服务热线:010-65014696

成功案例

椒图关注 FOCUS ON JOWTO

四川省某水利发电站实施案例

[2013-1-10]

需求背景

四川省某水电开发有限公司,是集水电开发建设与经营管理于一体的大型水电开发公司。如何保证电站监控应用系统、电厂生产管理信息系统的安全、正常运行非常关键。

作为国家著名的水利发电项目,非常重视信息系统的安全。在增强信息系统安全的措施中,其在信息系统中也部署了相关的安全产品,如防火墙、代理服务器、入侵检测、漏洞扫描等等,但是操作系统的安全水平却一直没有得到提高,在其整体的信息安全防护体系中,系统层安全成为最脆弱的部分。

 

系统环境

操作系统:Redhat 5.5 20台

系统应用:核心业务系统

  

解决方案

使用椒图科技JHSE,分别安装在电站监控服务器及核心业务服务器上,通过部署JHSE后,透明提升至安全操作系统,通过细粒度规则配置,可免疫已知、未知病毒,系统管理员权限被划分为三个角色,各个角色之间相互独立、相互监督,有效地防止了超级管理员权限过大。在三权分立原则下,即使超级管理员密码泄漏或者被破解,黑客也无法破坏被JHSE保护的资源。

  

配置策略如下

1、保护操作系统:使用默认的安全域模板保护操作系统。

2、新建安全域:让电站监控业务系统程序、文件目录处于同一个安全域中,域外的用户或进程对该域内文件或进程禁止任何访问。

3、设置登录审计策略:只允许设定的某IP段,在指定时间内登录系统。对SSH、LOGIN、SU、RLOGIN进行双重身份认证。

4、建立安全域:让Oracle配置文件、Oracle数据库目录、Java、Oracle进程处于同一个安全域中,域外用户或者进程对该域无任何操作权限。

部署示意图如下:

  

\


方案效果

1、保证业务系统正常运行,即使使用Root用户,也不能访问业务系统程序的目录,更不能卸载、终止、替换保护的程序。

2、保证业务系统信息的保密性,业务数据只对有权限的用户使用对应的进程开放权限。

3、日志审计,所有违规操作均进行日志审计,可以精确到IP、MAC、用户、进程、时间等,提供完善的日志审计功能。

 

总结

经过JHSE保护后,可以免疫已知、未知木马病毒、漏洞攻击,即使获得超级管理员权限登陆到服务器,也不能中止业务相关程序,恶意篡改核心数据,可以有效保证业务的连续性和安全性,把操作系统透明提升到安全操作系统。