近年来,随着国际竞争形势的日益激烈,国家间关于信息技术及其应用的对抗越来越频繁,一些欧美发达国家在内的世界各国相继出台了一系列法案法规,以促进本国信息安全建设水平的快速提升。在我国,信息安全等级保护工作已经成为国家提升安全建设水平的重要抓手,经过前几年的落地实施,目前等级保护已经获得了初步的成果。随着我国经济的快速发展及国际地位的持续攀升,当前的信息安全防控体系将面临着更大的考验。
等级保护初显成效
长期以来,信息安全等级保护制度作为我国信息安全保障工作的基本制度,获得了政府及社会各界的广泛关注。自2006年初开始试点推广以来,等级保护先后经历了摸底、定级等阶段。2007年公安部等国家部委联合发布的《信息安全等级保护管理办法》进一步加速了等级保护的大规模推广,其中定级工作更是覆盖各级政府、军工等机构及上万家企业。随着越来越多的信息系统完成安全等级定级,2009年部分企事业单位已经开始着手信息系统安全整改工作,为我国信息安全建设打下了一定的基础。
伴随着等级保护工作的持续开展,各大信息安全厂商及网络设备厂家加大了推广力度,包括防火墙、安全网关、IDS、防病毒等在内的安全产品成功地应用到信息系统中,从很大程度上解决了安全问题,增强了信息安全防御能力。但是从实际应用情况看,这些安全能够真正满足等级保护要求的并不多,而且大多重在边界防御,以服务器为核心的计算平台自身防御水平较低。同时,大量边界设备的应用也容易形成多个单点故障点,导致难以定位故障原因,增强了管理难度。此外,随着安全功能的增加,占用的系统资源也在持续提升,势必影响到正常的业务应用。
业内人士指出,服务器是信息系统的重要组成部分,承载着敏感的信息数据及核心业务,同时也是支撑信息化应用的计算平台,服务器安全无疑是等级保护实施过程中的重要建设内容。传统注重边界防御的理念在信息系统中埋下了很大的安全隐患。权威机构Verizon Business的年度计算机破坏报告表明,在2008年的数据丢失案中,数据库和应用服务器的破坏占了50%左右的比例。在数据入侵的统计中,数据库入侵更是高达75%。服务器计算环境作为各种应用服务的支撑平台,其安全性令人堪忧。
浪潮架构安全计算环境
作为我国服务器产业的领跑者,浪潮长期重视服务器安全领域的研究,并主持制定了我国第一部服务器安全国家标准。为了促进我国等级保护工作的深入实施,浪潮在进行服务器安全计算环境设计时参考了等级保护实施过程中的重要技术标准《信息系统等级保护安全设计技术要求》,将安全计算环境的建设视为重点关注的方向,为应用服务提供高安全性的支撑平台,以保证业务运行的安全性、连续性和可控性。
在服务器安全计算环境架构中,依据由浪潮牵头起草的国家标准GB/T21028-2007《信息安全技术服务器安全技术要求》,浪潮将硬件、系统、网络、应用、运行等多层次的防御模块集成到整体安全体系中,并通过安全保护、安全监控、事件审计、集中管理等动态安全策略,对应用层、网络层、系统层、硬件层的运行情况进行实时监控,安全功能涵盖关键硬件设备运行监控、强制访问控制、安全审计、网络访问控制、入侵防御等内容,形成了完善的信息安全防控体系。
