浪潮SSR服务器安全加固系统解决方案.doc

浪潮SSR效劳器平安加固系统

解决方案

北京浪潮嘉信计算机信息技术

2011年11月4日

目录

TOC\o1-3\h\z\u1效劳器面临的平安威胁3

2传统方案存在平安问题4

3嘉信SSR加固解决方案6

效劳器平安加固系统核心设计理念6

效劳器平安加固系统遵循国家标准6

嘉信SSR平安加固技术方案7

方案目标7

SSR平安加固系统功能7

SSR平安加固系统部署8

4方案价值建立效劳器生命周期平安保障体系10

系统主动防御10

系统增强免疫11

5局部成功案例12

效劳器面临的平安威胁

随着各行各业信息化水平的不断提高，业务应用的不断增多，由此产生了大量的业务数据，而这些业务数据在很大程度上具有很强的机密性，如：国税系统、医疗企业HIS系统、企业级应用系统、软件公司核心代码、国家宏观文件、军事机密等，都是企业核心应用和数据资产。虽然很多企业和组织已经部署了防火墙、入侵检测、杀毒软件等，但来自外部与内部的信息窃取、系统渗透、网站被黑、业务中断等恶意攻击行为却时有发生，效劳器平安面临更加严峻的考验。

图1-1效劳器面临的平安威胁

传统方案存在平安问题

目前，大多数企业认为效劳器设置较高强度的密码、边界配置防火墙、入侵检测、网内安装网络版杀毒软件，就能够保证业务系统平安，网络与应用就不再有这样或者那样的平安问题。殊不知，网络的整体平安不是靠某台平安设备就能够保证您的网络100%的平安，它要求企业必须从物理平安、网络平安、系统平安、主机平安、应用平安等多个层面，建立纵深的平安防御体系，才能保证企业业务与应用的根本平安。那么当前传统解决方案具体存在哪些问题呢？总结起来，主要包括以下三个方面：

企业平安体系不够健全，注重物理平安、网络平安，无视网络整体平安，未能通过有效评估，优化网络资源结构；

近年来，黑客成群体性开展，具有组织性、利益性、攻击性特点，通过网络散布x-scan、阿D、明小子等具有很强攻击性软件，任意用户下载，就能够对企业的网络平安构成威胁；

平安设备的功能具有很强的倾向性，只能够管一个方面，无视另一个可能引发的平安隐患，而且设备本身可能存在潜在的漏洞，详见下表平安设备存在的缺乏

目前常用平安设备

平安设备存在的缺乏

防火墙

对网络访问行为实现访问控制，过滤大局部入侵行为；但由于防火墙只能在网络边界做平安控制，无法解决网络内部的入侵行为，也就是说无法解决内网的信息盗窃、信息丧失、主动泄密、交叉感染等平安问题，无法保障信息的保密性、完整性、可用性、可控性和抗抵赖性；随着入侵技术的提高，入侵者往往会利用应用系统漏洞而绕过防火墙，渗透网络内部，盗取数据。

网闸

类似于防火墙〔逻辑隔离〕，它属于物理隔离设备，只不过在隔离强度上增加了技术难度，存在与上述防火墙同样的平安缺点。

入侵检测

它是一种检测工具，无法实现主动隔离，是一种事后报警行为，只能提醒管理员当前网络中出现了哪些入侵行为；由于其攻击特征库升级滞后性，无法实现对新的入侵方法检测；漏报、误报是该技术最大的技术障碍；无法实现对信息在流转环节中的平安保护，包括信息的保密性、完整性、可用性、可控性和抗抵赖性。

防病毒

能够检测、发现、隔离已有的病毒，防止恶意代码破坏、盗窃企业重要的业务文件和敏感信息；但由于其滞后性的特点，无法检测到新型病毒，从而在很大程度影响它的平安效能，无法实现真正意义上的主动防御，在信息保护过程中大打折扣。

漏洞扫描、补丁管理

工作机理类似于入侵检测，也存在滞后性缺点，只能在已有的漏洞库上进行工作，无法检测新的平安漏洞，是一种事后处理行为。

防水墙

它主要对工作主机的传输渠道进行平安控制，如网络、接口、存储设备、打印等，以减少主动泄密事件的发生；但它无法从根源上杜绝管理人员的主动泄密行为，技术是无法实现的，只能从管理上来着手；它相对于以前的随意使用这些主机资源起到了标准作用，提高了使用者的平安意识；它无法解决信息盗窃、信息丧失、主动泄密、交叉感染等平安问题，无法确保信息的保密性、完整性、可控性和抗抵赖性。

嘉信SSR加固解决方案

效劳器平安加固系统核心设计理念

针对上述效劳器面临的平安问题，嘉信公司提出了基于操作系统底层的效劳器平安加固解决方案。解决方案的核心设计理念如以下图1-2所示，即：以保障效劳器操作系统平安为根底，以效劳器账户平安、数据平安、应用平安、运维平安四个方面为目标，打造效劳器全生命周期的平安防护，全方位保障效劳器的平安。

图1-2嘉信SSR效劳器加固系统核心理念

效劳器平安加固系统遵循国家标准

2007年12月，国家信产部、保密局、公安部相关领导及国内注明平安专家沈昌祥院士，共同通过了浪潮效劳器平安加固系统SSR这一国家级工程进行了验收，验收依据的标准，也