中华人民共和国高人民法院专网中流转着大量司法解释、司法文件和审判内容,并且与中央及国务院各部门网络都有连接,因此系统安全性必须得到充分保证。但是部署在网络边界的安全产品无法对主机形成有效防护,关键数据仍面临安全风险。日前,浪潮SSR操作系统安全增强系统为高法主机进行加固,在服务器最底层形成了更加可靠的防护屏障,加固之后的高法网络安全状况得到大幅提升,达到国家等级保护技术要求。
法治是现代社会的重要组成部分,公正是法治的生命线。互联网时代,司法公正不仅包括审判过程公正,信息公平也是其中应有之义。正因如此,中华人民共和国高人民法院(以下简称:高法)在专网核心节点区的建设中将系统安全作为重点,通过浪潮SSR操作系统安全增强系统(简称“浪潮SSR”)进行了主机加固,从主机安全入手,在服务器底层形成了更加可靠的防护屏障,达到了国家等级保护技术要求。
保障专网安全主机安全成重点
高法是国家高审判机关,监督地方各级人民法院和专门人民法院的审判工作。“我们的系统纵向上与全国31个高级人民法院以及392个中级人民法院相连,横向上与中央及国务院各部门网络都有连接。系统中流转着大量涉密的案件审理信息和司法解释、司法文件,有些内容涉密级别很高。随着信息化进程的推进,信息技术沟通的频率日渐增多,安全隐患也日益增多。我们必须保证系统的安全性,否则造成安全事故,后果将不堪设想。”高法信息中心相关专家表示。
正是基于这样的认识,高法专网在核心节点区扩建之初就按照《国家信息系统等级保护管理办法》和国家保密委《涉及国家秘密的信息系统分级保护管理办法及技术要求》规划,并邀请资深测评单位对相关网络和应用系统进行预测评,已形成预测评报告。针对测评中所发现的问题和不足,高法把主机安全作为系统升级的重点来应对,通过提升主机安全来实现整体安全的提升。
主机安全为何如此重要呢?这要从高法网络架构谈起。高法的IT系统主要是包括以下几个部分:用于内网办公应用系统的考勤系统、业绩档案管理系统;用于面向全国法院的案件情况统计系统、司法辅助管理系统;容灾备份系统、文件共享系统以及信访系统。支撑这些系统的服务器普遍采用Linux和Windows操作系统,这些操作系统具有先天的脆弱性,系统漏洞层出不穷并且危害巨大,令人防不胜防。
为消除安全漏洞,大多数信息中心采取的解决方案,仅仅局限于杀毒软件的防护。但是杀毒软件的防护是基于黑名单的防护机制,即杀毒软件的防护能力取决于病毒库的水平。倘若一种新型的病毒和黑客攻击形式不被包含在病毒库中,那么主机操作系统随时面临被恶意攻击的风险。操作系统的健康程度是信息系统安全建设的关键指标,然而,大部分的关键主机远没有达到《国家信息系统等级保护管理办法》和国家保密委《涉及国家秘密的信息系统分级保护管理办法及技术要求》规定的服务器操作系统安全标准。所以,主机安全成为高法系统安全的关键。在预评测的过程中,以下三个问题被重点提及。
一、脆弱的认证体系:传统的操作系统的认证体系仅仅是一个账户密码的单次认证方式,只需要一个密码就可以拥有所有的权限对系统进行操作,安全隐患显而易见。
二、自主访问控制造成的安全隐患:基于自主访问控制(DAC)的操作系统处于TCSEC的C2级,一定程度上提升了操作系统的安全性,但是这都是以用户权限为基础的,一旦用户的超级管理员权限丢失或者用户的误操作都将对信息系统造成损失。
三、操作系统漏洞造成的安全隐患:不论是Windows系统还是Linux系统,都会发现漏洞,所以补漏常常会作为增强信息安全系统的一种方式,但这种被动的防御方式并不能抵挡所有的有害攻击。而且从操作系统漏洞从被发现,到最后厂商发布可以稳定运行的补丁,一般都有3到6个月的“真空期”,而这段时间内便是操作系统最脆弱的时期,最容易被攻破。
面对这些安全隐患,高法的安全专家提出专业的主机安全防护工具必不可少,浪潮SSR能够对这些问题进行彻底的改善。
加固内核全面提升主机安全
“浪潮SSR从加固内核入手,全面提升了我们系统的主机安全。”该专家说。具体说来,浪潮是基于先进的ROST(内核加固)技术理论从系统层对操作系统进行加固的系统安全解决方案。通过部署浪潮SSR,高法系统之前遇到的三个核心问题得到有效解决:
针对系统认证体系的脆弱性问题,浪潮SSR采用USB-KEY加密码的双因子认证方式,只有两者同时存在,才可以进行操作,与之前一个账户密码的单次认证相比,大大增强了操作系统的安全性。
「浪潮SSR ROST内核加固技术实现原理」
针对系统自主访问控制的隐患,浪潮SSR采用强制访问控制的方式予以弥补。在强制访问控制下,用户与文件等主客体都被标记了固定的安全属性,在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。其中,多级安全(MultiLevel Secure, MLS)就是一种强制访问控制策略。
针对操作系统漏洞的问题,浪潮SSR基于先进的白名单技术对操作系统进行加固,旁路所有的文件访问操作,从驱动层达到为主客体进行安全表示判断的目的,实现主动防御,有效避免了零日漏洞的产生。
浪潮SSR守卫主机高法系统安全升级
“根据我们系统的设备布局特点,浪潮安全工程师专门制定了更加精细化的防护策略,实施效果非常理想,系统的安全性得到大幅提升,达到国家信息安全等级保护标准。”该专家表示。具体说来,高法系统在其关键业务系统上部署浪潮SSR,覆盖考勤系统、业绩档案管理系统、案件情况统计系统、司法铺助管理系统、容灾备份系统、信访系统、运维管理系统等系统,对访问权限、进程权限等内容进行限制。同时,配合防火墙等技术形成全面立体的防护,既能防止SQL注入攻击、DDoS攻击等攻击行为,又能防止基于系统内核层的攻击、后门攻击等非法篡改网站的行为。
高法信息中心安全专家对浪潮SSR的防护效果非常满意,他说:“这不是我们第一次采购浪潮SSR,在IT架构的其他位置我们曾经使用过浪潮SSR进行安全防护,显著减少了针对主机的安全事故。这也是我们系统升级直接找到浪潮寻求安全帮助的重要因素。”
在任何一个时代,司法公正都是社会公平和人民生活稳定的基本保障。随着互联网时代的到来,司法过程实现了信息化,那么保证网络平台的稳定和安全就成为保障司法公正的重要基础,主机安全则是系统安全的基础。浪潮SSR成功守卫了主机安全,就促进了互联网时代的司法公正进一步向前推进。
热门专题
