服务热线:010-65014696

成功案例

椒图关注 FOCUS ON JOWTO

某市民族学院实施案例

[2014-11-4]

项目背景

某市民族学院隶属于国家民族事务委员会,是沿海开放地区、以工科和应用学科为主要特色的综合性民族高等学校。

学校始终坚持教学工作的中心地位,不断深化教学改革和各项教学基本建设。学校通过开设少数民族预科班、人口较少民族班,开展分层次分级教学、渗透式双语教学、研讨课程、网络课程、高峰体验课程、活动课程,实施全程化综合考试改革和多样化开放性的实践教学改革,全面提高了各民族学生的综合素质,本科教育教学取得了多项优秀成果。
 

安全需求

随着某市民族学院多元化系统的应用和国际交流与合作不断扩展,使某市民族学院信息系统由相对封闭和低风险逐渐转变的更加开放和高安全风险。数据大集中模式在民族学院的推广,又对某市民族学院信息系统的安全提出了更高的要求。
 

面临的安全威胁

结合某市民族学院自身的特点,所面临的主要安全问题和安全需求如下:

1、网页防篡改:某市民族学院网站因需要被公众访问而暴露于因特网上,由于处于一个相对开放的环境中,加之各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷,极易成为黑客的攻击目标。

2、信息泄露和篡改:信息被非法篡改、非法删除和恶意破坏。

3、服务器操作系统存在安全隐患,不能抵御外部黑客的入侵。
 

系统环境

操作系统:Windows 13台

        Linux 11台
 

解决方案

椒图主机安全环境系统(以下简称JHSE)部署在操作系统中,用于保障信息数据安全,满足某市民族学院对于主机安全具备的身份鉴别、访问控制、安全审计等功能。

JHSE的强制访问控制功能保证了文件的保密性、完整性、可用性,使重要文件得到充分的保护。同时该功能保证了权限最小化、降低了用户权限扩散的风险、避免了恶意提权的发生。

JHSE的审计功能,将操作发起的主体、响应操作的客体、操作发起的时间、操作行为、行为的成功与失败,都详细记录下来,汇总记录成文件并做分类。方便追踪事件源头,管理员方便查阅日志。

部署JHSE后实现的功能如下:

1、应用进程保护,应用数据完整性保护,有效的提高了应用自身抗攻击的能力;

2、有效防止重要信息被修改和误删除;

3、有效防止病毒、后门、恶意代码执行;

4、对于操作系统自身的操作行为要进行详细的审计;

5、在重要的存储系统中,做到权限分离,避免无权限账户访问重要数据。
 

策略配置

系统保护域:在操作系统稳定运行的基础上,保护操作系统注册表核心键值不能被修改、删除,不允许修改本地安全策略和组策略,保护各个磁盘不能被格式化。

JHSE保护域:保护JHSE自身安全,安装目录不能被修改、删除,进程不会被恶意终止,JHSE调用的注册表键值不能被修改、删除。

WEB安全域:

1、让web中的系统程序、文件目录处于同一个安全域中,域外的用户或进程对该域内文件或进程禁止任何访问。

2、保护web中间件安全,保护网站重要文件不能被修改、删除、保证中间件进程不会被恶意终止。

3、将网站目录及网站程序相关进程、文件,数据库进程及相关文件放置于此安全域内,同一安全域内互相为完全控制,域外权限对其为只读。

部署示意图如下:

\

方案效果

1、保护web服务器的网页不被篡改,同时保护网站服务器免疫恶意代码,达到对已知未知病毒、已知未知漏洞攻击的免疫效果。

2、防止敏感的商业信息被泄露、被篡改、被恶意破坏,从而保证重要数据的机密性。

3、使用JHSE保护操作系统后,不仅有效防止黑客入侵和免疫恶意代码运行,也可解决补丁滞后性问题。

4、提供完善的日志审计、管理功能,可以精确到IP、MAC、用户、进程、时间等,并统一接入审计平台,实现业务操作可追溯。

5、把操作系统透明提升到安全操作系统,且完全满足国家等级保护操作系统三级要求。
 

客户******

1、完善了某市民族学院信息安全体系,实现了对信息系统的纵深防御。有效的弥补了安全体系中,系统层防护缺失的短板问题。

2、保障了某市民族学院信息系统运行的完整性、可用性和机密性。避免了某市民族学院信息系统来自病毒、黑客的威胁,避免因攻击而导致的业务系统被非法操纵、服务中断等事故的发生。

3、完善的审计体系,及时的发现记录恶意的行为,拥有完整的审计日志和报警系统。

总结:经过JHSE保护,解决了某市民族学院目前面临的重要数据的安全问题,以及数据管理安全问题,实现了保护数据的机密性和完整性。