中石化服务器安全加固项目建议方案-V1

中石化主机安全加固建议方案机密第1页浪潮集团有限公司中石化服务器安全加固项目建议方案浪潮集团有限公司2009年5月中石化主机安全加固建议方案机密第2页浪潮集团有限公司目录1.浪潮SSR与信息系统等级保护技术设计要求条款对比.............................31.1.浪潮SSR与等级保护技术设计要求对比表.....................................31.2.浪潮SSR产品功能具体实现.................................................42.浪潮SSR实施方法及流程.....................................................53.典型项目实施案例..........................................................63.1.XX省考试院信息系统安全加固案例..........................................63.1.1.项目背景............................................................63.1.2.实施内容：..........................................错误!未定义书签。3.1.3.客户收益............................................错误!未定义书签。3.2.内蒙古高级人员法院SSR实施案例..........................................133.2.1.项目背景...........................................................133.2.2.实现的功能.........................................................143.2.3.客户收益...........................................................154.浪潮服务器安全加固与传统加固方式区别......................................154.1.浪潮SSR内核层安全加固，主动性安全防御..................................154.2.专利级别的ROST技术....................................................154.3.浪潮SSR作为传统操作系统加固的有益补充，完善主机安全建设方案体系........154.4.主、客体强制访问控制，且保障业务系统连续性..............................16中石化主机安全加固建议方案机密第3页浪潮集团有限公司1.浪潮SSR与信息系统等级保护技术设计要求条款对比1.1.浪潮SSR与等级保护技术设计要求对比表浪潮SSR与等级保护技术设计要求条款比对表信息系统等级保护安全设计技术要求适用范围功能条款产品功能是否满足要求计算保护环境用户身份鉴别基于USB-Key或数字证书的身份认证满足自主访问控制访问控制主体包括用户、进程，客体类型包括文件、程序、设备、网络端口，操作类型包括打开、读、写、执行、改名、删除等。满足标记与强制访问控制三权分离实现对用户的强制访问控制；针对操作系统的用户、文件、进程、注册表做强制访问控制功能满足系统安全审计对非法操作的日志进行审计，并且能够确保审计记录不被破坏或非授权访问还包括查询系统日志。审计信息包括主体、客体、操作、成功与否、访控策略等满足用户数据完整性保护文件完整性检测，通过定期进行校验和的有效性检测，可以达到验证重要文件或目录完整性的目的；服务完整性检测，通过定期进行校验和的有效性检测，可以达到验证服务完整性的目的。满足程序可信执行防护文件/目录、进程完整性检测，由用户指定需要建立校验信息的关键性只读目录及数据文件名称，检测程序自动记录目录中所有文件的基本属性及内容校验和。部分满足安全管理中心系统管理用户身份管理，实现跨平台管理满足安全管理授权管理、策略管理满足审计管理审计策略管理、审计信息处理满足中石化主机安全加固建议方案机密第4页浪潮集团有限公司1.2.浪潮SSR产品功能具体实现1、内核级文件强制访问控制模块允许用户或进程以不同访问权限对文件/目录设置访问规则，并且可以对文件/目录和用户设定安全级别，按级别通过安全模型实施访问控制（在完全兼容2000/2003系统自身的访问控制列表的基础上进行灵活的强制访问控制），任何用户（包括系统管理员Administrator）及非授权进程对敏感文件或目录进行创建、删除、修改、读取等操作时，将根据浪潮SSR规则进行过滤（允许或拒绝）。2、内核级注册表强制访问控制模块允许进程以不同访问权限对注册表项设置访问规则，任何用户（包括系统管理员Administrator）及其调用的非授权进程对浪潮SSR设置为“只读”或“禁止访问”的注册表项进行写操作将无条件拒绝。3、内核级进程强制访问控制模块允许进程以不同访问权限对进程设置访问规则，任何用户（包括系统管理员）及其调用的非授权进程都无权终止与操作受浪潮SSR保护的进程。4、内核级服务强制访问控制模块该模块通过及时发现新增应用服务或驱动，并立即强行终止应用服务或驱动的注册，达到对服务进行访问控制的目的。5、应用级文件完整性检测模块由用户指定需要建立校验信息的关键性只读目录及数据文件名称，检测程序自动记录目录中所有文件的基本属性及内容校验和。通过定期进行校验和的有效性检测，可以达到验证重要文件或目录完整性的目的。6、应用级服务完整性检测检测程序自动记录系统中所有服务的基本属性及内容校验和。通过定期进行校验和的有效性检测，可以达到验证服务完整性的目的。中石化主机安全加固建议方案机密第5页浪潮集团有限公司7、身份认证在尊重传统的身份认证下，运用硬件USB-KEY和密码分别对安全管理员及审计管理员进行双重身份认证。具有安全可靠性，为数据提供机密性、完整性、有效性提供保证。2.浪潮SSR实施方法及流程浪潮SSR采用实施方法及采用流程如下所示：1、承载业务系统的服务器及安全需求分析业务系统及服务器运行环境分析安全风险分析确定安全需求2、安装前系统清理如果服务器是新系统或干净系统，则可进行直接安装；如果已经运行业务系统，安装前则要进行系统清理。系统清理主要采用的方法为手工清理和工具协助两种3、不影响客户业务系统连续性安装简便，安装不修改操作系统内核，不需重启系统；卸载简便，卸载后系统可完全恢复到安装前的状态，系统断电重启时仍能保持原有安全设置4、分行业的实施经验可以成功复制的分行业的实施项目经验中石化主机安全加固建议方案机密第6页浪潮集团有限公司2009-5-20Inspurgroup43湖南省政府办公厅浙江省政协信息中心辽宁省教育厅国家工商总局武汉市政府北京公安局某处总参某研究所海军某实验基地武警总队某局陕西省政府河南省公安厅西安空军工程学院航天科技集团国家广电总局河北省考试院精品购物网湖北省地税青岛市政府北京市高法北京市地税山西省劳动厅山东地税部分用户案例部分用户案例部分用户案例西安空军工程大学河北省人民政府办公厅湖南省政府办公厅重庆长安汽车152大连烟草聊城市政府重庆某军工厂山东省委办公厅信息中心成都铁路公安局莱芜钢铁集团郑州商业银行灵活客户实施订做机制，保证客户确有实施需求，可有偿提供硬件备机服务。5、三线应急响应服务机制依据项目实施需要，可安排专家型工程师实施。现场实施工程师------二线支持专家------三线资深开发人员的三级响应机制，保障重大项目顺利实施。3.典型项目实施案例根据行业案例进行分类筛选，我们重点选取2个案例进行分析：3.1.北京地方税务局服务器安全加固系统案例3.1.1.项目背景北京市地方税务局于1994年8月15日正式成立。北京市地方税务局是主管本市地方税收工作的市政府直属机构，业务上接受国家税务总局的指导。北京地方税务综合服务管理信息系统已经基本实现了在网上办理各种纳税事项的需求。根据中国人民银行和国家税务总局文件规定，财税库行将进行横向联网电子缴税，实现数据共享，通过数据交换和税票信息的电子化，极大的降低纳税成本。中石化主机安全加固建议方案机密第7页浪潮集团有限公司3.1.2.安全需求多元化报税、税银等系统的应用，使北京地税信息系统由相对封闭和低风险逐渐转变为更加开放和高安全风险。数据大集中模式在地税的推广，又对北京地税的安全提出了更高的要求。1、对病毒木马等恶意程序免疫能力低下近年来互联网中病毒和木马的数量以几何级数增长，传统杀毒软件“特征库”的查杀方式，已很难跟上病毒增长的速度，而且随着病毒技术的发展，很多病毒利用现在操作系统底层安全性不足的缺陷，已经深入到系统内核层，这不仅增加了查杀的难度，甚至出现杀毒软件自身被病毒从底层破坏，数据资产被病毒木马任意支配的情况。北京地税信息系统中很多子系统都是自有的专网，虽然这种网络结构可以一定程度上避免外部病毒的进入，然而相应也会产生操作系统、杀毒软件等安全产品无法及时更新的情况，导致整个系统对病毒的查杀效率极低，一旦病毒通过业务数据流、移动存储介质等手段进入北京地税信息系统，势必造成大规模的病毒泛滥，造成不可估量的后果。2、信息系统底层安全不足目前北京地税信息系统普遍使用的是WINDOWS操作系统，该操作系统在TECSE（橘皮书）标准中，属于C2级操作系统，使用自主访问控制模型，缺乏对访问主客体的安全标记和控制策略，无法限制系统管理员的行为，不能防止员工的恶意行为或者误操作，自身安全性严重不足。而在传统的安全意识中，操作系统的安全往往是给服务器安装补丁以及进行一些手工加固，这些措施虽然可以起到一定的优化作用，但是并没有从底层提升系统本身安全等级，如果服务器操作系统由于病毒、黑客的攻击而崩溃，那么在操作系统之上构建的所有应用系统也会随之瘫痪。3、缺乏有效的安全审计系统随着新的业务系统的不断建立，北京地方税务局系统的信息系统服务器数量众多，部门人员岗位复杂。为了监控和规范操作人员对服务器的行为，需要一套行之有效的安全审计系统，及时发现操作人员的恶意破坏、误操作等行为，并指定相应的奖惩制度，以切实保证信息系统安全稳定的运行。3.1.3.浪潮SSR建设效果1、增强服务器操作系统底层安全性中石化主机安全加固建议方案机密第8页浪潮集团有限公司增强北京地税系统操作系统底层安全性，对操作系统的文件、注册表、服务、进程等资源实现强制访问控制，消除病毒等恶意程序的生存环境，使服务器能够免疫针对服务器操作系统的攻击,实现对已知或未知病毒程序、ROOTKIT级后门威胁的主动防御。避免出现北京地税系统因新的蠕虫等感染型病毒的出现，而导致的北京地税网络瘫痪、北京地税系统服务中断等安全事故。2、2、实现相关部门的职责合理分配合理分配、协调北京地税信息系统与信息中心的权力、责任是北京地税信息系统安全的制度基础。信息中心对与系统的运维主要是通过系统管理员进行安全加固、常规升级等工作，然而正是由于传统的系统管理员权限过大，可以随意支配服务器上的任何资源，这其中就包括北京地税信息系统的数据库，信息系统程序，所以才出现了权限的重叠问题。职能部门根据实际情况配制访问控制规则，通过对系统原有系统管理员的无限权力进行分散，设置访问控制规则约束信息中心管理员的行为，从而达到从根本上保障系统安全的目的。也就是说今后信息中心的运维人员，即使用系统最高权限账号登录也只能做其职能范围内的操作，例如查看日志、定期备份、软件维护等，如果需要访问北京地税信息系统的数据库、程序等，就必须取得北京地税信息系统的授权，否则对所有北京地税信息系统资源都没有任何访问权限。通过合理的权力划分，不仅可以规避来自服务外