中石化服务器安全加固项目建议方案

1、中石化服务器安全加固项目中石化服务器安全加固项目 建议方案建议方案 浪潮集团有限公司浪潮集团有限公司 20092009 年年 5 5 月月 目目 录录 1.1.浪潮浪潮 SSRSSR 与信息系统等级保护技术设计要求条款对比与信息系统等级保护技术设计要求条款对比 .3 3 1.1.浪潮 SSR 与等级保护技术设计要求对比表 .3 1.2.浪潮 SSR 产品功能具体实现 .4 2.2.浪潮浪潮 SSRSSR 实施方法及流程实施方法及流程 .5 5 3.3.典型项目实施案例典型项目实施案例 .6 6 3.1.XX 省考试院信息系统安全加固案例.6 3.1.1.项目背景 .6 3.1.2.实施内容：

2、.7 3.1.3.客户收益 .7 3.2.内蒙古高级人员法院 SSR 实施案例 .7 3.2.1.项目背景 .7 3.2.2.实现的功能 .8 3.2.3.客户收益 .9 4.4.浪潮服务器安全加固与传统加固方式区别浪潮服务器安全加固与传统加固方式区别 .9 9 4.1.浪潮 SSR 内核层安全加固，主动性安全防御 .9 4.2.专利级别的 ROST 技术 .9 4.3.浪潮 SSR 作为传统操作系统加固的有益补充，完善主机安全建设方案体系 .9 4.4.主、客体强制访问控制，且保障业务系统连续性 .9 1.1. 浪潮浪潮 SSRSSR 与信息系统等级保护技术设计要求条款对比与信息系统等级保护

3、技术设计要求条款对比 1.1.1.1.浪潮浪潮SSRSSR与等级保护技术设计要求对比表与等级保护技术设计要求对比表 浪潮浪潮 SSRSSR 与等级保护技术设计要求条款比对表与等级保护技术设计要求条款比对表 适用范围适用范围功能条款功能条款产品功能产品功能 是否满足是否满足 要求要求 用户身份鉴别基于 USB-Key 或数字证书的身份认证满足 自主访问控制 访问控制主体包括用户、进程，客体类型包括文件、程 序、设备、网络端口，操作类型包括打开、读、写、执 行、改名、删除等。 满足 标记与强制访问 控制 三权分离实现对用户的强制访问控制；针对操作系统的 用户、文件、进程、注册表做强制访问控制功能

4、满足 系统安全审计 对非法操作的日志进行审计，并且能够确保审计记录不 被破坏或非授权访问还包括查询系统日志。审计信息包 括主体、客体、操作、成功与否、访控策略等 满足 用户数据完整性 保护 文件完整性检测，通过定期进行校验和的有效性检测， 可以达到验证重要文件或目录完整性的目的；服务完整 性检测，通过定期进行校验和的有效性检测，可以达到 验证服务完整性的目的。 满足 计算保护环计算保护环 境境 程序可信执行防 护 文件/目录、进程完整性检测，由用户指定需要建立校 验信息的关键性只读目录及数据文件名称，检测程序自 动记录目录中所有文件的基本属性及内容校验和。 部分满足 系统管理用户身份管理，实现

5、跨平台管理满足 安全管理授权管理、策略管理满足 信信 息息 系系 统统 等等 级级 保保 护护 安安 全全 设设 计计 技技 术术 要要 求求 安全管理安全管理 中心中心 审计管理审计策略管理、审计信息处理满足 1.2.1.2.浪潮浪潮SSRSSR产品功能具体实现产品功能具体实现 1 1、 内核级文件强制访问控制模块内核级文件强制访问控制模块 允许用户或进程以不同访问权限对文件/目录设置访问规则，并且可以对文件/目 录和用户设定安全级别，按级别通过安全模型实施访问控制（在完全兼容 2000/2003 系统自身的访问控制列表的基础上进行灵活的强制访问控制） ，任何用户（包括系统管 理员 Admi

6、nistrator）及非授权进程对敏感文件或目录进行创建、删除、修改、读取 等操作时，将根据浪潮 SSR 规则进行过滤（允许或拒绝） 。 2 2、 内核级注册表强制访问控制模块内核级注册表强制访问控制模块 允许进程以不同访问权限对注册表项设置访问规则，任何用户（包括系统管理员 Administrator）及其调用的非授权进程对浪潮 SSR 设置为“只读”或“禁止访问”的 注册表项进行写操作将无条件拒绝。 3 3、 内核级进程强制访问控制模块内核级进程强制访问控制模块 允许进程以不同访问权限对进程设置访问规则，任何用户（包括系统管理员）及 其调用的非授权进程都无权终止与操作受浪潮 SSR 保护的

7、进程。 4 4、 内核级服务强制访问控制模块内核级服务强制访问控制模块 该模块通过及时发现新增应用服务或驱动，并立即强行终止应用服务或驱动的注 册，达到对服务进行访问控制的目的。 5 5、 应用级文件完整性检测模块应用级文件完整性检测模块 由用户指定需要建立校验信息的关键性只读目录及数据文件名称，检测程序自动 记录目录中所有文件的基本属性及内容校验和。通过定期进行校验和的有效性检测， 可以达到验证重要文件或目录完整性的目的。 6 6、 应用级服务完整性检测应用级服务完整性检测 检测程序自动记录系统中所有服务的基本属性及内容校验和。通过定期进行校验 和的有效性检测，可以达到验证服务完整性的目的。

8、 7 7、身份认证、身份认证 在尊重传统的身份认证下，运用硬件 USB-KEY 和密码分别对安全管理员及审计管 理员进行双重身份认证。具有安全可靠性，为数据提供机密性、完整性、有效性提供 保证。 2.2. 浪潮浪潮 SSRSSR 实施方法及流程实施方法及流程 浪潮 SSR 采用实施方法及采用流程如下所示： 1 1、 承载业务系统的服务器及安全需求分析承载业务系统的服务器及安全需求分析 业务系统及服务器运行环境分析 安全风险分析 确定安全需求 2 2、 安装前系统清理安装前系统清理 如果服务器是新系统或干净系统，则可进行直接安装；如果已经运行业务系 统，安装前则要进行系统清理。 系统清理主要采用

9、的方法为手工清理和工具协助两种 3 3、 不影响客户业务系统连续性不影响客户业务系统连续性 安装简便，安装不修改操作系统内核，不需重启系统； 卸载简便，卸载后系统可完全恢复到安装前的状态， 系统断电重启时仍能保持原有安全设置 4 4、 分行业的实施经验分行业的实施经验 可以成功复制的分行业的实施项目经验 2009-5-20Inspur group 43 湖湖南南省省政政府府办办公公厅厅 浙浙江江省省政政协协信信息息中中心心 辽辽宁宁省省教教育育厅厅 国国家家工工商商总总局局 武武汉汉市市政政府府 北北京京公公安安局局某某处处 总总参参某某研研究究所所 海海军军某某实实验验基基地地 武武警警总总

10、队队某某局局 陕陕西西省省政政府府 河河南南省省公公安安厅厅 西西安安空空军军工工程程学学院院 航航天天科科技技集集团团 国国家家广广电电总总局局 河河北北省省考考试试院院 精精品品购购物物网网 湖湖北北省省地地税税 青青岛岛市市政政府府 北北京京市市高高法法 北北京京市市地地税税 山山西西省省劳劳动动厅厅 山山东东地地税税 部部分分用用户户案案例例部部分分用用户户案案例例部部分分用用户户案案例例 西西安安空空军军工工程程大大学学 河河北北省省人人民民政政府府办办公公厅厅 湖湖南南省省政政府府办办公公厅厅 重重庆庆长长安安汽汽车车1 15 52 2 大大连连烟烟草草 聊聊城城市市政政府府 重重

11、庆庆某某军军工工厂厂 山山东东省省委委办办公公厅厅信信息息中中心心 成成都都铁铁路路公公安安局局 莱莱芜芜钢钢铁铁集集团团 郑郑州州商商业业银银行行 灵活客户实施订做机制，保证客户确有实施需求，可有偿提供硬件备机服务。 5 5、 三线应急响应服务机制三线应急响应服务机制 依据项目实施需要，可安排专家型工程师实施。 现场实施工程师-二线支持专家-三线资深开发人员的三级响 应机制，保障重大项目顺利实施。 3.3. 典型项目实施案例典型项目实施案例 根据行业案例进行分类筛选，我们重点选取 2 个案例进行分析： 3.1.3.1.北京地方税务局服务器安全加固系统案例北京地方税务局服务器安全加固系统案例

12、3.1.1.3.1.1.项目背景项目背景 北京市地方税务局于 1994 年 8 月 15 日正式成立。北京市地方税务局是主管本 市地方税收工作的市政府直属机构，业务上接受国家税务总局的指导。 北京地方税务综合服务管理信息系统已经基本实现了在网上办理各种纳税事项的 需求。根据中国人民银行和国家税务总局文件规定，财税库行将进行横向联网电子缴 税，实现数据共享，通过数据交换和税票信息的电子化，极大的降低纳税成本。 3.1.2.3.1.2.安全需求安全需求 多元化报税、税银等系统的应用，使北京地税信息系统由相对封闭和低风险逐渐 转变为更加开放和高安全风险。数据大集中模式在地税的推广，又对北京地税的安全

13、 提出了更高的要求。 1 1、 对病毒木马等恶意程序免疫能力低下对病毒木马等恶意程序免疫能力低下 近年来互联网中病毒和木马的数量以几何级数增长，传统杀毒软件“特征库”的 查杀方式，已很难跟上病毒增长的速度，而且随着病毒技术的发展，很多病毒利用现 在操作系统底层安全性不足的缺陷，已经深入到系统内核层，这不仅增加了查杀的难 度，甚至出现杀毒软件自身被病毒从底层破坏，数据资产被病毒木马任意支配的情况。 北京地税信息系统中很多子系统都是自有的专网，虽然这种网络结构可以一定程度上 避免外部病毒的进入，然而相应也会产生操作系统、杀毒软件等安全产品无法及时更 新的情况，导致整个系统对病毒的查杀效率极低，一旦

14、病毒通过业务数据流、移动存 储介质等手段进入北京地税信息系统，势必造成大规模的病毒泛滥，造成不可估量的 后果。 2 2、信息系统底层安全不足、信息系统底层安全不足 目前北京地税信息系统普遍使用的是 WINDOWS 操作系统，该操作系统在 TECSE（橘皮书）标准中，属于 C2 级操作系统，使用自主访问控制模型，缺乏对访问 主客体的安全标记和控制策略，无法限制系统管理员的行为，不能防止员工的恶意行 为或者误操作，自身安全性严重不足。而在传统的安全意识中，操作系统的安全往往 是给服务器安装补丁以及进行一些手工加固，这些措施虽然可以起到一定的优化作用， 但是并没有从底层提升系统本身安全等级，如果服务

15、器操作系统由于病毒、黑客的攻 击而崩溃，那么在操作系统之上构建的所有应用系统也会随之瘫痪。 3 3、缺乏有效的安全审计系统、缺乏有效的安全审计系统 随着新的业务系统的不断建立，北京地方税务局系统的信息系统服务器数量众多， 部门人员岗位复杂。为了监控和规范操作人员对服务器的行为，需要一套行之有效的 安全审计系统，及时发现操作人员的恶意破坏、误操作等行为，并指定相应的奖惩制 度，以切实保证信息系统安全稳定的运行。 3.1.3.3.1.3.浪潮浪潮SSRSSR建设效果建设效果 1 1、 增强服务器操作系统底层安全性增强服务器操作系统底层安全性 增强北京地税系统操作系统底层安全性，对操作系统的文件、注

16、册表、服务、进 程等资源实现强制访问控制，消除病毒等恶意程序的生存环境，使服务器能够免疫针 对服务器操作系统的攻击,实现对已知或未知病毒程序、ROOTKIT 级后门威胁的主动防 御。避免出现北京地税系统因新的蠕虫等感染型病毒的出现，而导致的北京地税网络 瘫痪、北京地税系统服务中断等安全事故。 2 2、 2 2、实现相关部门的职责合理分配、实现相关部门的职责合理分配 合理分配、协调北京地税信息系统与信息中心的权力、责任是北京地税信息系统 安全的制度基础。信息中心对与系统的运维主要是通过系统管理员进行安全加固、常 规升级等工作，然而正是由于传统的系统管理员权限过大，可以随意支配服务器上的 任何资源

17、，这其中就包括北京地税信息系统的数据库，信息系统程序，所以才出现了 权限的重叠问题。 地税系统机密数据地税系统机密数据 信息中心信息中心 服务器厂商服务器厂商数据库厂商数据库厂商应用系统厂商应用系统厂商 职能部门职能部门 应用软应用软 件维护件维护 数据库数据库 维护维护 服务器服务器 维护维护 常规常规 维护维护 职能部门根据实际情况配制访问控制规则，通过对系统原有系统管理员的无限权力进 行分散，设置访问控制规则约束信息中心管理员的行为，从而达到从根本上保障系统安全 的目的。也就是说今后信息中心的运维人员，即使用系统最高权限账号登录也只能做其职 能范围内的操作，例如查看日志、定期备份、软件维

18、护等，如果需要访问北京地税信息系 统的数据库、程序等，就必须取得北京地税信息系统的授权，否则对所有北京地税信息系 统资源都没有任何访问权限。 通过合理的权力划分，不仅可以规避来自服务外包商人员对业务数据误操作等非法访 问带来的风险，还可建立对数据等敏感信息更加合理的访问控制机制，完善北京地税系统 安全管理制度。 3 3、增强北京地税信息系统独立性、增强北京地税信息系统独立性 北京地税信息系统的独立性由信息系统自有资源的独立性构成。北京地税信息系统自 有资源包括系统支撑程序、北京地税系统数据库、北京地税信息系统服务等一系列资源。 保证北京地税信息系统独立性一个重要的原则，就是必须确保北京地税信息

19、系统的可 用性，即确保业务系统自身的正常调用可以顺利进行，又规避其他业务系统黑客被渗透等 威胁给自身带来的安全隐患。要确保业务系统资源的独立性，不被非法篡改、注入，就需 要这些北京地税信息系统资源加以细粒度的强制访问控制。 主要内容包括： 规范系统管理员行为规范系统管理员行为 加强对操作系统管理员行为的管理，实现对不同厂商的运维人员的“最小授权” ， 我们需要通过技术和制度手段对 ROOT 账号的权力加以分散，即使拥有 ROOT 账号的运 维人员，也只能执行职责内的操作，如果需要访问不属于自己的资源，就必须取得相 关职能部门的授权。这样既保证了运维工作的正常进行，又能够规避因为运维人员权 限过

20、大而带来的风险。 强制访问控制强制访问控制 对服务器的资源，尤其是北京地税信息系统资源实现细粒度的强制访问控制。使 得运维人员不能够随意安装和开启远程控制软件；在利用远程桌面连接或 SSH 等方式 远程登录后，也不能对系统关键资源实施窃取、破坏等行为。 关键业务进程保护机制 建立行之有效的进程保护机制，确保北京地税系统生产控制程序进程不会因为运 维人员的误操作或者黑客攻击等原因终止，也不会被病毒、木马等恶意程序注入而导 致业务过程被破坏。 4 4、建立安全审计机制、建立安全审计机制 通过“三权分立”机制实现对操作人员的最小授权，当再出现操作人员企图越权 访问核心数据资产的情况时，会及时的按照访

21、问用户、程序、时间、动作等信息记录 在系统中，在日后的企业内审中作为技术判断依据。 在发生病毒、木马等恶意程序通过移动介质等媒体企图进入系统时，也会被及时 的定位病毒文件，便于安全运维人员清理和删除这些危险程序。 3.1.4.3.1.4.浪潮浪潮SSRSSR部署部署 系统名称操作系统数量SSR 版本 TAX 861 网站服务器 Windows 企业版 地图搜索服务器 Windows 企业版 申报系统服务器 Windows8 企业版 DNS 服务器 Windows2 企业版 邮件服务器 Linux2 企业版 3.1.5.3.1.5.客户收益客户收益 完善北京地税信息安全体系，实现了对信息系统的纵

22、深防御。有效弥补了传 统系统安全体系中，系统层保护缺失的严重问题。 保障了北京地税信息系统运行的连续性、稳定性、安全性及可靠性。保证北 京地税信息系统免受来自病毒、黑客的威胁，避免因攻击而导致的业务系统 被非法操纵、中断等事故的发生。 完善信息制度管理体系通过“三权分立”机制，实现对北京地税信息系统服 务器各类操作人员的“最小授权” ，最大程度上避免因为内部人员的误操作或 恶意行为导致的安全事件。 完善安全审计体系，及时发现恶意行为，保留日后审计证据。 因与客户签订了保密协议，本案例分析不包含客户网络拓扑、具体业务流程等 注 敏感信息 3.2.3.2.河北省公务外网平台主机加固案例河北省公务外

23、网平台主机加固案例 3.2.1.3.2.1.项目背景项目背景 河北省公务外网平台是根据河北省电子政务建设总体规划（20032007） 提出 的目标和要求建设的，连接全省各级党委、人大、政府、政协及省军区系统的业务专 网，为各级政务部门、企业和公众提供方便、快捷、透明的电子政务服务。 公务外网主要承载我省各级政务部门业务协同、社会管理、公共服务、应急联动 等面向社会服务的业务应用系统，主要满足我省各级对口政务部门之间信息传输、汇 聚及各级政务部门之间、政务部门与公众、企业之间信息交换、信息共享和管理服务 的需求，网络结构如图所示： 3.2.2.3.2.2.政务外网中服务器的安全需求政务外网中服务

24、器的安全需求 1、政务外网中服务器对病毒木马等恶意程序免疫能力较低 互联网中病毒和木马的数量以几何级数增长，而且随着病毒技术的发展，很多病 毒利用现在操作系统底层安全性不足的缺陷，已经深入到系统内核层，这不仅增加了 查杀的难度，甚至会出现杀毒软件自身被病毒从底层破坏，数据资产被病毒木马任意 支配的情况。 2、政务外网中信息系统底层需要加强安全防护 目前政务外网系统服务器普遍使用的是 WINDOWS 和 linux 等操作系统，这些操作 系统采用自主访问控制模型，自身安全性不足，缺乏对访问主客体的安全标记和控制 策略，缺乏对管理员和系统权限的授权及控制。而传统的系统人工安全加固做法是给 服务器安

25、装补丁以及进行一些手工配置，并没有从底层提升系统本身安全等级，如果 服务器操作系统由于病毒、黑客的攻击而丧失权限，那么服务器的信息内容及业务提 供都无法得到保障。 3、政府信息系统完善、加强管理制度的需求 目前政务外网系统中的服务器通常存在由服务器厂商、数据库厂商、应用系统厂 商各放共同维护的情况。各维护商在分清责任的同时，却没有规范各自的权限，通常 都是利用系统管理员账号进行日常管理。除了执行责任内的运维、升级等行为外，所 有人都有完全的访问权限。 一方面，维护人员的误操作、恶意窃取等行为有可能威胁业务信息系统的数据和 业务，给企业的业务安全造成严重的影响。另一方面，一旦业务系统出现安全问题

26、， 由于电子政务职能部门与信息中心存在权限重叠，无法及时定位故障点，而且在事后 的事故分析及责任划分时，给政府审计部门做出正确判断造成了很大阻碍。 4、信息可用性和完整性需求 对河北省公务外网数据中心的服务器系统进行安全加固，使之能够在复杂的网络 环境中稳定运行，确保公务外网对外服务的稳定性。 保障河北省公务外网信息系统的连续性、安全性及可用性，避免业务系统因病毒、 黑客攻击而导致的网站页面及后台数据信息被恶意篡改、系统服务中断等事故的发生。 3.2.3.3.2.3.政务外网服务器安全解决方案政务外网服务器安全解决方案 浪潮在河北省公务外网数据中心的服务器布署浪潮 SSR 服务器安全加固系统。

27、通 过对系统资源的由自主访问控制改为强制访问控制，规避病毒、木马通过操作系统漏 洞破坏系统，进而影响整个公务外网系统的稳定运行的风险，改善现有操作系统的安 全状况。增强操作系统对病毒、木马等恶意操作的主动防御能力。提升业务系统建设 的安全高度。 同时利用 SSR 系统对相关网站页面文件、后台脚本、数据库进行了全面的保护， 全面提升服务器操作系统的安全等级，能够免疫蠕虫等病毒的困扰，对页面脚本等敏 感文件实现内核级保护，保证门户网站不会出现利用 0day 漏洞进入系统非法篡改页面 等影响政府形象的恶性安全事件。 布署拓扑图如下： 3.2.4.3.2.4.客户收益客户收益 完善了政府信息安全体系，

28、实现了对信息系统的纵深防御。有效弥补了传统 系统安全体系中，系统层保护缺失的严重问题。 保障了政府信息系统运行的连续性、稳定性、安全性及可靠性。保证政府信 息系统免受来自病毒、黑客的威胁，避免因攻击而导致的业务系统被非法操 纵、中断等事故的发生。 完善了信息制度管理体系，通过“三权分立”机制，实现对政府信息系统服 务器各类操作人员的“最小授权” ，最大程度上避免因为内部人员的误操作或 恶意行为导致的安全事件。 完善了政务外网安全审计体系，可以及时发线违规行为。 3.3.3.3.内蒙古高级人员法院内蒙古高级人员法院SSRSSR实施案例实施案例 3.3.1.3.3.1.项目背景项目背景 在本项目中

29、，为内蒙古自治区高级人民法院高院增加两台服务器，为每个中院各 增加两台服务器，这些服务器承担本次项目中网络安全管理系统的运行，管理全院整 个网络中的终端、网络设备、线路等对象，间接接触很多涉密信息，其地位显得极其 重要。为保证这些服务器的安全、稳定运行，避免遭受恶意攻击、非法控制、窃取涉 密信息的安全威胁，对这些网管服务器进行加固。 3.3.2.3.3.2.实现的功能实现的功能 内蒙高法共计实施 26 台服务器安全加固，主要从通过三权分立，最小化控制用户 授权。通过本案实施，实现如下功能： 防止非法格式化，可防止攻击者对硬盘分区进行毁灭性破坏。 防止恶意程序以驱动形式加载感染系统，除防止应用级

30、攻击手法以外，还可 以防止内核级后门安装。 对用户级别进行控制，使攻击者无法提升权限，哪怕用户直接获得的是超级 管理员权限，也无法违反安全规则。 控制木马、后门以及黑客攻击的生存环境，从根本上产生免疫，可防范未知 的攻击行为。 安装 SSR 以后可有效防止利用移动存储设备从服务器上窃取数据，可拒绝移 动储存设备的加载。 实现如下功能模块：文件强制访问控制模块、进程强制访问控制模块、注册 表强制访问控制模块、服务强制访问控制模块、文件及服务完整性检测模块。 防止非可信的移动存储介质加载。安装 SSR 以后可有效防止利用移动存储设 备从服务器上窃取数据，可拒绝移动储存设备的加载。 采用硬件 USB

31、-KEY 进行的身份认证，认证机制符合 PKI 以及 CA 的数字签名体 系，可对用户以及资源进行多个等级的权限划分，消除超级用户的权限。其 机制为：在用户和资源之间建立对应的敏感标记，依据敏感标记的不同，所 属的权限级别不同，同样采用内核函数 HOOK 技术，通过对敏感标记的识别， 分别提供不同用户不同的资源权限，高级别的权限可对低级别的资源访问， 低级别的无法访问高级别的数据，哪怕是超级用户权限也必须符合该敏感标 记所提供的权限。 具有独立的日志系统，并提供查询和审计工具； 3.3.3.3.3.3.客户收益客户收益 通过强制访问控制机制确保法院系统的业务连续性及保护重要业务进程不被非法 终止；从技术角度完善了内蒙高法管理体系，实现对考试院各部门系统操作人员的 “最小授权” ，最大