浪潮SSR服务器安全加固系统解决方案

浪潮SSR服务器安全加固系统解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 北京浪潮嘉信计算机信息技术有限公司2011年11月4日目录TOC\o"1-5"\h\zHYPERLINK"bookmark4"\o"CurrentDocument"1服务器面临的安全威胁3HYPERLINK"bookmark6"\o"CurrentDocument"2传统方案存在安全问题3HYPERLINK"bookmark8"\o"CurrentDocument"3嘉信SSR加固解决方案5服务器安全加固系统核心设计理念5服务器安全加固系统遵循国家标准63.3嘉信SSR安全加固技术方案6HYPERLINK"bookmark10"\o"CurrentDocument"方案目标6HYPERLINK"bookmark12"\o"CurrentDocument"SSR安全加固系统功能7HYPERLINK"bookmark14"\o"CurrentDocument"SSR安全加固系统部署7HYPERLINK"bookmark16"\o"CurrentDocument"方案价值---建立服务器生命周期安全保障体系94.1系统主动防御9系统增强免疫10HYPERLINK"bookmark18"\o"CurrentDocument"部分成功案例111服务器面临的安全威胁随着各行各业信息化水平的不断提高，业务应用的不断增多，由此产生了大量的业务数据，而这些业务数据在很大程度上具有很强的机密性，如：国税系统、医疗企业HIS系统、企业级应用系统、软件公司核心代码、国家宏观文件、军事机密等，都是企业核心应用和数据资产。虽然很多企业和组织已经部署了防火墙、入侵检测、杀毒软件等，但来自外部与内部的信息窃取、系统渗透、网站被黑、业务中断等恶意攻击行为却时有发生，服务器安全面临更加严峻的考验。图1-1服务器面临的安全威胁2传统方案存在安全问题目前，大多数企业认为服务器设置较高强度的密码、边界配置防火墙、入侵检测、网内安装网络版杀毒软件，就能够保证业务系统安全，网络与应用就不再有这样或者那样的安全问题。殊不知，网络的整体安全不是靠某台安全设备就能够保证您的网络100%的安全，它要求企业必须从物理安全、网络安全、系统安全、主机安全、应用安全等多个层面，建立纵深的安全防御体系，才能保证企业业务与应用的基本安全。那么当前传统解决方案具体存在哪些问题呢？ 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 起来，主要包括以下三个方面：企业安全体系不够健全，注重物理安全、网络安全，忽视网络整体安全，未能通过有效评估，优化网络资源结构；近年来，黑客成群体性发展，具有组织性、利益性、攻击性特点，通过网络散布x-scan、阿D、明小子等具有很强攻击性软件，任意用户下载，就能够对企业的网络安全构成威胁；安全设备的功能具有很强的倾向性，只能够管一个方面，忽视另一个可能引发的安全隐患，而且设备本身可能存在潜在的漏洞，详见下表安全设备存在的不足目前常用安全设备安全设备存在的不足防火墙对网络访问行为实现访问控制，过滤大部分入侵行为；但由于防火墙只能在网络边界做安全控制，无法解决网络内部的入侵行为，也就是说无法解决内网的信息盗窃、信息丢失、主动泄密、交叉感染等安全问题，无法保障信息的保密性、完整性、可用性、可控性和抗抵赖性；随着入侵技术的提高，入侵者往往会利用应用系统漏洞而绕过防火墙，渗透网络内部，盗取数据。网闸类似于防火墙（逻辑隔离），它属于物理隔离设备，只不过在隔离强度上增加了技术难度，存在与上述防火墙同样的安全缺点。入侵检测它是一种检测工具，无法实现主动隔离，是一种事后报警行为，只能提醒管理员当前网络中出现了哪些入侵行为；由于其攻击特征库升级滞后性，无法实现对新的入侵方法检测；漏报、误报是该技术最大的技术障碍；无法实现对信息在流转环节中的安全保护，包括信息的保密性、完整性、可用性、可控性和抗抵赖性。防病毒能够检测、发现、隔离已有的病毒，防止恶意代码破坏、盗窃企业重要的业务文件和敏感信息；但由于其滞后性的特点，无法检测到新型病毒，从而在很大程度影响它的安全效能，无法实现真正意义上的主动防御，在信息保护过程中大打折扣。漏洞扫描、补丁管理工作机理类似于入侵检测，也存在滞后性缺点，只能在已有的漏洞库上进行工作，无法检测新的安全漏洞，是一种事后处理行为。防水墙它主要对工作主机的传输渠道进行安全控制，如网络、接口、存储设备、打印等，以减少主动泄密事件的发生；但它无法从根源上杜绝管理人员的主动泄密行为，技术是无法实现的，只能从管理上来着手；它相对于以前的随意使用这些主机资源起到了规范作用，提高了使用者的安全意识；它无法解决信息盗窃、信息丢失、主动泄密、交叉感染等安全问题，无法确保信息的保密性、完整性、可控性和抗抵赖性。3嘉信SSR加固解决方案3.1服务器安全加固系统核心设计理念针对上述服务器面临的安全问题，嘉信公司提出了基于操作系统底层的服务器安全加固解决方案。解决方案的核心设计理念如下图1-2所示，即：以保障服务器操作系统安全为基础，以服务器账户安全、数据安全、应用安全、运维安全四个方面为目标，打造服务器全生命周期的安全防护，全方位保障服务器的安全。图1-2嘉信SSR服务器加固系统核心理念3.2服务器安全加固系统遵循国家标准2007年12月，国家信产部、保密局、公安部相关领导及国内注明安全专家沈昌祥院士，共同通过了浪潮服务器安全加固系统SSR这一国家级项目进行了验收，验收依据的标准，也是浪潮服务器安全加固系统研发所遵循的标准，经过鉴定，其满足如下标准：1、公安部计算机信息系统安全产品质量监督检测中心依据的《信息安全技术访问控制产品检验规范》2、国家保密局涉密信息系统安全保密测评中心依照《涉及国家秘密的信息系统操作系统安全增强技术要求》3、中国人民解放军信息安全测评认证中心依照的《操作系统安全增强类信息安全产品等级划分方法》SSR产品符合国家信息系统等保三级的相关要求，如下图所示：3・3嘉信SSR安全加固技术方案3.3.1方案目标根据上述服务器安全解决方案的核心设计理念，嘉信公司自行研发的SSR服务器安全加固系统，对操作系统运行环境进行加固，从开机启动、系统认证、角色分配、强制访问控制（DAC）、事件审计等，提高服务器自身的安全防御能力，构造服务器安全的主动防御体系，从源头杜绝危害，解决已知或未知的病毒、蠕虫等恶意代码攻击、数据失窃、泄密、网页篡改等安全威胁，达到保障服务器的应用安全、数据安全及运维安全的目标。3.3.2SSR安全加固系统功能嘉信SSR服务器安全加固系统融合了可信计算、内核级加固、双因素认证、先进的ROST技术等多种业界领先技术的产品，该产品主要功能如下列表所示：模块功能项功能分析服务器账户安全■文件访问控制功能禁止建立隐藏账户、修改系统管理员密码服务器应用安全■文件访问控制功能禁止非法程序安装、运行、保护可信应用程序■进程强制访问控制对重要应用系统进程进行保护，防止非法中断■注册表强制访问控制保护注册表项，防止非法修改注册表项■服务完整性检测重要应用服务进行检测，发现增加、卸载及时报警服务器数据安全■文件访问控制功能保护重要数据文件，禁止修改、删除、重命名等■进程强制访问控制保护数据文件，只允许白名单进程有效访问数据■注册表强制访问控制保护数据文件重要注册表项，防止修改■文件完整性检测对重要文件/目录，进行实时监测，发现增加、删除及时报警服务器运维安全■网络访问控制功能限制服务器开启端口，禁止反向监听■进程强制访问控制系统默认规则，禁止reboot、init等■注册表强制访问控制禁止修改注册表文件，防止远程开启3389■集中管理模块集中管理服务器，实现单点登录，集中配置与审计3.3.3SSR安全加固系统部署嘉信SSR加固产品由软件和硬件两部分构成，软件是服务器安全加固系统服务端和客户端，硬件部分包括用户身份认证Usb-key。其中，服务端用于接受客户端的管理，实现服务器基础内核的保护以及应用级保护。客户端安装在网内任何一台主机，执行安全策略、统一管理、事件查看。硬件模块USB-KEY，作为系统的信任根以及用户身份的唯一标识；一般情况下，服务器安全加固方案部署如下图1-3所示：配S规则收集日志图1-3嘉信SSR加固系统部署图根据网络的规模和复杂程度，我们可以提供符合用户实际情况的服务器安全加固方案。针对中小型网络，我们提供精细管理的服务器加固解决方案，通过基于不同类型服务器的策略管理，制定不同的规则和管理方式，实现面向不同用户、实现不同策略的智能化、精细化的服务器安全加固。针对结构复杂的大型网络，可以提供集中管理的服务器解决方案，统一的 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 中心对各个区域的服务器进行统一管理。4方案价值---建立服务器生命周期安全保障体系系统登录安全运行安全连接4.1系统主动防御安全事件SSR主机系统加固技术则并不采用这种被动式的防御体系，而是主动防御，我们先将所有行为都视为不可信的，逐步放开可信的行为，并在这些可信行为上采用特殊的可信标记，并且采用足够细的粒度能够很容易判别出符合安全要求的行为。例如，某单位非管理员用户只能通过某个特定路径的进程以某种特定的方式（读、删、执行），去访问特定的某文件，在操作系统层实现主动防御不可信的行为。当我们在SSR中配置好可信的访问模型，重要的数据或应用就被保护起来，我们不用去考虑敌人用什么方法去破坏他。只要是一切破坏行为，例如：篡改数据、进程注入、病毒感染、删除、复制、读取、都将被主动的拒绝oSSR不去识别攻击的方法，只要是在访问控制列表中，各个粒度的规则有任何不匹配的动作就会被拒绝，从而实现最严格的操作系统层保护。篡改敖据口线程插入ROOKIT^nSSR主机系统加固技术完全可以做到“免疫”病毒、黑客攻击等破坏操作系统以及关键数据，而不依赖不断的更新来使自身保持这种能力。从部署SSR主机系统加固后主机便一直具备着这种免疫力，SSR主机系统加固并不需像杀毒软件一样频繁更新，即便是有新的版本或是新的功能需要改进而进行的更新，在时间上也是可控的。4.2系统增强免疫SSR为提高操作系统的安全系数，解决操作系统本身存在的缺陷问题，在不影响系统正常业务的前提下，SSR主机加固技术能够将这种“脆弱”的操作系统上透明提升到国家计算机等级保护三级标准，增加强壮的强制访问控制认证体系，合理细化系统的管理权限，完善的审计功能，完全有能力对抗目前所有二级操作系统下的任何攻击手法，对系统自身权限分配更细化，更安全。5部分成功案例＞政府国家稅务总局应用SSRForWindorfLinus和Solaris产品，保证Wdi和埶据库服务器的安全国家海关总署应用SSRforWindows产品，保证其Windows器的安全国家海洋局国家广电总局某监测台应用SSRforWindows1.0产品，保证其Widows2003^^-器的安全应用跖尺forWindows产品，保证其WindowsEDDCl朋务器的安全总蜃某硏究所应用禿RforWindows产品，保证其Windows2000朋劳器的安全证监合应用亞KforWindows产品，保证其Windows2000fl^器的安全武警总部北京市蛊级法院应用跖尺forWindows和Linux产品，保证其Windows2000、Linux月艮劳器的安全应用SSRfor呷indnvis和Lirux产品，棵证其WLndiws2000、LimxflB务器的安全北京市中级法院应用跖尺forWindows和Linux产品，保证其Windovra2000、Linus月艮务器的安全北京市公安局某处应用跖尺forWindows产品，保证其Windows刘前朋务器的安全山东地税贵州省公■安厅应用SSRforAIX产品，保证其AD｛平台抿税焉统的安全应用亞KforWindows产品，保证其Windows2003fl^器的安全军事科学硏究院应用亞KforWindows产品，保证其Windows2000fl^器的安全海军某试验基地应用跖尺forWindows产品，保证其WindowEfT購劳器的安全＞电力新疆电力应用SERforWindows产品，保证其Windows2000服务■器的安全洛阳供电局应用SSRforWindows产品，保证其Windows2003服务器的安全吉林电力应用跖RforWindows产品，保证其Windows2003服务器的安全山东莱钢隼团应用跖RforWindows产品，保证其Windows2003网站服务器的安全＞烟草河南省烟草公司平顶山分公司应用SSRforWindows产品，保证其Windows2000^^-器的安全安阳市烟草分公司应用SSRforWindows^品，保证其Windows2003^^-器的安全山东咽草应用SSRforWindows^品，保证其Windows2003^^-器的安全大连烟草应用貂RforWindows1.D产品，保证其Windows刘的朋箸器的安全＞石油胜利油田胜利采油厂应用S弧forWindows^品，保证其Window2000^^-^的安全中国石化胜利油田分出司海洋采油应用弟EforWindows产品，保证其Window2003^^-器的安全中石化胜利油田犬明（集团）股伪有限鱼司应用S弧forWindows^品，保证其Window刘站朋务器的安全胜利油田石化总厂应用弟EforWindows1.D产品，保证其Windows2003fi^器的安全中石油应用S弧forWindows^品，保证其Window2003网站朋努器的安全胜利油田海洋采油厂东营市丈昌石油科技开发有限责任公司应用SSRforLinux和聊indows产品，保证wet＞朋劳器和数据库的安全应用盟尺參个版本产品，保证其内部网络的系统安全和信息安全胜利油田隼输总厂应用弟尺參个版本产品，保证其内部网络的系统安全和信息安全＞税务北京地稅应用弟EforWindows产品，保证其Window2000^^-器的安全山东省地稅应用S弧forWindows^品，保证其Window2003^^-^的安全＞教育北京信息科技犬学应用5弧forWindows^品，保证其Windows2DCW服箸器的安全中国武装翼察部从学院应用盟EforWindows产品，保证其Windows2000fi^器的安全北方工业犬学应用開RforWindows产品，保证其Windows2000fl^B的安全第二炮兵学院河北省埶育考试院应用5弧forWindows^品，保证其Windows2003^^-器的安全应用盟EforWindows产品，保证其Windows2003fi^器的安全衢州开化学校应用開RforWindows1.D产品，保证其Windows2003fl^器的安全南京航空航天犬学应用5弧forWindows^品，保证其Windows2003屈站朋务器的安全＞银行郑州市商业银行应用開RforWindows产品，保证其Windows2000fl^B的安全济南市商业银行应用5弧forWindows^品，保证其Windows2DCW朋务器的安全＞军队中国人民解敢军閃E血部趴应用関RforWindows产品，保证其Windows2000朋务器的安全中国人民解敢军託囲2部臥.应用5弧forWindows^品，保证其Windows2DCW服箸器的安全中国一航第一飞机设计硏究员院11所应用弟RforWindows^品，保证其Windows2000fi^器的安全中航工业隼团通用飞机系统有限处司应用弟RforWindows^品，保证其Windows2003fi^器的安全北京航天新槪念软件有限公司天津航空机电有限公司应用弟EforWindows产品，保证其Windows2003fi^器的安全应用弟RforWindows1.D产品，保证其Windows2003^务器的安全南京航空航天大学应用弟RforWindowsj^^-保证其Windows2003阖站朋箸器的安全山西省衣原武宿机场江西洪都航空工业隼团有限公司应用SSRforLinux和牡Lndowm产品，保证web朋勞器和数据库的安全应用盟R參个版本产品，保证其内部网络的系统安全和信息安全沈阳飞机设计研究所应用弟尺參个版本产品，保证其内部网络的系统安全和信息安全＞证券国元证券股份有限公司应用盟RforWindows^品，保证其Windows2008fi^^的安全上海市证券报应用弟EforWindows产品，保证其Windows2003fi^器的安全中信万通证券有限青任处司应用弟RforWindows产品，保证其Windows2003fi^器的安全