中華人民共和國(guó)最高人民法院專網(wǎng)中流轉(zhuǎn)著大量司法解釋、司法文件和審判內(nèi)容，并且與中央及國(guó)務(wù)院各部門網(wǎng)絡(luò)都有連接，因此系統(tǒng)安全性必須得到充分保證。但是部署在網(wǎng)絡(luò)邊界的安全產(chǎn)品無(wú)法對(duì)主機(jī)形成有效防護(hù)，關(guān)鍵數(shù)據(jù)仍面臨安全風(fēng)險(xiǎn)。日前，浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)為最高法主機(jī)進(jìn)行加固，在服務(wù)器最底層形成了更加可靠的防護(hù)屏障，加固之后的最高法網(wǎng)絡(luò)安全狀況得到大幅提升，達(dá)到國(guó)家等級(jí)保護(hù)技術(shù)要求。 　

　　法治是現(xiàn)代社會(huì)的重要組成部分，公正是法治的生命線。互聯(lián)網(wǎng)時(shí)代，司法公正不僅包括審判過程公正，信息公平也是其中應(yīng)有之義。正因如此，中華人民共和國(guó)最高人民法院(以下簡(jiǎn)稱：最高法)在專網(wǎng)核心節(jié)點(diǎn)區(qū)的建設(shè)中將系統(tǒng)安全作為重點(diǎn)，通過浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)(簡(jiǎn)稱“浪潮SSR”)進(jìn)行了主機(jī)加固，從主機(jī)安全入手，在服務(wù)器底層形成了更加可靠的防護(hù)屏障，達(dá)到了國(guó)家等級(jí)保護(hù)技術(shù)要求。

　　保障專網(wǎng)安全主機(jī)安全成重點(diǎn)

　　最高法是國(guó)家最高審判機(jī)關(guān)，監(jiān)督地方各級(jí)人民法院和專門人民法院的審判工作?！拔覀兊南到y(tǒng)縱向上與全國(guó)31個(gè)高級(jí)人民法院以及392個(gè)中級(jí)人民法院相連，橫向上與中央及國(guó)務(wù)院各部門網(wǎng)絡(luò)都有連接。系統(tǒng)中流轉(zhuǎn)著大量涉密的案件審理信息和司法解釋、司法文件，有些內(nèi)容涉密級(jí)別很高。隨著信息化進(jìn)程的推進(jìn)，信息技術(shù)溝通的頻率日漸增多，安全隱患也日益增多。我們必須保證系統(tǒng)的安全性，否則造成安全事故，后果將不堪設(shè)想?！弊罡叻ㄐ畔⒅行南嚓P(guān)專家表示。

　　正是基于這樣的認(rèn)識(shí)，最高法專網(wǎng)在核心節(jié)點(diǎn)區(qū)擴(kuò)建之初就按照《國(guó)家信息系統(tǒng)等級(jí)保護(hù)管理辦法》和國(guó)家保密委《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法及技術(shù)要求》規(guī)劃，并邀請(qǐng)資深測(cè)評(píng)單位對(duì)相關(guān)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行預(yù)測(cè)評(píng)，已形成預(yù)測(cè)評(píng)報(bào)告。針對(duì)測(cè)評(píng)中所發(fā)現(xiàn)的問題和不足，最高法把主機(jī)安全作為系統(tǒng)升級(jí)的重點(diǎn)來應(yīng)對(duì)，通過提升主機(jī)安全來實(shí)現(xiàn)整體安全的提升。

　　主機(jī)安全為何如此重要呢？這要從最高法網(wǎng)絡(luò)架構(gòu)談起。最高法的IT系統(tǒng)主要是包括以下幾個(gè)部分：用于內(nèi)網(wǎng)辦公應(yīng)用系統(tǒng)的考勤系統(tǒng)、業(yè)績(jī)檔案管理系統(tǒng)；用于面向全國(guó)法院的案件情況統(tǒng)計(jì)系統(tǒng)、司法輔助管理系統(tǒng)；容災(zāi)備份系統(tǒng)、文件共享系統(tǒng)以及信訪系統(tǒng)。支撐這些系統(tǒng)的服務(wù)器普遍采用Linux和Windows操作系統(tǒng)，這些操作系統(tǒng)具有先天的脆弱性，系統(tǒng)漏洞層出不窮并且危害巨大，令人防不勝防。

　　為消除安全漏洞，大多數(shù)信息中心采取的解決方案，僅僅局限于殺毒軟件的防護(hù)。但是殺毒軟件的防護(hù)是基于黑名單的防護(hù)機(jī)制，即殺毒軟件的防護(hù)能力取決于病毒庫(kù)的水平。倘若一種新型的病毒和黑客攻擊形式不被包含在病毒庫(kù)中，那么主機(jī)操作系統(tǒng)隨時(shí)面臨被惡意攻擊的風(fēng)險(xiǎn)。操作系統(tǒng)的健康程度是信息系統(tǒng)安全建設(shè)的關(guān)鍵指標(biāo)，然而，大部分的關(guān)鍵主機(jī)遠(yuǎn)沒有達(dá)到《國(guó)家信息系統(tǒng)等級(jí)保護(hù)管理辦法》和國(guó)家保密委《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法及技術(shù)要求》規(guī)定的服務(wù)器操作系統(tǒng)安全標(biāo)準(zhǔn)。所以，主機(jī)安全成為最高法系統(tǒng)安全的關(guān)鍵。在預(yù)評(píng)測(cè)的過程中，以下三個(gè)問題被重點(diǎn)提及。

　　一、脆弱的認(rèn)證體系：傳統(tǒng)的操作系統(tǒng)的認(rèn)證體系僅僅是一個(gè)賬戶密碼的單次認(rèn)證方式，只需要一個(gè)密碼就可以擁有所有的權(quán)限對(duì)系統(tǒng)進(jìn)行操作，安全隱患顯而易見。

　　二、自主訪問控制造成的安全隱患：基于自主訪問控制(DAC)的操作系統(tǒng)處于TCSEC的C2級(jí)，一定程度上提升了操作系統(tǒng)的安全性，但是這都是以用戶權(quán)限為基礎(chǔ)的，一旦用戶的超級(jí)管理員權(quán)限丟失或者用戶的誤操作都將對(duì)信息系統(tǒng)造成損失。

　　三、操作系統(tǒng)漏洞造成的安全隱患：不論是Windows系統(tǒng)還是Linux系統(tǒng)，都會(huì)發(fā)現(xiàn)漏洞，所以補(bǔ)漏常常會(huì)作為增強(qiáng)信息安全系統(tǒng)的一種方式，但這種被動(dòng)的防御方式并不能抵擋所有的有害攻擊。而且從操作系統(tǒng)漏洞從被發(fā)現(xiàn)，到最后廠商發(fā)布可以穩(wěn)定運(yùn)行的補(bǔ)丁，一般都有3到6個(gè)月的“真空期”，而這段時(shí)間內(nèi)便是操作系統(tǒng)最脆弱的時(shí)期，最容易被攻破。

　　面對(duì)這些安全隱患，最高法的安全專家提出專業(yè)的主機(jī)安全防護(hù)工具必不可少，浪潮SSR能夠?qū)@些問題進(jìn)行徹底的改善。

　　加固內(nèi)核全面提升主機(jī)安全

　　“浪潮SSR從加固內(nèi)核入手，全面提升了我們系統(tǒng)的主機(jī)安全?！痹搶＜艺f。具體說來，浪潮是基于先進(jìn)的ROST(內(nèi)核加固)技術(shù)理論從系統(tǒng)層對(duì)操作系統(tǒng)進(jìn)行加固的系統(tǒng)安全解決方案。通過部署浪潮SSR，最高法系統(tǒng)之前遇到的三個(gè)核心問題得到有效解決：

　　針對(duì)系統(tǒng)認(rèn)證體系的脆弱性問題，浪潮SSR采用USB-KEY加密碼的雙因子認(rèn)證方式，只有兩者同時(shí)存在，才可以進(jìn)行操作，與之前一個(gè)賬戶密碼的單次認(rèn)證相比，大大增強(qiáng)了操作系統(tǒng)的安全性。

　　浪潮SSR ROST內(nèi)核加固技術(shù)實(shí)現(xiàn)原理

　　針對(duì)系統(tǒng)自主訪問控制的隱患，浪潮SSR采用強(qiáng)制訪問控制的方式予以彌補(bǔ)。在強(qiáng)制訪問控制下，用戶與文件等主客體都被標(biāo)記了固定的安全屬性，在每次訪問發(fā)生時(shí)，系統(tǒng)檢測(cè)安全屬性以便確定一個(gè)用戶是否有權(quán)訪問該文件。其中，多級(jí)安全(MultiLevel Secure, MLS)就是一種強(qiáng)制訪問控制策略。

　　針對(duì)操作系統(tǒng)漏洞的問題，浪潮SSR基于先進(jìn)的白名單技術(shù)對(duì)操作系統(tǒng)進(jìn)行加固，旁路所有的文件訪問操作，從驅(qū)動(dòng)層達(dá)到為主客體進(jìn)行安全表示判斷的目的，實(shí)現(xiàn)主動(dòng)防御，有效避免了零日漏洞的產(chǎn)生。

　　浪潮SSR守衛(wèi)主機(jī)最高法系統(tǒng)安全升級(jí)

　　“根據(jù)我們系統(tǒng)的設(shè)備布局特點(diǎn)，浪潮安全工程師專門制定了更加精細(xì)化的防護(hù)策略，實(shí)施效果非常理想，系統(tǒng)的安全性得到大幅提升，達(dá)到國(guó)家信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)?！痹搶＜冶硎?。具體說來，最高法系統(tǒng)在其關(guān)鍵業(yè)務(wù)系統(tǒng)上部署浪潮SSR，覆蓋考勤系統(tǒng)、業(yè)績(jī)檔案管理系統(tǒng)、案件情況統(tǒng)計(jì)系統(tǒng)、司法鋪助管理系統(tǒng)、容災(zāi)備份系統(tǒng)、信訪系統(tǒng)、運(yùn)維管理系統(tǒng)等系統(tǒng)，對(duì)訪問權(quán)限、進(jìn)程權(quán)限等內(nèi)容進(jìn)行限制。同時(shí)，配合防火墻等技術(shù)形成全面立體的防護(hù)，既能防止SQL注入攻擊、DDoS攻擊等攻擊行為，又能防止基于系統(tǒng)內(nèi)核層的攻擊、后門攻擊等非法篡改網(wǎng)站的行為。

　　最高法信息中心安全專家對(duì)浪潮SSR的防護(hù)效果非常滿意，他說：“這不是我們第一次采購(gòu)浪潮SSR，在IT架構(gòu)的其他位置我們?cè)?jīng)使用過浪潮SSR進(jìn)行安全防護(hù)，顯著減少了針對(duì)主機(jī)的安全事故。這也是我們系統(tǒng)升級(jí)直接找到浪潮尋求安全幫助的重要因素。”

　　在任何一個(gè)時(shí)代，司法公正都是社會(huì)公平和人民生活穩(wěn)定的基本保障。隨著互聯(lián)網(wǎng)時(shí)代的到來，司法過程實(shí)現(xiàn)了信息化，那么保證網(wǎng)絡(luò)平臺(tái)的穩(wěn)定和安全就成為保障司法公正的重要基礎(chǔ)，主機(jī)安全則是系統(tǒng)安全的基礎(chǔ)。浪潮SSR成功守衛(wèi)了主機(jī)安全，就促進(jìn)了互聯(lián)網(wǎng)時(shí)代的司法公正進(jìn)一步向前推進(jìn)。