服务热线:010-65014696

成功案例

椒图关注 FOCUS ON JOWTO

某通讯社案例

[2014-11-12]

1.1 需求背景

某通讯社,是中国的国家通讯社,法定新闻监管机构,同时也是世界性现代通讯社。

某通讯社,是涵盖各种媒体类型的全媒体机构。某通讯社总部设在北京,在全国除台湾省以外的各省、自治区、直辖市以及香港特别行政区、澳门特别行政区设有33个分社,在境外设有140多个分支机构,建立了比较健全、覆盖全球的新闻信息采集网络,形成了多语种、多媒体、多渠道、多层次、多功能的新闻发布体系,每天24小时不间断用中文、英文、法文、俄文、西班牙文、阿拉伯文、葡萄牙文和日文8种文字,向世界各类用户提供文字、图片、图表、音频、视频、网络、手机短信等各类新闻和经济信息产品。

1.2 安全需求

某通讯社是国内最重要的新闻媒体之一,新闻信息有非常强的实效性要求,其在境外设有140多个分支机构,全球各地记者每天24小时不间断将新闻发送至通讯社FTP服务器,服务器和数据库的安全变得尤为重要。 

1.3 系统环境

操作系统:Windows 6台

        Linux  4台

数据库:Oracle、Mysql、Sqlserver

1.4 解决方案 

椒图主机安全环境系统(以下简称JHSE)部署在操作系统中,用于保障信息数据安全,满足通讯社信息防泄漏、访问控制、安全审计等功能。

JHSE的强制访问控制功能保证了文件的保密性、完整性、可用性,使重要文件得到充分的保护。同时该功能保证了权限最小化、降低了用户权限扩散的风险、避免了恶意提权的发生。

JHSE的审计功能,将操作发起的主体、响应操作的客体、操作发起的时间、操作行为、行为的成功与失败,都详细记录下来,汇总记录成文件并做分类。方便追踪事件源头,管理员方便查阅日志。

部署JHSE后实现的功能如下:

  1、应用进程保护,应用数据完整性保护,有效的提高了应用自身抗攻击的能力;

  2、有效防止重要信息被修改和误删除;

  3、有效防止病毒、后门、恶意代码执行;

  4、对于操作系统自身的操作行为要进行详细的审计;

  5、在重要的存储系统中,做到权限分离,避免无权限账户访问重要数据。

部署示意图如下:

xinhuashe.png

通讯社部署示意图

1.5 策略配置

系统保护域:在操作系统稳定运行的基础上,保护操作系统核心资源不能被修改、删除,不允许修改本地安全策略和组策略,保护各个磁盘不能被格式化。

JHSE保护域:保护JHSE自身安全,安装目录不能被修改、删除,进程不会被恶意终止,JHSE调用的资源不能被修改、删除。

数据库保护域:保护Oracle、Mysql、Sqlserver安装目录不能被修改、删除,应用的进程不能被恶意终止。Oracle、Mysql、Sqlserver可以正常运行,同时其连续性得到了保障。有效防止Oracle、Mysql、Sqlserver数据库被非法利用。只允许Oracle客户端访问,Oracle数据库的配置文件在安全域内透明加解密,并对重要数据进行完整性保护。

FTP保护域:保证FTP安装目录不能被修改、删除,进程不会被恶意终止,只允许指定FTP账户访问FTP上传目录,其他用户无法访问此目录。

1.6 方案效果

1、通过双重身份认证,使账户持有人需要物理设备USBKEY才能登陆到操作系统,避免了非法人员登陆到操作系统。

2、通过BLP功能,控制主体对于客体的访问权限,保证FTP数据的机密性。

3、保护重要数据不会被非法篡改,即使是root权限,Oracle数据库的配置文件及重要数据也不会被非法修改、复制、删除。

4、免疫已知、未知木马、病毒、漏洞攻击,即使获得超级管理员权限登陆到服务器,也不能中止业务相关程序,恶意篡改核心数据。

5、保证业务系统正常运行,即使使用root用户,也不能访问业务系统程序的目录,更不能卸载、终止、替换系统程序,业务系统不能被非法终止,从而有效保障证业务的连续性。

6、把操作系统透明提升到安全操作系统,且完全满足国家等级保护操作系统三级要求。