中華人民共和國最高人民法院專網中流轉著大量司法解釋、司法文件和審判內容，並且與中央及國務院各部門網路都有連接，因此系統安全性必須得到充分保證。但是部署在網路邊界的安全産品無法對主機形成有效防護，關鍵數據仍面臨安全風險。日前，浪潮SSR作業系統安全增強系統為最高法主機進行加固，在伺服器最底層形成了更加可靠的防護屏障，加固之後的最高法網路安全狀況得到大幅提升，達到國家等級保護技術要求。 　

　　法治是現代社會的重要組成部分，公正是法治的生命線。網際網路時代，司法公正不僅包括審判過程公正，資訊公平也是其中應有之義。正因如此，中華人民共和國最高人民法院(以下簡稱：最高法)在專網核心節點區的建設中將系統安全作為重點，通過浪潮SSR作業系統安全增強系統(簡稱“浪潮SSR”)進行了主機加固，從主機安全入手，在伺服器底層形成了更加可靠的防護屏障，達到了國家等級保護技術要求。

　　保障專網安全主機安全成重點

　　最高法是國家最高審判機關，監督地方各級人民法院和專門人民法院的審判工作。“我們的系統縱向上與全國31個高級人民法院以及392個中級人民法院相連，橫向上與中央及國務院各部門網路都有連接。系統中流轉著大量涉密的案件審理資訊和司法解釋、司法文件，有些內容涉密級別很高。隨著資訊化進程的推進，資訊技術溝通的頻率日漸增多，安全隱患也日益增多。我們必須保證系統的安全性，否則造成安全事故，後果將不堪設想。”最高法資訊中心相關專家表示。

　　正是基於這樣的認識，最高法專網在核心節點區擴建之初就按照《國家資訊系統等級保護管理辦法》和國家保密委《涉及國家秘密的資訊系統分級保護管理辦法及技術要求》規劃，並邀請資深測評單位對相關網路和應用系統進行預測評，已形成預測評報告。針對測評中所發現的問題和不足，最高法把主機安全作為系統升級的重點來應對，通過提升主機安全來實現整體安全的提升。

　　主機安全為何如此重要呢？這要從最高法網路架構談起。最高法的IT系統主要是包括以下幾個部分：用於內網辦公應用系統的考勤系統、業績檔案管理系統；用於面向全國法院的案件情況統計系統、司法輔助管理系統；容災備份系統、文件共用系統以及信訪系統。支撐這些系統的伺服器普遍採用Linux和Windows作業系統，這些作業系統具有先天的脆弱性，系統漏洞層出不窮並且危害巨大，令人防不勝防。

　　為消除安全漏洞，大多數資訊中心採取的解決方案，僅僅局限于殺毒軟體的防護。但是殺毒軟體的防護是基於黑名單的防護機制，即殺毒軟體的防護能力取決於病毒庫的水準。倘若一種新型的病毒和駭客攻擊形式不被包含在病毒庫中，那麼主機作業系統隨時面臨被惡意攻擊的風險。作業系統的健康程度是資訊系統安全建設的關鍵指標，然而，大部分的關鍵主機遠沒有達到《國家資訊系統等級保護管理辦法》和國家保密委《涉及國家秘密的資訊系統分級保護管理辦法及技術要求》規定的伺服器作業系統安全標準。所以，主機安全成為最高法系統安全的關鍵。在預評測的過程中，以下三個問題被重點提及。

　　一、脆弱的認證體系：傳統的作業系統的認證體系僅僅是一個賬戶密碼的單次認證方式，只需要一個密碼就可以擁有所有的許可權對系統進行操作，安全隱患顯而易見。

　　二、自主訪問控製造成的安全隱患：基於自主訪問控制(DAC)的作業系統處於TCSEC的C2級，一定程度上提升了作業系統的安全性，但是這都是以用戶許可權為基礎的，一旦用戶的超級管理員許可權丟失或者用戶的誤操作都將對資訊系統造成損失。

　　三、作業系統漏洞造成的安全隱患：不論是Windows系統還是Linux系統，都會發現漏洞，所以補漏常常會作為增強資訊安全系統的一種方式，但這種被動的防禦方式並不能抵擋所有的有害攻擊。而且從作業系統漏洞從被發現，到最後廠商發佈可以穩定運作的補丁，一般都有3到6個月的“真空期”，而這段時間內便是作業系統最脆弱的時期，最容易被攻破。

　　面對這些安全隱患，最高法的安全專家提出專業的主機安全防護工具必不可少，浪潮SSR能夠對這些問題進行徹底的改善。

　　加固內核全面提升主機安全

　　“浪潮SSR從加固內核入手，全面提升了我們系統的主機安全。”該專家説。具體説來，浪潮是基於先進的ROST(內核加固)技術理論從系統層對作業系統進行加固的系統安全解決方案。通過部署浪潮SSR，最高法系統之前遇到的三個核心問題得到有效解決：

　　針對系統認證體系的脆弱性問題，浪潮SSR採用USB-KEY加密碼的雙因子認證方式，只有兩者同時存在，才可以進行操作，與之前一個賬戶密碼的單次認證相比，大大增強了作業系統的安全性。

　　浪潮SSR ROST內核加固技術實現原理

　　針對系統自主訪問控制的隱患，浪潮SSR採用強制訪問控制的方式予以彌補。在強制訪問控制下，用戶與文件等主客體都被標記了固定的安全屬性，在每次訪問發生時，系統檢測安全屬性以便確定一個用戶是否有權訪問該文件。其中，多級安全(MultiLevel Secure, MLS)就是一種強制訪問控制策略。

　　針對作業系統漏洞的問題，浪潮SSR基於先進的白名單技術對作業系統進行加固，旁路所有的文件訪問操作，從驅動層達到為主客體進行安全表示判斷的目的，實現主動防禦，有效避免了零日漏洞的産生。

　　浪潮SSR守衛主機最高法系統安全升級

　　“根據我們系統的設備佈局特點，浪潮安全工程師專門制定了更加精細化的防護策略，實施效果非常理想，系統的安全性得到大幅提升，達到國家資訊安全等級保護標準。”該專家表示。具體説來，最高法系統在其關鍵業務系統上部署浪潮SSR，覆蓋考勤系統、業績檔案管理系統、案件情況統計系統、司法鋪助管理系統、容災備份系統、信訪系統、運維管理系統等系統，對訪問許可權、進程許可權等內容進行限制。同時，配合防火牆等技術形成全面立體的防護，既能防止SQL注入攻擊、DDoS攻擊等攻擊行為，又能防止基於系統內核層的攻擊、後門攻擊等非法篡改網站的行為。

　　最高法資訊中心安全專家對浪潮SSR的防護效果非常滿意，他説：“這不是我們第一次採購浪潮SSR，在IT架構的其他位置我們曾經使用過浪潮SSR進行安全防護，顯著減少了針對主機的安全事故。這也是我們系統升級直接找到浪潮尋求安全幫助的重要因素。”

　　在任何一個時代，司法公正都是社會公平和人民生活穩定的基本保障。隨著網際網路時代的到來，司法過程實現了資訊化，那麼保證網路平臺的穩定和安全就成為保障司法公正的重要基礎，主機安全則是系統安全的基礎。浪潮SSR成功守衛了主機安全，就促進了網際網路時代的司法公正進一步向前推進。