，對內(nèi)網(wǎng)服務(wù)器操作系統(tǒng)進行安全加固，并對服務(wù)器上的服務(wù)和應(yīng)用程序進行監(jiān)控保護。同時，需要降低因補丁升級不及時帶來的攻擊風(fēng)險問題，避免病毒、木馬等惡意程序?qū)ο到y(tǒng)的破壞，提升服務(wù)器統(tǒng)一管理的能力和威脅防御水平。另外，必須采取可靠措施限制系統(tǒng)管理員的權(quán)限，使機密文件不被非法訪問，防止機密數(shù)據(jù)外泄。

　　固"本"清源 實現(xiàn)"五大轉(zhuǎn)變"

　　經(jīng)過對中電科某所內(nèi)網(wǎng)的系統(tǒng)診斷，發(fā)現(xiàn)中電科某所的信息化建設(shè)在網(wǎng)絡(luò)層、數(shù)據(jù)傳輸層、業(yè)務(wù)應(yīng)用層關(guān)注較多，部署了防火墻、殺毒軟件、IPS等防護措施，但忽視了最關(guān)鍵的主機安全問題。而從信息系統(tǒng)的構(gòu)成來看，主機系統(tǒng)主要擔(dān)負(fù)數(shù)據(jù)處理和存儲的任務(wù)，信息系統(tǒng)中最具價值的各類關(guān)鍵數(shù)據(jù)和核心業(yè)務(wù)系統(tǒng)都要依靠主機系統(tǒng)，這個環(huán)節(jié)一旦受到攻擊，整個信息系統(tǒng)中最有價值的部分就面臨失竊的風(fēng)險。因此，從重要性上來看，主機是信息化建設(shè)的基石。如何利用主動防御，保障服務(wù)器主機本身的安全成為亟待解決的問題。

　　至此，浪潮與中電科某所達成共識，"解鈴還須系鈴人"，解決安全問題還是要固本清源，增強主機的安全防護能力。在產(chǎn)品選型方面，中電科某所決定采用浪潮提供的集硬件、操作系統(tǒng)、安全軟件"三位一體"的主機安全方案。該方案不僅在技術(shù)和具體應(yīng)用方面具有成熟度和可借鑒性，也在國內(nèi)主機安全領(lǐng)域具有唯一性。

　　其中，作為安全軟件環(huán)節(jié)的核心，浪潮SSR操作系統(tǒng)安全增強系統(tǒng)是一款針對于服務(wù)器操作系統(tǒng)內(nèi)核層面的安全加固產(chǎn)品，它采用主動防御模式，將原操作系統(tǒng)廠商的安全防護控制模型接管，讓用戶從根本上對主機的安全性做到自主可控。

　　通過部署浪潮SSR操作系統(tǒng)安全增強系統(tǒng)，中電科某所內(nèi)網(wǎng)服務(wù)器及應(yīng)用程序（如：內(nèi)網(wǎng)OA系統(tǒng)、內(nèi)網(wǎng)網(wǎng)站等業(yè)務(wù)系統(tǒng)）的完整性做到有效保護，非法操作不能寫入，從而達到不能篡改內(nèi)網(wǎng)網(wǎng)站系統(tǒng)內(nèi)容的目標(biāo)。其次，浪潮SSR對內(nèi)網(wǎng)服務(wù)器上的數(shù)據(jù)庫文件進行保護，防止了非法使用數(shù)據(jù)庫、非法修改數(shù)據(jù)庫文件事件的發(fā)生，其完整的對比檢測機制，可以讓非法人員"進不來、拿不走、改不了、賴不掉"。而作為防護重點，內(nèi)網(wǎng)服務(wù)器中存放的大量國家機密文件、科研課題等絕密文件，嚴(yán)禁拷貝、寫入等非法操作，而浪潮SSR采用分權(quán)管理的機制，規(guī)避了原操作系統(tǒng)管理員"一支獨大"的風(fēng)險，將原系統(tǒng)管理員權(quán)限分散為系統(tǒng)操作員、安全管理員和審計管理員，三個權(quán)限各司其職，互相制約，不僅保證了系統(tǒng)安全性，同時貼合國家相關(guān)信息安全標(biāo)準(zhǔn)規(guī)范。

　　據(jù)了解，中電科某所在部署浪潮SSR的前后，在管理水平和管理能力上形成了鮮明對比，這包括：

　　改變一：變"被動"為"主動"的防御

　　浪潮SSR產(chǎn)品則并不采用這種被動式的防御體系，而是主動防御。通過對服務(wù)器設(shè)置訪問控制規(guī)則，對系統(tǒng)內(nèi)核層進行加固，保護系統(tǒng)中的重要數(shù)據(jù)和應(yīng)安全，中電科某所無需擔(dān)憂操作系統(tǒng)補丁的"善惡"之分，不必?fù)?dān)憂操作系統(tǒng)補丁更新對業(yè)務(wù)系統(tǒng)產(chǎn)生影響，徹底降低了對系統(tǒng)廠商的依賴，從根本上免疫目前針對操作系統(tǒng)的各類攻擊，徹底防范病毒、木馬對操作系統(tǒng)及業(yè)務(wù)平臺的破壞。

　　改變二：變"修補"為"免疫"的安全

　　在涉密內(nèi)網(wǎng)這個封閉的環(huán)境當(dāng)中，浪潮的全國產(chǎn)化可信研發(fā)體系確保了SRR作為外來保護工具的可信性。而SSR在實現(xiàn)防護病毒、黑客和各種攻擊去破壞操作系統(tǒng)以及關(guān)鍵數(shù)據(jù)時，與其他各種安全產(chǎn)品需要連接外網(wǎng)頻繁升級不同，從安裝SSR后主機便一直具備著這種免疫力，避免了因為"外聯(lián)"、"修補"行為可能對業(yè)務(wù)和關(guān)鍵信息產(chǎn)生的二次威脅。在部署SSR之后，中電科某所內(nèi)網(wǎng)中沒有任何一臺感染操作系統(tǒng)的事件發(fā)生，并且有效杜絕了從漏洞發(fā)現(xiàn)到漏洞修補的"真空期"，為中電科某所提供了應(yīng)對"零日威脅"的能力。

　　改變?nèi)鹤?quot;脆弱"為"強壯"的系統(tǒng)

　　在沒有條件更新操作系統(tǒng)補丁的內(nèi)網(wǎng)，服務(wù)器操作系統(tǒng)的安全漏洞成為最致命的攻擊目標(biāo)。脆弱的主機，如果完全依賴操作系統(tǒng)自身的安全機制配置，如：權(quán)限、強密碼、各種安全規(guī)則的設(shè)定，顯得非常無力。而SSR能夠?qū)⑦@樣"脆弱"的操作系統(tǒng)，提升到國家計算機等級保護三級標(biāo)準(zhǔn)，實現(xiàn)強壯的權(quán)限和認(rèn)證體系。

　　改變四：變"分散"為"統(tǒng)一"的管理

　　之前，內(nèi)網(wǎng)中的服務(wù)器管理各自為戰(zhàn)，往往只有事件發(fā)生后，才去"亡羊補牢"，無法真正的做到事前防御、事中檢查、杜絕危險蔓延。而SSR統(tǒng)一管理的策略，保證了服務(wù)器策略的一致性，尤其是統(tǒng)一分發(fā)和實時監(jiān)控功能，為管理員提供強大的管理工具，輕松實現(xiàn)威脅預(yù)警、定位，全面提高了管理效率。

　　改變五：變"手工加固"為"永久自動防御"

　　在部署SSR之前，中電科某所的主機安全主要通過手工加固的方式來實現(xiàn)，這種工作方式雖然可以暫時消除系統(tǒng)的安全隱患，但卻有著明顯的弱點。例如：專業(yè)性強、費用高、周期長、無法審計、無法長期有效等問題，因此達不到強制訪問控制的要求。而SSR通過三權(quán)分離原則，首先把系統(tǒng)管理員、安全管理員和審計管理權(quán)限分開，讓他們相互制約，相互監(jiān)督。在加固技術(shù)上，SSR采用內(nèi)核加固方式，通過在操作系統(tǒng)內(nèi)核層，增加強制訪問控制模塊，并配合安全策略來實現(xiàn)系統(tǒng)加固，只要配置好SSR安全策略，管理員不再需要開展升級、打補丁或手工加固等工作，就能達到永久防御目的。

　　中電科某所相關(guān)負(fù)責(zé)人表示："通過對信息系統(tǒng)安全防護架構(gòu)的重新評估，我們認(rèn)為，浪潮SSR幫助中電科某所的信息安全管理實現(xiàn)了五項重大改變。尤其是針對操作系統(tǒng)的漏洞、后門隱患形成的主動保護，讓我們遠離了不斷打補丁的困擾。一個比較形象的比喻就是給操作系統(tǒng)罩了一層'金鐘罩'，大大提升了操作系統(tǒng)對病毒、木馬的免疫，在未安裝補丁的情況下有效保護和加固現(xiàn)有操作系統(tǒng)。"