一、攀高峰的浪潮信息安全

          自1996年起，浪潮开始涉足信息安全领域的研究，在主机安全、等级保护、安全服务、云安全等方面积累了大量的理论

实验经验，此外，浪潮多次参与国家级赛事及会议的细心安全保卫工作，超过65%的部委机关正在使用浪潮信息安全产品，为国家的信息安全保驾护航。 

             2002年开始，浪潮安全专注于主机安全技术研究工作，率先最,明陞首页,关键应用主机操作系统加固技术进行研究，成功研发出了主机安全增强系统SSR，并于2007年通过国家验收，此外， 浪潮多次承担国家863计划重大科技攻关项目，牵头承担吗、参与国家信息安全领域国家标准的制定。主持起草GB/T21028-2007《信息安全技术-服务器安全测试技术要求》、GB/T25063-2010《信息安全技术-服务器安全测试要求》等国标填补了国内在服务器安全领域技术要求的空白。 

             2013年12月，浪潮启动主机安全战略，并发布,明升手机版,首个集硬件，操作系统、安全软件“三位一体”的主机安全方案，填补了我国主机安全领域的空白，同年，浪潮安全与国家测评中心联手，建立“云计算安全与应用联合实验室”，共同开展云计算安全标准，云计算安全体系等工作，此外，浪潮受邀成为国家网络与安全信息通报机制“技术支持单位”。正在成为国家信息安全领域的中坚力量，浪潮主机安全第一品牌的影响力日益提升。 

              在与计算时代，作为硬件与综合实力雄厚的IT公司，浪潮将一如既往的保持创新精神，以保障国家信息安全为己任，不断为用户提供高品质的云安全产品和服务，推动中国信息安全的快速发展。

二 、浪潮主机安全增强系统(SSR)概述

系统兼容平台

三、研发背景

 您经常遇到这样的问题吗？ 

              信息安全建设要符合国家等级保护三级要求，分级保护的机密或机密增强级以上要求。 

             部署了安全产品，也实施了安全措施，但是系统仍然被病毒木马感染，被黑客攻击！ 
 
       数据越来越重要，业务越来越庞大，而漏洞却越来越多？

               为了系统安全而升级补丁，升级又不得不中断业务，而升级补丁可能带来新的安全风险！、 

       某些系统处在内网而无法升级病毒库和系统补丁，因此面临更大风险！ 
    
       系统管理员账户权限过大而无法约束和审计！

               服务器在接受厂商维护时核心数据资产被曝光！ 
   

 四 、用户价值

      免疫病毒木马，抵御黑客攻击 
           采用ROST技术对系统中文件、进程、注册表、服务、账户等方面进行强制访问，构建多方位立体防护体系，层层相关，从根本上免疫各种已知未知的病毒、木马以及黑客攻击对系统的破坏，确保系统和应用安全稳定运行。 
 
         降低“零日漏洞”风险，延迟漏洞修。

               SSR采用强制访问权限以及白名单机制，只允许可信的用户和进程访问被保护资源，即使黑客利用漏洞获取了系统权限，也破坏系统资源和植入木马，降低了漏洞存在的风险，同时允许用户延迟了修复。 

      分权管理，规避“一权独大”

 规避了原操作系统管理员“一权独大”的风险，将其权限分散为系统管理员、安全管理员、审计管理员、三个权限各司其能，相互制约，实现最小权限，保证系统安全性。 
 
     提升安全等级别，帮助用户合理。

           SSR 通过内核层实现显示访问控制机制，与用户系统自身的自主访问控制相融合，为系统和用户重要应用提供更强的约束，金额更高安全控制级别，同时结合完整性检测，双因子认证，剩余信息保护等功能，帮助用户在系统安全方面满足等级保护三级及分级保护机密级以上要求。 

   立体防护，多重效果。
           变“被动”为“主动”的防御；变“修补”为“免疫”的安全；变“脆弱”为“强杜”的系统；变“分散”为“统一”的管理；变“手工加固”为“永久自动防御”。 
 
   统一管理，化繁为简

       管理员可以从任何地方通过双因子身份认证后，对所有被保护的服务器进行安全策略制定和维护，实现集中管理，减少日常维护工作量。 

五、功能特征

   防护功能 
       强制访问控制 
 在操作系统内核层实现文件，注册表，进程，服务网络等对象的强制访问控制，可配置正对以上对象的不同的访问策略来保护系统和应用资源，及时是系统管理员也不能破坏保护的资源。 

防格式化保护机制 
              保护功能开启时，可防止病毒和入侵者恶意格式化磁盘，同时降低管理员意外格式化磁盘的风险。

完整性检测 
              对文件和服务进行完整性检测，必可设置定期检测项目，当发现文件或者服务器篡改是进行报警并发现那些文件发生改变。 

系统资源监控与报警 
               对系统CPU、内存、磁盘、网络资源进行监控，当这些资源的使用状况超过设置的阀值是将进行报警，以提前发现资源不足，滥用等问题。

双因子认证和组合式密码认证               

不仅提供SSR安全管理员与SSR审计管理员的USB KEY+密码的双因子认证功能，还可对系统用户配发USB KEY实现双因子认证，对于远程登陆和虚拟化系统而无法之别USBKEY的服务器，SSR提供可能配置俩个人同时存在才能登陆系统，以此确保自然人的可能。 

文件擦除 
            提供至少7次以上的文件和目录反复撰写，做到真正的信息清除，防止数据恢复。

用户使用痕迹清理 
         提供一键式清理用户上网记录，文档访问记录，临时文件等信息，防止用户隐私数据浪潮。， 

身份鉴别化          

       可灵活配置系统用户密码的复杂性和登陆失败处理，以此来增强系统用户身份鉴别的安全性。 
 
磁盘配额限制

       可设置用户对磁盘的使用配置来避免磁盘空间的滥用，当用户的磁盘使用量超过配额限制时的进行报警。 

网络限制 
             可设置是否允许系统开启和关闭共享，以及设置系统本地账户的安全策略以及账户身份认证时的安全传输方式，以此来增强系统账户的安全性。

             可执行程序保护保护系统重要的可执行程序，可发现可执行被篡改并进行恢复。  

自我保护机制 
             SSR采用内核密封技术和完整性保护技术来保证SSR的文件不被恶意篡改，进程被恶意注入。

      违规日志审计 
 记录系统内的所有违反强制访问控制策略的事件，并提供日志的查询、删除、备份、导出、日志分析和syslog转发功能。 

       操作日志审计 
               记录管理员对SSR的所有操作事件如登陆，功能停用等，并提供日志的查询。删除、备份和导出。

       关键事件报警 
                提供管理员可能配置的时间报警机制，当管理员设定的事件被触发，通过邮件的形式向管理员发出通知。 
 管理功能 

      统一管理机制

 在一个SSR控制台可以同时对多个平台的SSR进行管理和维护，且SSR可开放接口给第三方面管理平台集成，实现与不同产品问管理的融合。

  灵活多样的策略模板