30秒快读

某省财政厅在以往的安全建设项目中,呈现出“重网络、轻主机”的失衡特征,网络层面的安全防护日益凸显,导致主机面对勒索病毒、恶意攻击,无招架之力,主机安全防护体系建设工作已迫在眉睫。

优炫软件为该项目提供信息安全顶层设计,通过对核心数据库服务器部署主机加固产品,分级实现主机安全建设要求,以应用承载主体为防护核心,有效解决物理环境、云环境及混合环境下的安全管控问题。

 

数字化创新场景实践概览

【行业】财政

【区域】某省

【场景】主机安全

【用户】某省财政厅

【厂商】优炫软件

【时间】2020

 

优炫软件简介

北京优炫软件股份有限公司成立于2009年,是一家专注从事数据库、数据安全产品研发及服务的国家高新技术企业。公司设立北京、武汉、成都、西安四地研发中心和全国34家分支机构,已成为信创产业领域“四梁八柱”企业。公司坚持关键核心技术自主创新,取得国家发明专利、软件著作权、公司及产品资质荣誉累计600余项。公司研发的优炫数据库管理系统UXDB,拥有自主知识产权,掌握了国际领先的数据库技术,打造国产数据库最高级别的可用性和高性能,已广泛应用于政府、军工、金融、能源、医疗等领域。

 

业务场景需求

某省财政厅网络系统经过多年的建设,信息系统越来越庞大,积累的各种业务核心数据也越来越多,数据的保护工作显得越来越重,早期已经部署了防火墙、IDS、防病毒软件等安全产品,这些都是对外网的保护。据行业单位调查:超过80%的事故都是来自于系统内部。因此,如何最大限度降低内部系统安全风险,完善对核心数据的保护,是急需解决的问题。面临痛点具体如下:

 

  1. 难以满足信息系统合规要求

站内主机安全处于安全层级架构中最内层也是最核心的位置,对于整个安全体系建设来说是最重要的一个环节。经调查,目前站内使用的操作系统均未达到自主可控标准,受制于国外操作系统对于安全技术的限制出口标准,安全级别仅相当于我国网络安全等级保护第二级别,作为支撑平台难以满足信息系统的合规要求。

2安全防御体系脆弱

站内主机未进行基于电力行业的主机安全基线加固工作,安全防御体系较脆弱,为系统安全埋下重大隐患。

3防恶意代码体系脆弱

站内主机的防恶意代码体系比较脆弱,防御度、响应及时性均未达到安全要求,不能做到事前预防、事中响应、事后追溯。

4安全工作效率低

站内主机的安全巡检工作主要是依靠大量人力投入来完成,工作效率低、经济效益差且存在人为误差。

因此,提升现有操作系统自主访问控制为更高的控制过程、加强主机安全基线检查工作的建设工作、提高站内主机整体防御水平,是根本解决主机系统安全的重要技术手段。

 

数智化方案

优炫软件为某省财政厅提供信息安全顶层设计,通过对核心数据库服务器部署主机加固产品:优炫操作系统安全增强系统(简称CDPS),分级实现主机安全建设要求。该产品以应用承载主体为防护核心,完美地解决物理环境、云环境及混合环境下的安全管控问题。

CDPS产品体系架构图

从合规角度讲,CDPS内置等级保护-安全计算环境三级基线规范,通过一键式、批量式、周期性方式,既高效又透明地完成合规需求。完成合规要求也相当于在“事前做了基础安全防范,提高了系统的攻击门槛;“事中要求CDPS具备实时监测能力,实时发现主机中的完整性监测、入侵检测,针对发生的危险事件第一时间发出告警,并且要求针对监测到的事件做出安全防御响应,通过功能联动出发安全防空机制,第一时间弥补出现的“安全漏洞”;在“事后”阶段,要求具备溯源能力,通过详细的审计日志发现入侵行为的始末,为后续安全防御手段升级提供数据支撑。

CDPS系统以保护系统核心资源为目标,针对操作系统核心资源(系统进程和关键文件),通过一套默认的系统管控策略强制保护操作系统核心进程及关键文件,防止因黑客、木马病毒或用户不当操作而导致的安全问题。另外,以“非白即黑”高强度的自动化安全管控策略为保障(程序白名单):采用安全管控策略来控制用户对系统指定文件、进程的访问,禁止或限制用户访问未被允许的资源,从而可以有效防止如勒索病毒之类的未知恶意代码攻击。

技术架构图

 

海比研究院点评

RS-CDPS通过账号管理、进程管理、文件管理、应用程序管理等安全控制功能,全面提升某省财政厅服务器操作系统安全级别,保证了服务器安全可靠运行。另外,其通过软件登录认证、日志审计、系统操作权限最小化控制、强密码访问控制、基于Open-SSL协议库的通信加密、软件开机自保护等多种安全机制保证了系统自身的安全性。具体优势如下:

1、简单高效,有针对性;

2、分散部署,集中控制:采用一个管理端、多个代理端的方式进行安全管理;

3、用户态和内核态分级控制;

4、权限分离:收回系统超级管理权限,实现系统资源强制访问控制,由管理端对代理端进行统一管理,不允许在代理端进行用户管理和文件权限设置。