中華人民共和國最高人民法院專網中流轉著大量司法解釋、司法文件和審判內容，并且與中央及國務院各部門網絡都有連接，因此系統安全性必須得到充分保證。但是部署在網絡邊界的安全產品無法對主機形成有效防護，關鍵數據仍面臨安全風險。日前，浪潮SSR操作系統安全增強系統為最高法主機進行加固，在服務器最底層形成了更加可靠的防護屏障，加固之后的最高法網絡安全狀況得到大幅提升，達到國家等級保護技術要求。

法治是現代社會的重要組成部分，公正是法治的生命線。互聯網時代，司法公正不僅包括審判過程公正，信息公平也是其中應有之義。正因如此，中華人民共和國最高人民法院(以下簡稱：最高法)在專網核心節點區的建設中將系統安全作為重點，通過浪潮SSR操作系統安全增強系統(簡稱“浪潮SSR”)進行了主機加固，從主機安全入手，在服務器底層形成了更加可靠的防護屏障，達到了國家等級保護技術要求。

保障專網安全主機安全成重點

最高法是國家最高審判機關，監督地方各級人民法院和專門人民法院的審判工作。“我們的系統縱向上與全國31個高級人民法院以及392個中級人民法院相連，橫向上與中央及國務院各部門網絡都有連接。系統中流轉著大量涉密的案件審理信息和司法解釋、司法文件，有些內容涉密級別很高。隨著信息化進程的推進，信息技術溝通的頻率日漸增多，安全隱患也日益增多。我們必須保證系統的安全性，否則造成安全事故，后果將不堪設想。”最高法信息中心相關專家表示。

正是基于這樣的認識，最高法專網在核心節點區擴建之初就按照《國家信息系統等級保護管理辦法》和國家保密委《涉及國家秘密的信息系統分級保護管理辦法及技術要求》規劃，并邀請資深測評單位對相關網絡和應用系統進行預測評，已形成預測評報告。針對測評中所發現的問題和不足，最高法把主機安全作為系統升級的重點來應對，通過提升主機安全來實現整體安全的提升。

主機安全為何如此重要呢?這要從最高法網絡架構談起。最高法的IT系統主要是包括以下幾個部分：用于內網辦公應用系統的考勤系統、業績檔案管理系統;用于面向全國法院的案件情況統計系統、司法輔助管理系統;容災備份系統、文件共享系統以及信訪系統。支撐這些系統的服務器普遍采用Linux和Windows操作系統，這些操作系統具有先天的脆弱性，系統漏洞層出不窮并且危害巨大，令人防不勝防。

為消除安全漏洞，大多數信息中心采取的解決方案，僅僅局限于殺毒軟件的防護。但是殺毒軟件的防護是基于黑名單的防護機制，即殺毒軟件的防護能力取決于病毒庫的水平。倘若一種新型的病毒和黑客攻擊形式不被包含在病毒庫中，那么主機操作系統隨時面臨被惡意攻擊的風險。操作系統的健康程度是信息系統安全建設的關鍵指標，然而，大部分的關鍵主機遠沒有達到《國家信息系統等級保護管理辦法》和國家保密委《涉及國家秘密的信息系統分級保護管理辦法及技術要求》規定的服務器操作系統安全標準。所以，主機安全成為最高法系統安全的關鍵。在預評測的過程中，以下三個問題被重點提及。

一、脆弱的認證體系：傳統的操作系統的認證體系僅僅是一個賬戶密碼的單次認證方式，只需要一個密碼就可以擁有所有的權限對系統進行操作，安全隱患顯而易見。

二、自主訪問控制造成的安全隱患：基于自主訪問控制(DAC)的操作系統處于TCSEC的C2級，一定程度上提升了操作系統的安全性，但是這都是以用戶權限為基礎的，一旦用戶的超級管理員權限丟失或者用戶的誤操作都將對信息系統造成損失。

三、操作系統漏洞造成的安全隱患：不論是Windows系統還是Linux系統，都會發現漏洞，所以補漏常常會作為增強信息安全系統的一種方式，但這種被動的防御方式并不能抵擋所有的有害攻擊。而且從操作系統漏洞從被發現，到最后廠商發布可以穩定運行的補丁，一般都有3到6個月的“真空期”，而這段時間內便是操作系統最脆弱的時期，最容易被攻破。

面對這些安全隱患，最高法的安全專家提出專業的主機安全防護工具必不可少，浪潮SSR能夠對這些問題進行徹底的改善。

加固內核全面提升主機安全

“浪潮SSR從加固內核入手，全面提升了我們系統的主機安全。”該專家說。具體說來，浪潮是基于先進的ROST(內核加固)技術理論從系統層對操作系統進行加固的系統安全解決方案。通過部署浪潮SSR，最高法系統之前遇到的三個核心問題得到有效解決：

針對系統認證體系的脆弱性問題，浪潮SSR采用USB-KEY加密碼的雙因子認證方式，只有兩者同時存在，才可以進行操作，與之前一個賬戶密碼的單次認證相比，大大增強了操作系統的安全性。

【浪潮SSR ROST內核加固技術實現原理】

針對系統自主訪問控制的隱患，浪潮SSR采用強制訪問控制的方式予以彌補。在強制訪問控制下，用戶與文件等主客體都被標記了固定的安全屬性，在每次訪問發生時，系統檢測安全屬性以便確定一個用戶是否有權訪問該文件。其中，多級安全(MultiLevel Secure, MLS)就是一種強制訪問控制策略。

針對操作系統漏洞的問題，浪潮SSR基于先進的白名單技術對操作系統進行加固，旁路所有的文件訪問操作，從驅動層達到為主客體進行安全表示判斷的目的，實現主動防御，有效避免了零日漏洞的產生。

浪潮SSR守衛主機最高法系統安全升級

“根據我們系統的設備布局特點，浪潮安全工程師專門制定了更加精細化的防護策略，實施效果非常理想，系統的安全性得到大幅提升，達到國家信息安全等級保護標準。”該專家表示。具體說來，最高法系統在其關鍵業務系統上部署浪潮SSR，覆蓋考勤系統、業績檔案管理系統、案件情況統計系統、司法鋪助管理系統、容災備份系統、信訪系統、運維管理系統等系統，對訪問權限、進程權限等內容進行限制。同時，配合防火墻等技術形成全面立體的防護，既能防止SQL注入攻擊、DDoS攻擊等攻擊行為，又能防止基于系統內核層的攻擊、后門攻擊等非法篡改網站的行為。

最高法信息中心安全專家對浪潮SSR的防護效果非常滿意，他說：“這不是我們第一次采購浪潮SSR，在IT架構的其他位置我們曾經使用過浪潮SSR進行安全防護，顯著減少了針對主機的安全事故。這也是我們系統升級直接找到浪潮尋求安全幫助的重要因素。”

在任何一個時代，司法公正都是社會公平和人民生活穩定的基本保障。隨著互聯網時代的到來，司法過程實現了信息化，那么保證網絡平臺的穩定和安全就成為保障司法公正的重要基礎，主機安全則是系統安全的基礎。浪潮SSR成功守衛了主機安全，就促進了互聯網時代的司法公正進一步向前推進。