主机安全
安全应用交付系统
主机安全,其核心内容包括安全应用交付系统、应用监管系统、操作系统安全增强系统和运维安全管控系统。它的具体功能是指保证主机在数据存储和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。
主要功能
防护功能
操作系统内核层实现文件注册表进程服务网络等对象的强制访问控制,可配置针对以上对象不同的访问策略来保护系统和应用资源,即使是系统管理员也不能破坏被保护的资源。
防格式化保护机制
保护功能开启时,可防止病毒和入侵者恶意格式化磁盘,同时降低管理员意外格式化磁盘的风险。
完整性检测
对文件和服务进行完整性检测,并可设置定期检测项目,当发现文件或者服务篡改时进行报警并发现哪些文件发生改变。
系统资源监控与报警
对系统的CPU、内存、磁盘、网络资源进行监控,当这些资源的使用状况超过设置的阀值时将进行报警,以提前发现资源不足、滥用等问题。
双因子认证和组合式密码认证
不仅提供SSR安全管理员和SSR审计官员的USB KEY+密码的双因子认证功能,还可对系统用户配发USB KEY实现双因子认证。对于远程登陆和虚拟化系统而无法识别USB KEY的服务器,SSR提供可配置两个密码组合的登陆认证方式,只有掌握密码的两个人同时存在才能登陆系统,以此确保自然人的可信。
审计功能
违规日志审计
记录系统内的所有违反强制访问控制策略的事件,并提供日志的查询、删除、备份、导出、日志分析和syslog转发功能。
操作日志审计
记录管理员对SSR的所有操作事件如登陆、功能停用等,并提供日志的查询、删除、备份和导出。
关键事件报警
提供管理员可配置的时间报警机制,当管理员设定的事件被触发时,通过邮件的形式向管理员发出通知。
管理功能
统一管理机制
在一个SSR控制台可以同时对多个平台的SSR进行管理和维护,且SSR可开放接口给第三方管理平台集成,实现与不同产品间管理的融合。
灵活多样的策略模板
提供经过验证的分等级的安全策略模板,全面保护系统,方便易用,降低用户的使用难度。
信息收集
提供对系统信息以及SSR运行信息收集打包功能,当SSR在使用过程中出现问题或者用户有疑问时,可将收集的信息包发给SSR技术人员,技术人员可通过这些信息快速定位问题并解决用户疑问。
维护模式
当用户担心自己配置的策略是否会影响系统和应用时,可开启此功能,此时SSR将只记录违规的日志而不进行阻止,便于管理员在不造成业务中断的情况下调整策略。
应用场景
主机安全已广泛应用于全国各地的政府、军工、军队、能源、金融和央企等国家重要部门。
产品价值
免疫病毒木马,抵御黑客攻击
系统采用的ROST技术对系统中的文件、注册表、进程、网络、服务、帐户等多方面进行防护构建立体防护体系,从文件创建、执行、访问资源到结束层层把关,从根本上免疫各种已知未知病毒、后门等恶意代码,抵御黑客的攻击,确保系统和应用安全稳定运行。
系统采用强制访问控制白名单机制,只允许可信的帐户和进程访问被保护资源,并对操作系统中重要二进制文件进行完整性保护。即使恶意代码利用漏洞获取了系统的权限,也不能破坏系统文件和植入木马,降低了从“零日漏洞”发现到用户打上补丁之间这段“真空期”的安全风险,同时允许用户延迟补丁部署,推迟到定期修补周期进行修补。
分权管理,有效规避“一权独大”
系统采用了分权管理的机制,规避了原操作系统管理员“一权独大”的风险,将原系统管理员权限分散为系统操作员、安全管理员和审计管理员,三个权限各司其职,相互制约,实现了最小权限,不仅保证了系统安全性,同时贴合了国家相关信息安全标准规范。
提升系统安全级别,增强用户合规体验
系统在操作系统内核层实现了安全标记和强制访问控制机制,与用户系统自身的自主访问控制相融合,为系统和用户重要应用提供更强的约束和更高的安全控制级别,同时提供三权分立、完整性校验、双因素认证剩余信息保护等紧贴信息安全标准的功能,帮助用户在系统安全建设时的合规要求。
发展历程
我国的信息安全经过二十多年的建设,在防病毒、网络和边界安全方面到得了一定成果,但没有重视存储和处理数据的主机环境安全建设,主机是信息安全最重要,也是最后一门防线,再加上美国采用贸易壁垒的方式来限制高安全等级的产品买到中国,这更加剧了我国主机安全建设的难度。
主机安全在国内经历了跟随、学习、探索、总结4个阶段,逐渐形成了具有中国特色主机安全解决方案的三部曲:创新、应用、完善。
创新:是指借助新技术创造符合中国信息安全要求的主机核心基础装备及安全加固类产品,如:国产可信服务器、国产安全存储国产操作系统、洋操作系统内核加固产品、国产中间件、国产数据库、洋数据库的安全加固产品、数据中心主机安全监控产品等。
应用:在关键领域逐渐实现核心基础装备的替代,对于无法在短期内实现快速替代的核心装备,如:操作系统、数据库、中间件等核心资产,进行国产安全加固产品的部署,使之符合中国信息安全相关要求。
完善:现有国产化主机装备在功能及性能、易用性方面,与国外同类型产品存在一定的差距,因此需要不断的完善产品的功能、性能及易用性。不可避免的是,国产化基础装备在不断的完善设计开发过程中会存在很多安全漏洞,在其外围部署安全加固产品及增加补丁,也是必不可少的。
主机面临的安全风险主要来自三个方面:一、是主机本身的缺陷,这包括了软硬件本身的缺陷,如漏洞,以及管理人员的误操作;二、是外部威胁,这是是期进行信息安全建设主要考虑的方面,防外; 三、是内部威胁,这是最近几年大家比较关注的,如何防止内部人员的非法访问和操作。
在云计算和大数据时代,不少厂商聚焦“主机安全”,依托自主创新,重点发展安全可控的主机安全关键技术,打造系列化主机安全产品,提供专属主机安全服务,如:浪潮集团。
在云计算环境中,安全的焦点在保证虚拟机操作系统的安全,只要保证了每个操作系统的安全,就可以从源头上避免虚拟机之间的攻击以及远程威胁。浪潮SSR拦截了所有的内核访问路径,所有符合云平台规则的文件、进程、服务、权限都予以“放行”,不符合规则的就进行屏蔽。这样做的效果与重构操作系统原代码技术类 似,而好处是不会影响用户的业务连续性。采用这种方式,云平台的操作系统中彻底清除了黑客攻击、儒虫和病毒感染的“生存环境”,也就从根本上解决了虚拟机 之间攻击的问题。
2014年9月27日,由浪潮集团牵头的国内首个国产主机系统产业联盟,在工信部的见证下于北京成立,首批联盟成员有16家,涵盖了浪潮、中标软件金蝶、达梦、锐捷网络等中国主要的IT软硬件企业。联盟旨在推动主机、芯片、操作系统、数据库、中间件等领域IT企业的合作,建立中国自主的IT产业链,实现发展方式的转型升级。
浪潮数据中心主机安全解决方案,关键业务应用的产品和技术,以及基于龙芯、飞腾等处理器的全国产服务器,并积极构建基于主机的应用生态链,与国产的操作系统、中间件、数据库、软件应用等厂商建立战略合作联盟,让数据中心的数据、应用不再“裸行在他人的庭院”,另一方面,对于已经大量采购、运行国外软硬件品牌的数据中心,推行安全可靠的技术发展路线,以主机系统安全为依托,提升整个数据中心的信息安全防护等级和能力。
作为国内领先的云计算整体解决方案供应商,浪潮以国家信息安全为己任,一方面积极采取自主可控的技术发展路线,开发浪潮天梭K1、海量存储、云海OS、大数据一体机等面向行业高端、从业务数据流和管理数据流两个方面构建以SSA、SSR、SSM、SSC为核心的整体防御体系。从业务数据流方面,数据从外部接入,采用服务器负载均衡技术和web数据过滤技术,保证数据高可用、更快速、更安全,保证服务器具备高性能、高扩展性;在主机服务器层面,采用内核加固技术,构建安全内核模型,实现强制访问控制,保证服务器操作系统本身免疫一切外部和内部攻击,实现主动防御,保证业务不断、数据不丢,也从根本上避免了系统管理员超级权限丢失带来的风险;从应用层面,对数据中心设备,包括服务器操作系统、中间件、数据库等进行统一的监控管理,做到安全可量化、可视化、可知化,实现安全事件监测、响应联动模式;在系统运维方面,对系统管理员、系统运维人员、系统应用高权限用户第三方厂商的维护人员以及其他临时高权限人员做到全方位的管理,整合账号管理、身份认证、授权管理和安全审计,实现数据中心运营集中集控。
最新修订时间:2023-03-29 06:48
目录
概述
主要功能
参考资料