服务器安全从早期开始一直都是指硬件的安全,很少有人去关注关于服务器的其他东西。但在《国家信息等级化保护标准》里面,对服务器有了新的定义。服务器之所以称为服务器,必须能够提供应用,必须有一个应用系统。所以,服务器的安全应该是一个多层次的概念,应该把它分为硬件层、系统层、应用层和管理层。在实际应用中每一层都应该达到安全,并且层层之间有管理层互联互通,这才是一个真正的服务器安全的方向。中航嘉信公司目前就在从事这方面的安全解决方案,并提出了TSOC(Trust Server Operation Center,可信服务器安全资源管理平台)解决方案,作为可信服务器安全的平台,也是为实现《国家信息等级化保护标准》而推向市场的标准。
TSOC作为中航嘉信为国家等级保护的实施项目研发的可信服务器的产品链解决方案,从服务器的硬件层,系统层,应用层考虑了可信服务器的安全,形成了三级的可信服务器的保障体系,使企业级的各种应用服务器达到第三等级的可信级别。
在TSOC解决方案中,安全管理员可以通过自己的笔记本经过强身份认证远程登陆SSR配置服务器,向网络中所有的具有SSR安全内核的服务器进行强制访问控制的策略分发,所有安装了SSR安全内核的受保护的可信服务器都会向SSR的日志服务器提交审计日志,由审计管理员通过自己的笔记本经过强身份认证登陆SSR的日志服务器进行审计。
TSOC Web Security则是TSOC方案种的一个针对Web应用服务器的分支方案。Web Security是针对Web应用服务器的应用层的强制访问控制产品,它本身也是具有SSR安全内核的可信服务器,从而形成了一个可集中控制和安全管理的可信服务器运营管理中心。Web Security提供给对Web应用服务器安全性较高的企业和政府的一个一劳永逸的Web服务器可信方案,使服务器的系统层和应用层都达到第三等级的可信等级,从根本上免疫现有二级的一切针对服务器系统和Web应用程序的病毒,蠕虫,黑客攻击手段等。
中航嘉信副总经理、高级网络安全工程师艾奇伟谈到:“网络安全技术发展到现在,呈现出了两大态势,一个是隔离派,一个是安全域派。隔离派牺牲应用,但是保密局以前有规定,必须在涉密网与非涉密网之间物理隔离,但真正的物理隔离是以牺牲应用为代价的。而我们在考虑现在的企业网络安全产品的时候,应该将网络安全与实际应用相结合,这是我们提供TSOC解决方案的一个特征——不牺牲应用的安全。而安全域的概念,就是根据不同需求的网络划分级别,每个级别的数据都有各个级别的标记,不同级别之间的数据流动是受保护的,每个安全域里面的数据都带有敏感标记,比如三级域的数据就带有三级敏感标记,二级域就带有二级敏感标记,当数据在不同级别安全域之间互联互通的时候,敏感标记是携带的,也就是说低可信等级的安全域对高可信等级安全域的数据是受一定访问限制的,除非被授权。服务器也是分为硬件层、系统层、应用层,那么它必然也存在互联、互通、互操作的问题,没有互联、互通、互操作,就无法实现安全与应用的结合,这肯定不是安全的发展方向。所以,TSOC在整个服务器安全方案中就是一个平台,在互联、互通、互操作的前提下,提供高等级的安全标准。”
