服务器、存储产品购买热线:400-860-6708 ERP、管理软件购买热线:400-658-6000云服务产品销售热线:400-607-6657
clear

从内到外的安全——浪潮SSR打造石油行业“主机安全”

发布时间: 2014年07月11日

  通过与网络、终端等安全设备组成整个信息系统的纵深防御,浪潮SSR为油田信息系统的运行连续性、稳定性、安全性及可靠性提供坚实的支撑,构筑了其主机安全长城。

  随着云计算和大数据技术的快速发展,分布式计算对企业数据安全的挑战越来越大,信息安全的需求也随之水涨船高,特别是在一些诸如能源、金融以及政府等关系到国计民生的关键性行业,更是如此。针对信息安全这一新兴市场,浪潮推出了自主研发的SS系列主机安全解决方案,打造“三点一面,纵深防御”的安全解决方案,并成功应用于某大型油田。

  来自网络内外的信息安全问题

  作为能源行业的细分行业,石油行业涉及到很多国家级、公司级的保密资料,比如区域、构造、层位、岩性等地质资料,地震、测井、录井、钻井、试井、开采、管道建设和油库建设等勘探、工程和生产资料,以及各种新技术的研究和实验资料,对信息安全极为看重。

  某油田是一个资源丰富、技术与人才密集的国有特大型企业,工作区域主要分布在其所在省的8个地市及28个县(区)内。随着油田业务的不断拓展,支撑油田运转的信息化应用系统越来越多,主要包括生产指挥系统、源头数据采集系统、地理信息系统、数据库系统、办公自动化系统等。由于业务空间上的分散,来自网络内外的信息安全问题也随即增多。

  该油田服务器上普遍部署的是国际通用的主流商业服务器操作系统,这些操作系统在美国的TECSE(橘皮书)标准中都属于C2级操作系统,其本身不具备完善安全的防护功能,存在诸多的漏洞和后门,很多来自内外网应用层的攻击,通过包装重组技术可以透过传统的网络安全防护设备,直接进入油田内任何一台服务器,一旦油田系统的核心应用被破坏或关键数据被窃取,将造成不可弥补的损失或影响。

  基于这样的考虑,该油田与浪潮合作,为油田的服务器操作系统安全、应用安全等量身定做了相关的解决方案,通过批量部署浪潮SSR,极大规避了服务器应用的安全风险。

  从操作系统入手,打造内核级安全

  操作系统是衔接服务器硬件与服务器应用软件的桥梁,桥梁的安全、可靠,决定了应用系统和数据的安全、可靠。

  针对于此,浪潮SSR增加目标应用服务器上操作系统的内核级安全,对操作系统的文件、注册表、服务、进程等资源实现强制访问控制,消除病毒等恶意程序的生存环境,使服务器能够免疫针对操作系统的攻击,实现对已知或未知病毒程序、ROOTKIT级后门威胁的主动防御,避免出现油田信息系统因新的蠕虫等感染型病毒的出现,而导致的网络瘫痪、应用服务中断等安全事故。

  四管其下,有效降低运维风险

  在系统的运维过程中,如果系统缺乏身份认证以及授权机制,来自内、外部的频繁访问有可能使得不法分子获得很好的伪装身份,从而轻而易举的获取到重要信息。针对于此,浪潮SSR采用了规范系统管理员行为、强制访问控制、关键业务进程保护机制以及建立安全审计机制4个维度的管控机制,有效降低了内、外部的运维风险。

  浪潮SSR加强对操作系统管理员行为的管理,实现对不同厂商的运维人员的“最小授权”,通过技术和制度手段对ROOT账号的权力加以分散。即使拥有ROOT账号的运维人员,如果需要访问不属于自己的资源,也必须取得相关部门的授权。这样既保证了运维工作的正常进行,又能够规避因为运维人员权限过大而带来的风险。

  而对服务器的资源,尤其是业务信息系统资源,浪潮SSR实现细粒度的强制访问控制,使得运维人员或恶意攻击人员不能够随意安装和开启远程控制软件,即便在利用SSH等方式远程登录后,也不能对系统关键资源实施窃取、破坏等行为。同时,浪潮SSR也能够建立行之有效的进程保护机制,确保业务进程不会因为运维人员的误操作等原因终止,也不会被病毒、木马等恶意程序注入而导致业务过程被破坏。

  最后,浪潮SSR能够建立安全审计机制,通过“三权分立”机制实现对操作人员的最小授权。当出现操作人员企图越权访问核心数据资产的情况时,会及时的按照访问用户、程序、时间、动作等信息记录在系统中,在日后的企业内审中作为技术判断依据。在发生病毒、木马等恶意程序通过移动介质企图进入系统时,浪潮SSR也会及时的定位病毒文件,便于安全运维人员清理和删除这些危险程序。

  化被动为主动

  在电影《偷天陷阱》中,凯瑟琳•泽塔琼斯扮演的女主角曾利用千年虫漏洞,成功洗劫了吉隆坡的一家国际银行。而电影中所展现的利用系统漏洞牟利的画面并非纯粹的想象,而是确实存在这样的风险。众所周知,业内主流、商用的服务器操作系统基本为国外产品,本身存在漏洞和后门,而且一旦出现漏洞、后门后,系统补丁升级需要时间。在此期间,服务器系统的应用、数据安全如何得到保证,一直是困扰用户的一个难题。

  浪潮SSR利用安全内核技术构建一个自身免疫的系统,从根本上实现一个安全操作系统模型。它主要根据国家信息安全等级保护三级的安全标识保护级别的标准,为系统中的信息交换的主客体分别加上安全标记,从而达到了强制访问控制(MAC),制约了操作系统原有的自主访问控制策略(DAC),从根本上控制了信息的交换,实现安全的信息交换的方法。

  不论来自内部还是来自外部的攻击行为(包括病毒的攻击)的最终目的就是为了对信息的窃取以及监听,浪潮SSR利用安全标识保护了系统中每一条信息交互的通道,以主动的智能化方式,从根本上实现了系统本身免疫。

  浪潮SSR工作模型

  值得一提的是,浪潮SSR部署无需改变现有应用架构,且与服务器系统、业务应用系统等存在良好的兼容性。而某油田在批量部署浪潮SSR服务器操作系统加固系统之后,扭转了传统安全被动防御的风险。通过与网络、终端等安全设备组成整个信息系统的纵深防御,浪潮SSR为油田信息系统的运行连续性、稳定性、安全性及可靠性提供坚实的支撑,构筑了其主机安全长城。

关于浪潮

集团简介 文化理念 资质荣誉 董事长致辞 新闻与公告 市场活动

探索浪潮

关键应用主机 通用服务器 浪潮云 浪潮云ERP 大数据资源与交易 智慧城市

支持服务

产品资料下载 查询服务进度 获取帮助 安全通告

联系浪潮

招聘 营销网络地图 联系我们

快速链接

ERP支持与服务 浪潮电子采购平台 投资者关系 投行项目 道德遵从

在社交媒体上关注我们

拨打咨询电话