主机安全

主机安全，其核心内容包括安全套用交付系统、套用监管系统、作业系统安全增强系统和运维安全管控系统。它的具体功能是指保证主机在数据存储和处理的保密性、完整性，可用性，它包括硬体、固件、系统软体的自身安全，以及一系列附加的安全技术和安全管理措施，从而建立一个完整的主机安全保护环境。

基本 介绍

中文名：主机安全核心内容：安全套用交付系统具体功能：保证主机在数据存储的保密性套用场景：政府、军工、军队、能源

主要功能

防护功能

强制访问控制

在作业系统核心层实现档案、注册表、进程、服务、网路等对象的强制访问控制，可配置针对以上对象不同的访问策略来保护系统和套用资源，即使是系统管理员也不能破坏被保护的资源。

防格式化保护机制

保护功能开启时，可防止病毒和入侵者恶意格式化磁碟，同时降低管理员意外格式化磁碟的风险。

完整性检测

对档案和服务进行完整性检测，并可设定定期检测项目，当发现档案或者服务篡改时进行报警并发现哪些档案发生改变。

系统资源监控与报警

对系统的CPU、记忆体、磁碟、网路资源进行监控，当这些资源的使用状况超过设定的阀值时将进行报警，以提前发现资源不足、滥用等问题。

双因子认证和组合式密码认证

不仅提供SSR安全管理员和SSR审计官员的USB KEY+密码的双因子认证功能，还可对系统用户配发USB KEY实现双因子认证。对于远程登入和虚拟化系统而无法识别USB KEY的伺服器，SSR提供可配置两个密码组合的登入认证方式，只有掌握密码的两个人同时存在才能登入系统，以此确保自然人的可信。

审计功能

违规日誌审计

记录系统内的所有违反强制访问控制策略的事件，并提供日誌的查询、删除、备份、导出、日誌分析和syslog 转发功能。

操作日誌审计

记录管理员对SSR的所有操作事件如登入、功能停用等，并提供日誌的查询、删除、备份和导出。

关键事件报警

提供管理员可配置的时间报警机制，当管理员设定的事件被触发时，通过邮件的形式向管理员发出通知。

管理功能

统一管理机制

在一个SSR控制台可以同时对多个平台的SSR进行管理和维护，且SSR可开放接口给第三方管理平台集成，实现与不同产品间管理的融合。

灵活多样的策略模板

提供经过验证的分等级的安全策略模板，全面保护系统，方便易用，降低用户的使用难度。

信息收集

提供对系统信息以及SSR运行信息收集打包功能，当SSR在使用过程中出现问题或者用户有疑问时，可将收集的信息包发给SSR技术人员，技术人员可通过这些信息快速定位问题并解决用户疑问。

维护模式

当用户担心自己配置的策略是否会影响系统和套用时，可开启此功能，此时SSR将只记录违规的日誌而不进行阻止，便于管理员在不造成业务中断的情况下调整策略。

套用场景

主机安全

主机安全已广泛套用于全国各地的政府、军工、军队、能源、金融和央企等国家重要部门。

产品 价值

免疫病毒木马，抵御黑客攻击

系统採用的ROST技术对系统中的档案、注册表、进程、网路、服务、帐户等多方面进行防护构建立体防护体系，从档案创建、执行、访问资源到结束层层把关，从根本上免疫各种已知未知病毒、后门等恶意代码，抵御黑客的攻击，确保系统和套用安全稳定运行。

降低"零日漏洞"风险，延迟漏洞修复

系统採用强制访问控制和白名单机制，只允许可信的帐户和进程访问被保护资源，并对作业系统中重要二进制档案进行完整性保护。即使恶意代码利用漏洞获取了系统的许可权，也不能破坏系统档案和植入木马，降低了从“零日漏洞”发现到用户打上补丁之间这段“真空期”的安全风险，同时允许用户延迟补丁部署，推迟到定期修补周期进行修补。

分权管理，有效规避“一权独大”

系统採用了分权管理的机制，规避了原作业系统管理员“一权独大”的风险，将原系统管理员许可权分散为系统操作员、安全管理员和审计管理员，三个许可权各司其职，相互制约，实现了最小许可权，不仅保证了系统安全性，同时贴合了国家相关信息安全标準规範。

提升系统安全级别，增强用户合规体验

系统在作业系统核心层实现了安全标记和强制访问控制机制，与用户系统自身的自主访问控制相融合，为系统和用户重要套用提供更强的约束和更高的安全控制级别，同时提供三权分立、完整性校验、双因素认证、剩余信息保护等紧贴信息安全标準的功能，帮助用户在系统安全建设时的合规要求。

发展历程

我国的信息安全经过二十多年的建设，在防病毒、网路和边界安全方面到得了一定成果，但没有重视存储和处理数据的主机环境安全建设，主机是信息安全最重要，也是最后一门防线，再加上美国採用贸易壁垒的方式来限制高安全等级的产品买到中国，这更加剧了我国主机安全建设的难度。

主机安全在国内经历了跟随、学习、探索、总结4个阶段，逐渐形成了具有中国特色主机安全解决方案的三部曲：创新、套用、完善。

创新：是指藉助新技术创造符合中国信息安全要求的主机核心基础装备及安全加固类产品，如：国产可信伺服器、国产安全存储、国产作业系统、洋作业系统核心加固产品、国产中间件、国产资料库、洋资料库的安全加固产品、数据中心主机安全监控产品等。

套用：在关键领域逐渐实现核心基础装备的替代，对于无法在短期内实现快速替代的核心装备，如：作业系统、资料库、中间件等核心资产，进行国产安全加固产品的部署，使之符合中国信息安全相关要求。

完善：现有国产化主机装备在功能及性能、易用性方面，与国外同类型产品存在一定的差距，因此需要不断的完善产品的功能、性能及易用性。不可避免的是，国产化基础装备在不断的完善设计开发过程中会存在很多安全漏洞，在其外围部署安全加固产品及增加补丁，也是必不可少的。

主机面临的安全风险主要来自三个方面：一、是主机本身的缺陷，这包括了软硬体本身的缺陷，如漏洞，以及管理人员的误操作；二、是外部威胁，这是是期进行信息安全建设主要考虑的方面，防外；三、是内部威胁，这是最近几年大家比较关注的，如何防止内部人员的非法访问和操作。

在云计算和大数据时代，不少厂商聚焦“主机安全”，依託自主创新，重点发展安全可控的主机安全关键技术，打造系列化主机安全产品，提供专属主机安全服务，如：浪潮集团。

在云计算环境中，安全的焦点在保证虚拟机作业系统的安全，只要保证了每个作业系统的安全，就可以从源头上避免虚拟机之间的攻击以及远程威胁。浪潮SSR拦截了所有的核心访问路径，所有符合云平台规则的档案、进程、服务、许可权都予以“放行”，不符合规则的就进行禁止。这样做的效果与重构作业系统原代码技术类似，而好处是不会影响用户的业务连续性。採用这种方式，云平台的作业系统中彻底清除了黑客攻击、儒虫和病毒感染的“生存环境”，也就从根本上解决了虚拟机之间攻击的问题。

2014年9月27日，由浪潮集团牵头的国内首个国产主机系统产业联盟，在工信部的见证下于北京成立，首批联盟成员有16家，涵盖了浪潮、中标软体、金蝶、达梦、锐捷网路等中国主要的IT软硬体企业。联盟旨在推动主机、晶片、作业系统、资料库、中间件等领域IT企业的合作，建立中国自主的IT产业链，实现发展方式的转型升级。

浪潮数据中心主机安全解决方案，关键业务套用的产品和技术，以及基于龙芯、飞腾等处理器的全国产伺服器，并积极构建基于主机的套用生态链，与国产的作业系统、中间件、资料库、软体套用等厂商建立战略合作联盟，让数据中心的数据、套用不再“裸行在他人的庭院”，另一方面，对于已经大量採购、运行国外软硬体品牌的数据中心，推行安全可靠的技术发展路线，以主机系统安全为依託，提升整个数据中心的信息安全防护等级和能力。

作为国内领先的云计算整体解决方案供应商，浪潮以国家信息安全为己任，一方面积极採取自主可控的技术发展路线，开发浪潮天梭K1、海量存储、云海OS、大数据一体机等面向行业高端、从业务数据流和管理数据流两个方面构建以SSA、SSR、SSM、SSC为核心的整体防御体系。从业务数据流方面，数据从外部接入，採用伺服器负载均衡技术和web数据过滤技术，保证数据高可用、更快速、更安全，保证伺服器具备高性能、高扩展性；在主机伺服器层面，採用核心加固技术，构建安全核心模型，实现强制访问控制，保证伺服器作业系统本身免疫一切外部和内部攻击，实现主动防御，保证业务不断、数据不丢，也从根本上避免了系统管理员超级许可权丢失带来的风险；从套用层面，对数据中心设备，包括伺服器作业系统、中间件、资料库等进行统一的监控管理，做到安全可量化、可视化、可知化，实现安全事件监测、回响联动模式；在系统运维方面，对系统管理员、系统运维人员、系统套用高许可权用户第三方厂商的维护人员以及其他临时高许可权人员做到全方位的管理，整合账号管理、身份认证、授权管理和安全审计，实现数据中心运营集中集控。