在互联网产业飞速发展的今天,人们从观念上对在线交互式网站服务、自动化办公系统、信息化生产系统等在线生产生活方式逐渐接受,越来越多的企事业单位从传统服务经营模式,进化为传统生产与在线服务、交互相结合的现代运营模式。在业务的进行过程中,会有大量涉及货币资产和国家机密的信息通过网络系统储存、流通,这在增加了交易便捷性的同时,也必定会引来藏匿于网络中的不法分子贪婪的窥视。在金钱、政治等目的的诱惑下,国内外已经形成了较为完整的黑客地下产业链,非法组织或敌对势力雇佣计算机黑客通过非法手段获得企事业单位服务器控制权,进而窃取我国在公安、司法、制造业等敏感数据,甚至恶意操纵生产系统,以达到干扰司法公正、非法牟利等破坏人民正常的生产生活的目的。
面对这些非法的入侵者,传统的被动式信息安全防护体系,往往面临着“防不胜防”的窘境,看着如此频发的安全事件,难道我们的网络安全管理者们就只能束手就擒?
浪潮作为中国的服务器产业领军厂商,近年来,致力于服务器安全领域研究,旗下的SSR服务器安全加固系统作为国内首款操作系统内核级安全产品,通过独有的内核安全技术,重构操作系统的核心层权限访问控制模型,实现了系统操作人员最小授权管理、行为安全审计功能、重要数据库、业务系统等核心数据资产强制访问控制保护,从信息系统核心层解决了网络病毒、黑客入侵、内部人员违规操作等安全隐患,为中国信息化建设的健康发展保驾护航。
网络新业务的不断兴起,为公安系统信息化建设的发展创造了的大环境基础,随着新技术的应用,公安网上办公系统、互动式门户网站等系统陆续上线,极大地提高了公安部门的办公效率。
通常情况下,网络系统安全与性能、功能是一对矛盾的关系,如果某个系统不对外界提供任何服务(断开),外界是不可能对其构成安全威胁的。但是,公安信息网络结构复杂,内联网不仅连接着省、市、县等,而且还连接酒店 登记网络、交警网络,等于将原有的内部网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。而随着交互式门户网站的建立,公安网接入国际互联网络,提供公开信息,安全问题更加复杂。
对公安系统的安全威胁,包括网上黑客入侵和利用新型病毒感染公安系统服务器,造成数据丢失、系统瘫痪等事故,应引起足够警惕。虽然公安系统已经部署了杀毒软件,但由于互联网中病毒和木马的数量以几何级数增长,传统杀毒软件“特征库”的查杀方式,已很难跟上病毒增长的速度,而且随着病毒技术的发展,很多病毒利用现在操作系统底层安全性不足的缺陷,已经深入到系统内核层,例如今年大规模爆发的“机器狗”病毒,这类病毒不仅增加了杀毒软件查杀的难度,甚至出现杀毒软件自身被病毒从底层破坏,公安系统数据资产被病毒木马任意操纵的情况。
浪潮SSR通过独有的内核安全技术,增强公安系统操作系统底层安全性,对操作系统的文件、注册表、服务、进程等资源实现强制访问控制,消除病毒等恶意程序的生存环境,即使绕过杀毒软件的新型病毒文件通过公安系统的开放服务上传到服务器中,也无法实现启动和破坏行为。使服务器能够免疫针对服务器操作系统的攻击,实现对已知或未知病毒程序、ROOTKIT级后门威胁的主动防御。避免出现公安系统因新的蠕虫等感染型病毒的出现,而导致的公安系统网络瘫痪、公安系统服务中断等安全事故。
人民法院根据法律规定负责辖区内的刑事、民事、经济、知识产权、行政和执行等案件的审判工作。根据法院信息化建设工作要求,大量的应用系统需要在网络中畅通运行,网络信息承载量不断增大。为了保证法院信息网络安全稳定地运行,必须对信息网络资源进行优化配置;必须增强对网络危机进行预警机制的建设;保证网络故障能得到更快诊断和及时排除;必须提高网络监控管理能力,使网络应用更加合理,运营维护更加规范。
目前高级法院政法三级网络已经覆盖到所有基层单位,应用已经在网络平台上大规模开展,并不断增加,日常工作对网络的依赖性日益增加,因此,确保法院信息系统的安全,保障数据的机密性、可用性工作显得尤为重要。
保障数据文件访问独立性
在法院信息系统常规的流程中,卷宗管理人员通过法院办公应用系统访问后台数据库,一般办公应用系统自身都通过CA证书等管理系统控制应用系统账号,以保证前台应用系统的安全性。但在现实的工作环境中,在登录服务器后,除了应用系统程序,还可以通过本地访问、查询工具等很多方式绕过前台授权直接访问后台数据库文件,导致了泄密事件的发生,无法确保数据库的保密性和安全性。通过浪潮SSR的强制访问控制机制,可以增加数据库文件的独立性,保证后台数据库文件只允许被数据库或办公程序等业务程序访问,拒绝其他所有非可信程序,配合前台应用程序的安全认证,保障数据库文件访问的安全性,防止因非法访问服务器数据而造成泄密等安全事故。
敏感数据加密
因为法院行业的特殊性,除了在服务器中的数据,工作人员终端电脑上也存在大量敏感信息。从近几年重要信息泄密事故趋势看,越来越多的泄密事件是因为个人电脑被木马程序操纵,尤其是移动介质中的“摆渡式木马”,极易造成信息的泄露。浪潮SSR的文件强制访问控制以及数据加密功能,可以对重要文件实现按用户、按进程的访问授权,杜绝木马等恶意程序对文件的非法访问,如果出现文件在使用者不知情的情况下流出电脑,浪潮SSR的USBK-KEY硬件加密技术,也会使其内容无法被读取。并且,浪潮SSR驱动防护技术,实现未经授权的非受信U盘等移动存储介质插入电脑后无法被识别,从而保证数据不被非法的拷贝,复制或打印。
烟草行业信息安全保障体系是烟草行业信息化健康发展的基础和保障,是烟草行业各级数据中心的重要组成部分。为推进信息安全保障体系建设,提高信息安全管理水平和保障能力,国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》。
随着行烟草业网络建设的不断发展,“以电子商务为特征的,以信息化为支撑的新业务模式”不断完善和发展,网上订货在行业内得到不断推广应用。作为一种互联网与行业内网结合的信息系统,信息安全是一个非常重要的问题。
目前烟草信息系统主要由营销系统、网上交易平台、前置机以及非可信的零售商等终端组成,这些复杂但又相互独立的子系统的运行、维护需要大量的人力物力和专业化技能,更重要的是各个职能部门的通力配合。系统各个部门之间合理的职能划分,是实现信息系统高效、安全运行的制度保障。在现有的系统职能划分中,业务部门部门负责数据录入、输出、流程处理等工作,保障业务信息系统的安全运维工作是由在信息中心指导下的厂商现场专人维护完成。现在行业内的计算机系统基本上都是以厂商现场专人维护方式,因此对于本系统应用的服务器系统,存在服务器厂商、数据库厂商、应用系统厂商三方共同维护的问题,各厂商从分清责任考虑都仅对自己责任范围内负责,然而我们面临的问题是,三方在分清责任的同时,却并没有规范各自的权限,各方人员通过系统管理员账号进入系统,除了执行责任内的运维、升级等行为外,对服务器中的业务数据文件、核算程序进程也有着完全的访问权限。
浪潮SSR的系统操作人员授权管理功能,可以让主管部门根据各职能单位和外包商的实际工作范围进行授权,对各人员使用的服务器系统管理员的无限权力进行合理分配,设置访问控制规则约束系统管理员的行为,从而达到从根本上保障系统安全的目的。也就是说,今后各系统操作人员,即使用系统最高权限账号登录也只能做其职能范围内的操作,例如查看日志、定期备份、软件维护等,如果需要访问业务信息系统的数据库、程序等,就必须取得主管信息系统的授权,否则对所有业务信息系统资源都没有任何访问权限。
通过合理的权力划分,不仅可以规避来自服务外包商人员对业务数据误操作等非法访问带来的风险,还可建立对数据等敏感信息更加合理的访问控制机制,完善烟草行业的系统安全管理制度。
