浪潮SSR效勞器平安加固系統(tǒng)解決方案北京浪潮嘉信計算機信息技術有限公司2011年11月4日書目1 效勞器面臨的平安威逼 32 傳統(tǒng)方案存在平安問題 43 嘉信SSR加固解決方案 63.1 效勞器平安加固系統(tǒng)核心設計理念 63.2 效勞器平安加固系統(tǒng)遵循國家標準 63.3 嘉信SSR平安加固技術方案 7 方案目標 7 SSR平安加固系統(tǒng)功能 7 SSR平安加固系統(tǒng)部署 84 方案價值建立效勞器生命周期平安保障體系 104.1 系統(tǒng)主動防備 104.2 系統(tǒng)增加免疫 115 局部成功案例 12效勞器面臨的平安威逼隨著各行各業(yè)信息化水平的不斷提高，業(yè)務應用的不斷增多，由此產(chǎn)生了大量的業(yè)務數(shù)據(jù)，而這些業(yè)務數(shù)據(jù)在很大程度上具有很強的機密性，如：國稅系統(tǒng)、醫(yī)療企業(yè)HIS系統(tǒng)、企業(yè)級應用系統(tǒng)、軟件公司核心代碼、國家宏觀文件、軍事機密等，都是企業(yè)核心應用和數(shù)據(jù)資產(chǎn)。雖然很多企業(yè)和組織已經(jīng)部署了防火墻、入侵檢測、殺毒軟件等，但來自外部與內(nèi)部的信息竊取、系統(tǒng)滲透、網(wǎng)站被黑、業(yè)務中斷等惡意攻擊行為卻時有發(fā)生，效勞器平安面臨更加嚴峻的考驗。圖1-1效勞器面臨的平安威逼傳統(tǒng)方案存在平安問題目前，大多數(shù)企業(yè)認為效勞器設置較高強度的密碼、邊界配置防火墻、入侵檢測、網(wǎng)內(nèi)安裝網(wǎng)絡版殺毒軟件，就能夠保證業(yè)務系統(tǒng)平安，網(wǎng)絡與應用就不再有這樣或者那樣的平安問題。殊不知，網(wǎng)絡的整體平安不是靠某臺平安設備就能夠保證您的網(wǎng)絡100%的平安，它要求企業(yè)必需從物理平安、網(wǎng)絡平安、系統(tǒng)平安、主機平安、應用平安等多個層面，建立縱深的平安防備體系，才能保證企業(yè)業(yè)務與應用的根本平安。那么當前傳統(tǒng)解決方案具體存在哪些問題呢？總結起來，主要包括以下三個方面：企業(yè)平安體系不夠健全，留意物理平安、網(wǎng)絡平安，無視網(wǎng)絡整體平安，未能通過有效評估，優(yōu)化網(wǎng)絡資源構造；近年來，黑客成群體性開展，具有組織性、利益性、攻擊性特點，通過網(wǎng)絡散布x-scan、阿D、明小子等具有很強攻擊性軟件，隨意用戶下載，就能夠?qū)ζ髽I(yè)的網(wǎng)絡平安構成威逼；平安設備的功能具有很強的傾向性，只能夠管一個方面，無視另一個可能引發(fā)的平安隱患，而且設備本身可能存在潛在的漏洞，詳見下表平安設備存在的缺乏目前常用平安設備平安設備存在的缺乏防火墻對網(wǎng)絡訪問行為實現(xiàn)訪問限制，過濾大局部入侵行為；但由于防火墻只能在網(wǎng)絡邊界做平安限制，無法解決網(wǎng)絡內(nèi)部的入侵行為，也就是說無法解決內(nèi)網(wǎng)的信息盜竊、信息丟失、主動泄密、穿插感染等平安問題，無法保障信息的保密性、完整性、可用性、可控性和抗抵賴性；隨著入侵技術的提高，入侵者往往會利用應用系統(tǒng)漏洞而繞過防火墻，滲透網(wǎng)絡內(nèi)部，盜取數(shù)據(jù)。網(wǎng)閘類似于防火墻〔邏輯隔離〕，它屬于物理隔離設備，只不過在隔離強度上增加了技術難度，存在與上述防火墻同樣的平安缺點。入侵檢測它是一種檢測工具，無法實現(xiàn)主動隔離，是一種事后報警行為，只能提示管理員當前網(wǎng)絡中出現(xiàn)了哪些入侵行為；由于其攻擊特征庫升級滯后性，無法實現(xiàn)對新的入侵方法檢測；漏報、誤報是該技術最大的技術障礙；無法實現(xiàn)對信息在流轉(zhuǎn)環(huán)節(jié)中的平安愛惜，包括信息的保密性、完整性、可用性、可控性和抗抵賴性。防病毒能夠檢測、發(fā)覺、隔離已有的病毒，防止惡意代碼破壞、盜竊企業(yè)重要的業(yè)務文件和敏感信息；但由于其滯后性的特點，無法檢測到新型病毒，從而在很大程度影響它的平安效能，無法實現(xiàn)真正意義上的主動防備，在信息愛惜過程中大打折扣。漏洞掃描、補丁管理工作機理類似于入侵檢測，也存在滯后性缺點，只能在已有的漏洞庫上進展工作，無法檢測新的平安漏洞，是一種事后處理行為。防水墻它主要對工作主機的傳輸渠道進展平安限制，如網(wǎng)絡、接口、存儲設備、打印等，以削減主動泄密事務的發(fā)生；但它無法從根源上杜絕管理人員的主動泄密行為，技術是無法實現(xiàn)的，只能從管理上來著手；它相對于以前的隨意運用這些主機資源起到了標準作用，提高了運用者的平安意識；它無法解決信息盜竊、信息丟失、主動泄密、穿插感染等平安問題，無法確保信息的保密性、完整性、可控性和抗抵賴性。嘉信SSR加固解決方案效勞器平安加固系統(tǒng)核心設計理念針對上述效勞器面臨的平安問題，嘉信公司提出了基于操作系統(tǒng)底層的效勞器平安加固解決方案。解決方案的核心設計理念如以下圖1-2所示，即：以保障效勞器操作系統(tǒng)平安為根底，以效勞器賬戶平安、數(shù)據(jù)平安、應用平安、運維平安四個方面為目標，打造效勞器全生命周期的平安防護，全方位保障效勞器的平安。圖1-2嘉信SSR效勞器加固系統(tǒng)核心理念效勞器平安加固系統(tǒng)遵循國家標準2007年12月，國家信產(chǎn)部、保密局、公安部相關領導及國內(nèi)注明平安專家沈昌祥院士，共同通過了浪潮效勞器平安加固系統(tǒng)SSR這一國家級工程進展了驗收，驗收依據(jù)的標準，也是浪潮效勞器平安加固系統(tǒng)研發(fā)所遵循的標準，經(jīng)過鑒定，其滿足如下標準：1、公安部計算機信息系統(tǒng)平安產(chǎn)品質(zhì)量監(jiān)視檢測中心依據(jù)的《信息平安技術訪問限制產(chǎn)品檢驗標準》2、國家保密局涉密信息系統(tǒng)平安保密測評中心依照《涉及國家隱私的信息系統(tǒng)操作系統(tǒng)平安增加技術要求》3、中國人民解放軍信息平安測評認證中心依照的《操作系統(tǒng)平安增加類信息平安產(chǎn)品等級劃分方法》SSR產(chǎn)品符合國家信息系統(tǒng)等保三級的相關要求，如以下圖所示：嘉信SSR平安加固技術方案方案目標依據(jù)上述效勞器平安解決方案的核心設計理念，嘉信公司自行研發(fā)的SSR效勞器平安加固系統(tǒng)，對操作系統(tǒng)運行環(huán)境進展加固，從開機啟動、系統(tǒng)認證、角色支配、強制訪問限制〔DAC〕、事務審計等，提高效勞器自身的平安防備實力，構造效勞器平安的主動防備體系，從源頭杜絕危害，解決確定或未知的病毒、蠕蟲等惡意代碼攻擊、數(shù)據(jù)失竊、泄密、網(wǎng)頁篡改等平安威逼，到達保障效勞器的應用平安、數(shù)據(jù)平安及運維平安的目標。SSR平安加固系統(tǒng)功能模塊功能項功能分析效勞器賬戶平安■文件訪問限制功能制止建立隱藏賬戶、修改系統(tǒng)管理員密碼效勞器應用平安■文件訪問限制功能制止非法程序安裝、運行、愛惜可信應用程序■進程強制訪問限制對重要應用系統(tǒng)進程進展愛惜，防止非法中斷■注冊表強制訪問限制愛惜注冊表項，防止非法修改注冊表項■效勞完整性檢測重要應用效勞進展檢測，發(fā)覺增加、卸載剛好報警效勞器數(shù)據(jù)平安■文件訪問限制功能愛惜重要數(shù)據(jù)文件，制止修改、刪除、重命名等■進程強制訪問限制愛惜數(shù)據(jù)文件，只允許白名單進程有效訪問數(shù)據(jù)■注冊表強制訪問限制愛惜數(shù)據(jù)文件重要注冊表項，防止修改■文件完整性檢測對重要文件/書目，進展實時監(jiān)測，發(fā)覺增加、刪除剛好報警效勞器運維平安■網(wǎng)絡訪問限制功能限制效勞器開啟端口，制止反向監(jiān)聽■進程強制訪問限制系統(tǒng)默認規(guī)那么，制止reboot、init等■注冊表強制訪問限制制止修改注冊表文件，防止遠程開啟3389■集中管理模塊集中管理效勞器，實現(xiàn)單點登錄，集中配置與審計嘉信SSR效勞器平安加固系統(tǒng)融合了可信計算、內(nèi)核級加固、雙因素認證、先進的ROST技術等多種業(yè)界領先技術的產(chǎn)品，該產(chǎn)品主要功能如以下表所示：SSR平安加固系統(tǒng)部署嘉信SSR加固產(chǎn)品由軟件和硬件兩局部構成，軟件是效勞器平安加固系統(tǒng)效勞端和客戶端，硬件局部包括用戶身份認證Usb-key。其中，效勞端用于承受客戶端的管理，實現(xiàn)效勞器根底內(nèi)核的愛惜以及應用級愛惜?？蛻舳税惭b在網(wǎng)內(nèi)任何一臺主機，執(zhí)行平安策略、統(tǒng)一管理、事務查看。硬件模塊USB-KEY，作為系統(tǒng)的信任根以及用戶身份的唯一標識；一般狀況下，效勞器平安加固方案部署如以下圖1-3所示：圖1-3嘉信SSR加固系統(tǒng)部署圖依據(jù)網(wǎng)絡的規(guī)模和困難程度，我們可以供應符合用戶實際狀況的效勞器平安加固方案。針對中小型網(wǎng)絡，我們供應精細管理的效勞器加固解決方案，通過基于不同類型效勞器的策略管理，制定不同的規(guī)那么和管理方式，實現(xiàn)面對不同用戶、實現(xiàn)不同策略的智能化、精細化的效勞器平安加固。針對構造困難的大型網(wǎng)絡，可以供應集中管理的效勞器解決方案，統(tǒng)一的平安管理中心對各個區(qū)域的效勞器進展統(tǒng)一管理。方案價值建立效勞器生命周期平安保障體系系統(tǒng)主動防備SSR主機系統(tǒng)加固技術那么并不接受這種被動式的防備體系，而是主動防備，我們先將全部行為都視為不行信的，逐步放開可信的行為，并在這些可信行為上接受特殊的可信標記，并且接受足夠細的粒度能夠很簡潔判別出符合平安要求的行為。例如，某單位非管理員用戶只能通過某個特定路徑的進程以某種特定的方式〔讀、刪、執(zhí)行〕，去訪問特定的某文件，在操作系統(tǒng)層實現(xiàn)主動防備不行信的行為。當我們在SSR中配置好可信的訪問模型，重要的數(shù)據(jù)或應用就被愛惜起來，我們不用去考慮敵人用什么方法去破壞他。只要是一切破壞行為，例如：篡改數(shù)據(jù)、進程注入、病毒感染、刪除、復制、讀取、都將被主動的拒絕。SSR不去識別攻擊的方法，只要是在訪問限制列表中，各個粒度的規(guī)那么有任何不匹配的動作就會被拒絕，從而實現(xiàn)最嚴格的操作系統(tǒng)層愛惜。系統(tǒng)增加免疫SSR主機系統(tǒng)加固技術完全可以做到“免疫”病毒、黑客攻擊等破壞操作系統(tǒng)以及關鍵數(shù)據(jù)，而不依靠不斷的更新來使自身保持這種實力。從部署SSR主機系統(tǒng)加固后主機便始終具備著這種免疫力