方案背景
一、方案背景
人民法院根据法律规定负责辖区内的刑事、民事、经济、知识产权、行政和执行等案件的审判工作。根据高法信息化建设工作要求,大量的应用系统需要在网络中畅通运行,网络信息承载量不断增大。为了保证高法信息网络安全稳定地运行,必须对信息网络资源进行优化配置;必须增强网络系统中核心服务器的底层安全;必须规范运维及其他相关人员的操作权限;确保核心数据资产的保密性、可用性、完整性。
目前高级高法政法网络已经覆盖到所有基层单位,应用已经在网络平台上大规模开展,并不断增加,日常工作对网络的依赖性日益增加,因此,确保高法信息系统的安全,保障数据的机密性、可用性工作显得尤为重要。
网络应用给人们带来了无尽的好处,更方便了高法系统各项日常工作的开展。但随着网络应用扩大网络安全风险也变得更加严重和复杂。高法系统的各种关键数据和办公系统已经离不开日益先进的网络系统。一旦网络出现安全问题,对于高法系统这种要害部门来说其危害将是无法估量的。
二、安全需求分析
服务器对病毒木马等恶意程序免疫能力低下
高法的网络为了给广大人民群众提供服务,与互联网存在多处网络边界,而且随着高法信息系统的不断发展建设,本身网络范围也日益扩大,无法避免来自互联网或业务系统网络中病毒和木马等恶意程序的困扰,出现过由于病毒在内网泛滥而导致的信息系统中断等情况。传统杀毒软件“特征库”的查杀方式,已很难跟上病毒增长的速度,而且随着病毒技术的发展,很多病毒利用现在操作系统底层安全性不足的缺陷,已经深入到系统内核层,这不仅增加了查杀的难度,甚至出现杀毒软件自身被病毒从底层破坏,数据资产被病毒木马任意支配的情况。
信息系统底层安全不足
目前高法系统普遍使用的是国际通用的主流商业服务器操作系统,这些操作系统在TECSE(橘皮书)标准中,都属于C2级操作系统,本身不具备完善安全防护功能,在传统的安全意识中,应用系统的底层安全往往是给服务器安装补丁以及进行一些手工加固,没有对系统本身保护的产品和措施,那么如果采用来自应用层的攻击,且进行包重组技术,完全有可能绕过,由于是应用层攻击,防火墙无法控制,那么这种攻击行为可以直接顺利进入高法内网任何一台服务器,而对于杀毒软件来说,由于高法内网与互联网隔离,病毒库等关键组件无法及时更新,而且攻击者只需要稍微对攻击的特征代码进行修改,也有可能逃避杀毒软件的查杀。
高法系统各个部门之间合理的职能划分,是实现信息系统高效、安全运行的制度保障。
在现有的高法系统职能划分中,高法系统相关职能部门负责数据采集、发布、更新工作,而保障业务信息系统的安全运维工作是由在信息中心指导下的厂商现场专人维护完成。现在行业内的计算机系统基本上都是以厂商现场专人维护方式,因此对于本系统应用的服务器系统,存在服务器厂商、数据库厂商、应用系统厂商三方共同维护的问题,各厂商从分清责任考虑都仅对自己责任范围内负责,然而我们面临的问题是,三方在分清责任的同时,却并没有规范各自的权限。
信息保密性和完整性需求
由于高法系统存储着涉及国家安全和法律公正等重要信息,极容易遭到专业黑客和境外敌对势力的渗透攻击,所以对信息系统的保密性和完整性有着极高的要求。各级人民高法门户网站是司法机关面向社会的重要窗口,对提高司法效率,降低成本,保障广大人民群众合法权益,具有十分重要的意义和作用。
一旦系统遭到非法入侵,如果不能在最短的时间内将系统恢复正常,并采取相应安全措施防止类似事件的再次发生,必将给高法系统造成经济和声誉上的重大损失。
安全总体建议
三、安全总体建议
增强服务器操作系统底层安全性
增强高法系统操作系统底层安全性,对操作系统的文件、注册表、服务、进程等资源实现强制访问控制,消除病毒等恶意程序的生存环境,使服务器能够免疫针对服务器操作系统的攻击,实现对已知或未知病毒程序、ROOTKIT级后门威胁的主动防御。避免出现高法系统因新的蠕虫等感染型病毒的出现,而导致的高法网络瘫痪、高法系统服务中断等安全事故。
实现相关部门的职责合理分配
合理分配、协调业务信息系统与信息中心的权力、责任是业务信息系统安全的制度基础。
业务部门根据实际情况配制访问控制规则,通过对系统原有系统管理员的无限权力进行分散,设置访问控制规则约束信息中心管理员的行为,从而达到从根本上保障系统安全的目的。也就是说今后信息中心的运维人员,即使用系统最高权限账号登录也只能做其职能范围内的操作,例如查看日志、定期备份、软件维护等,如果需要访问业务信息系统的数据库、程序等,就必须取得业务信息系统的授权,否则对所有业务信息系统资源都没有任何访问权限。
通过合理的权力划分,不仅可以规避来自服务外包商人员对业务数据误操作等非法访问带来的风险,还可建立对数据等敏感信息更加合理的访问控制机制,完善高法系统安全管理制度。
增强业务信息系统独立性
业务信息系统的独立性由业务信息系统自有资源的独立性构成。业务信息系统自有资源包括业务程序文件、业务数据库,业务信息系统进程、业务信息系统服务等一系列资源。
保证业务信息系统独立性一个重要的原则,就是必须确保业务信息系统的可用性,即确保业务系统自身的正常调用可以顺利进行,又规避其他业务系统黑客被渗透等威胁给自身带来的安全隐患。要确保业务系统资源的独立性,不被非法篡改、注入,就需要这些业务信息系统资源加以细粒度的强制访问控制, 主要内容包括:
规范系统管理员行为
加强对操作系统管理员行为的管理,实现对不同厂商的运维人员的“最小授权”,我们需要通过技术和制度手段对ROOT账号的权力加以分散,即使拥有ROOT账号的运维人员,如果需要访问不属于自己的资源,就必须取得相关部门的授权。这样既保证了运维工作的正常进行,又能够规避因为运维人员权限过大而带来的风险。强制访问控制
对服务器的资源,尤其是业务信息系统资源实现细粒度的强制访问控制。使得运维人员不能够随意安装和开启远程控制软件;在利用SSH等方式远程登录后,也不能对系统关键资源实施窃取、破坏等行为。
关键业务进程保护机制
建立行之有效的进程保护机制,确保业务进程不会因为运维人员的误操作等原因终止,也不会被病毒、木马等恶意程序注入而导致业务过程被破坏。
建立安全审计机制
通过“三权分立”机制实现对操作人员的最小授权,当再出现操作人员企图越权访问核心数据资产的情况时,会及时的按照访问用户程序、时间、动作等信息记录在系统中,在日后的企业内审中作为技术判断依据。
在发生病毒、木马等恶意程序通过移动介质等媒体企图进入系统时,也会被及时的定位病毒文件,便于安全运维人员清理和删除这些危险程序。
四、产品选型
综合上述分析,本方案中选用浪潮SSR服务器安全加固系统。
产品选型
浪潮内核加固技术
浪潮内核加固技术产品为具有自主知识产权的“服务器安全加固系统”,项目产品涉及的大多数模块融合了多种先进的公开及未公开技术。由于程序中采用了高效的规则匹配算法,用户不会感觉到任何性能方面影响。本项目产品中最大的创新之处在于,将各种访问控制及完整性检测技术综合应用于网络主机安全性加固,对管理员权限进行合理分散,使系统中不再有至高无上的用户。即使由于各种不可预测的原因导致管理员密码被窃取,或入侵者通过某种特殊渠道获取了系统管理员权限,依然无法对受保护的资源进行非法访问。
功能介绍
内核级文件强制访问控制模块
内核级注册表强制访问控制模块
内核级进程强制保护模块
内核级网络访问控制
内核级服务强制访问控制模块
应用级文件完整性检测模块
应用级服务完整性检测模块
防止恶意驱动加载
防止非法格式化
禁止远程修改用户信息
防止缓冲区溢出攻击
内核级自我保护
五、安全建设效果
完善高法信息安全体系,实现了对信息系统的纵深防御。有效弥补了传统系统安全体系中,系统层保护缺失的严重问题。
保障了高法信息系统运行的连续性、稳定性、安全性及可靠性。保证高法信息系统免受来自病毒、黑客的威胁,避免因攻击而导致的业务系统被非法操纵、中断等事故的发生。
完善信息制度管理体系通过“三权分立”机制,实现对高法信息系统服务器各类操作人员的“最小授权”,最大程度上避免因为内部人员的误操作或恶意行为导致的安全事件。
完善安全审计体系,及时发现恶意行为,保留日后审计证据。
网友评论