主機安全

在作業系統核心層實現檔案、註冊表、進程、服務、網路等對象的強制訪問控制，可配置針對以上對象不同的訪問策略來保護系統和套用資源，即使是系統管理員也不能破壞被保護的資源。

保護功能開啟時，可防止病毒和入侵者惡意格式化磁碟，同時降低管理員意外格式化磁碟的風險。

對檔案和服務進行完整性檢測，並可設定定期檢測項目，當發現檔案或者服務篡改時進行報警並發現哪些檔案發生改變。

對系統的CPU、記憶體、磁碟、網路資源進行監控，當這些資源的使用狀況超過設定的閥值時將進行報警，以提前發現資源不足、濫用等問題。

不僅提供SSR安全管理員和SSR審計官員的USB KEY+密碼的雙因子認證功能，還可對系統用戶配發USB KEY實現雙因子認證。對於遠程登入和虛擬化系統而無法識別USB KEY的伺服器，SSR提供可配置兩個密碼組合的登入認證方式，只有掌握密碼的兩個人同時存在才能登入系統，以此確保自然人的可信。

記錄系統內的所有違反強制訪問控制策略的事件，並提供日誌的查詢、刪除、備份、導出、日誌分析和syslog轉發功能。

記錄管理員對SSR的所有操作事件如登入、功能停用等，並提供日誌的查詢、刪除、備份和導出。

提供管理員可配置的時間報警機制，當管理員設定的事件被觸發時，通過郵件的形式向管理員發出通知。

在一個SSR控制台可以同時對多個平台的SSR進行管理和維護，且SSR可開放接口給第三方管理平台集成，實現與不同產品間管理的融合。

提供經過驗證的分等級的安全策略模板，全面保護系統，方便易用，降低用戶的使用難度。

提供對系統信息以及SSR運行信息收集打包功能，當SSR在使用過程中出現問題或者用戶有疑問時，可將收集的信息包發給SSR技術人員，技術人員可通過這些信息快速定位問題並解決用戶疑問。

當用戶擔心自己配置的策略是否會影響系統和套用時，可開啟此功能，此時SSR將只記錄違規的日誌而不進行阻止，便於管理員在不造成業務中斷的情況下調整策略。

主機安全已廣泛套用於全國各地的政府、軍工、軍隊、能源、金融和央企等國家重要部門。

系統採用的ROST技術對系統中的檔案、註冊表、進程、網路、服務、帳戶等多方面進行防護構建立體防護體系，從檔案創建、執行、訪問資源到結束層層把關，從根本上免疫各種已知未知病毒、後門等惡意代碼，抵禦黑客的攻擊，確保系統和套用安全穩定運行。

系統採用強制訪問控制和白名單機制，只允許可信的帳戶和進程訪問被保護資源，並對作業系統中重要二進制檔案進行完整性保護。即使惡意代碼利用漏洞獲取了系統的許可權，也不能破壞系統檔案和植入木馬，降低了從“零日漏洞”發現到用戶打上補丁之間這段“真空期”的安全風險，同時允許用戶延遲補丁部署，推遲到定期修補周期進行修補。

系統採用了分權管理的機制，規避了原作業系統管理員“一權獨大”的風險，將原系統管理員許可權分散為系統操作員、安全管理員和審計管理員，三個許可權各司其職，相互制約，實現了最小許可權，不僅保證了系統安全性，同時貼合了國家相關信息安全標準規範。

系統在作業系統核心層實現了安全標記和強制訪問控制機制，與用戶系統自身的自主訪問控制相融合，為系統和用戶重要套用提供更強的約束和更高的安全控制級別，同時提供三權分立、完整性校驗、雙因素認證、剩餘信息保護等緊貼信息安全標準的功能，幫助用戶在系統安全建設時的合規要求。

我國的信息安全經過二十多年的建設，在防病毒、網路和邊界安全方面到得了一定成果，但沒有重視存儲和處理數據的主機環境安全建設，主機是信息安全最重要，也是最後一門防線，再加上美國採用貿易壁壘的方式來限制高安全等級的產品買到中國，這更加劇了我國主機安全建設的難度。

主機安全在國內經歷了跟隨、學習、探索、總結4個階段，逐漸形成了具有中國特色主機安全解決方案的三部曲：創新、套用、完善。

創新：是指藉助新技術創造符合中國信息安全要求的主機核心基礎裝備及安全加固類產品，如：國產可信伺服器、國產安全存儲、國產作業系統、洋作業系統核心加固產品、國產中間件、國產資料庫、洋資料庫的安全加固產品、數據中心主機安全監控產品等。

套用：在關鍵領域逐漸實現核心基礎裝備的替代，對於無法在短期內實現快速替代的核心裝備，如：作業系統、資料庫、中間件等核心資產，進行國產安全加固產品的部署，使之符合中國信息安全相關要求。

完善：現有國產化主機裝備在功能及性能、易用性方面，與國外同類型產品存在一定的差距，因此需要不斷的完善產品的功能、性能及易用性。不可避免的是，國產化基礎裝備在不斷的完善設計開發過程中會存在很多安全漏洞，在其外圍部署安全加固產品及增加補丁，也是必不可少的。

主機面臨的安全風險主要來自三個方面：一、是主機本身的缺陷，這包括了軟硬體本身的缺陷，如漏洞，以及管理人員的誤操作；二、是外部威脅，這是是期進行信息安全建設主要考慮的方面，防外； 三、是內部威脅，這是最近幾年大家比較關注的，如何防止內部人員的非法訪問和操作。

在雲計算和大數據時代，不少廠商聚焦“主機安全”，依託自主創新，重點發展安全可控的主機安全關鍵技術，打造系列化主機安全產品，提供專屬主機安全服務，如：浪潮集團。

在雲計算環境中，安全的焦點在保證虛擬機作業系統的安全，只要保證了每個作業系統的安全，就可以從源頭上避免虛擬機之間的攻擊以及遠程威脅。浪潮SSR攔截了所有的核心訪問路徑，所有符合雲平台規則的檔案、進程、服務、許可權都予以“放行”，不符合規則的就進行禁止。這樣做的效果與重構作業系統原代碼技術類 似，而好處是不會影響用戶的業務連續性。採用這種方式，雲平台的作業系統中徹底清除了黑客攻擊、儒蟲和病毒感染的“生存環境”，也就從根本上解決了虛擬機 之間攻擊的問題。

2014年9月27日，由浪潮集團牽頭的國內首個國產主機系統產業聯盟，在工信部的見證下於北京成立，首批聯盟成員有16家，涵蓋了浪潮、中標軟體、金蝶、達夢、銳捷網路等中國主要的IT軟硬體企業。聯盟旨在推動主機、晶片、作業系統、資料庫、中間件等領域IT企業的合作，建立中國自主的IT產業鏈，實現發展方式的轉型升級。

浪潮數據中心主機安全解決方案，關鍵業務套用的產品和技術，以及基於龍芯、飛騰等處理器的全國產伺服器，並積極構建基於主機的套用生態鏈，與國產的作業系統、中間件、資料庫、軟體套用等廠商建立戰略合作聯盟，讓數據中心的數據、套用不再“裸行在他人的庭院”，另一方面，對於已經大量採購、運行國外軟硬體品牌的數據中心，推行安全可靠的技術發展路線，以主機系統安全為依託，提升整個數據中心的信息安全防護等級和能力。

作為國內領先的雲計算整體解決方案供應商，浪潮以國家信息安全為己任，一方面積極採取自主可控的技術發展路線，開發浪潮天梭K1、海量存儲、雲海OS、大數據一體機等面向行業高端、從業務數據流和管理數據流兩個方面構建以SSA、SSR、SSM、SSC為核心的整體防禦體系。從業務數據流方面，數據從外部接入，採用伺服器負載均衡技術和web數據過濾技術，保證數據高可用、更快速、更安全，保證伺服器具備高性能、高擴展性；在主機伺服器層面，採用核心加固技術，構建安全核心模型，實現強制訪問控制，保證伺服器作業系統本身免疫一切外部和內部攻擊，實現主動防禦，保證業務不斷、數據不丟，也從根本上避免了系統管理員超級許可權丟失帶來的風險；從套用層面，對數據中心設備，包括伺服器作業系統、中間件、資料庫等進行統一的監控管理，做到安全可量化、可視化、可知化，實現安全事件監測、回響聯動模式；在系統運維方面，對系統管理員、系統運維人員、系統套用高許可權用戶第三方廠商的維護人員以及其他臨時高許可權人員做到全方位的管理，整合賬號管理、身份認證、授權管理和安全審計，實現數據中心運營集中集控。