核心数据访问独立性
 

    在金融信息系统常规的流程中，业务管理人员通过业务应用系统访问后台数据库，为了保障操作安全，办公应用系统自身都通过CA证书等管理系统控制应用系统账号，以保证前台应用系统的安全性。但在现实的工作环境中，在登录服务器后，除了应用系统程序，还可以通过本地访问、查询工具等很多方式绕过前台授权直接访问后台数据库文件，这种访问控制上存在的缺陷曾经导致金融泄密事件的发生，无法确保数据库的保密性和安全性。通过浪潮SSR的强制访问控制机制，可以增加数据库文件的独立性，保证后台数据库文件只允许被数据库或办公程序等业务程序访问，拒绝其他所有非可信程序，配合前台应用程序的安全认证，保障数据库文件访问的安全性，防止因非法访问服务器数据而造成泄密等安全事故。
 

    安全接入服务器
 

    金融系统信用卡、在线交易等在线业务的使用，使金融信息系统与国内外公共互联网进行互联，那么，广泛的互联网接口更开放的应用系统，必然造成来自公共互联网的各类攻击、病毒及入侵将对金融信息系统的可用性带来巨大威胁和侵害。
    浪潮SSR的操作系统加固和应用系统增强功能，可以为处在互联网边界处的服务器提供最底层的安全保护。能够主动免疫所有针对服务器的病毒、木马、缓冲区溢出等攻击，防止这些非法攻击穿透边界服务器后进入金融系统生产网，对金融系统核心数据和业务系统带来更严重的影响。
 

电信－拨丝抽茧，细化人员权限
 
 

    电信行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，行业内已经制定了《电信网和互联网安全防护管理指南》、《电信网和互联网安全等级保护实施指南》、《电信网和互联网安全风险评估实施指南》、《电信网和互联网灾难备份及恢复实施指南》、《传送网安全防护要求》、《增值业务网（消息网）安全保障要求》、《互联网安全防护要求》等20多个标准。
    随着行电信业网络建设的不断发展，“以电子商务为特征的，以信息化为支撑的新业务模式”不断完善和发展，网上订货在行业内在不断推广应用。作为一种互联网与行业内网结合的信息系统，其安全问题是一个非常重要的问题。
    电信信息系统的显著特点是层次非常广泛，近几年发展以后相关的软件、协议非常众多，不断诞生的新技术、软件代码、操作协议，以前的操作协议是相当简单的，现在协议的复杂度是越来越高。这些复杂但又相互对立的子系统的运行、维护需要大量的人力物力和专业化技能。而且这些子系统之间还会有内在的关联性，导致了电信系统在安全管理制度执行和操作人员“最小授权”方面存在问题。所以，实现各个职能部门的通力配合，合理的职能划分，是信息系统高效、安全运行的制度保障。
    在进行风险评估、应用系统升级、数据库更新等工作时，往往存在安全服务商、数据库厂商、应用系统厂商等几方权限交叉的问题，各厂商从分清责任考虑都仅对自己责任范围内负责，然而我们面临的问题是，服务方在分清责任的同时，却并没有规范各自的权限，各方人员通过系统管理员账号进入系统，除了执行责任内的运维、升级等行为外，对服务器中的业务数据文件、核算程序进程也有着完全的访问权限。
    浪潮SSR的系统操作人员授权管理功能，可以让主管部门根据各职能单位和外包商的实际工作范围进行授权，对各人员使用的服务器系统管理员的无限权力进行合理分配，设置访问控制规则约束系统管理员的行为，从而达到从根本上保障系统安全的目的。也就是说今后各系统操作人员，即使用系统最高权限账号登录也只能做其职能范围内的操作，例如查看日志、定期备份、软件维护等，如果需要访问业务信息系统的数据库、程序等，就必须取得主管信息系统的授权，否则对所有业务信息系统资源都没有任何访问权限。
    通过合理的权力划分，不仅可以规避来自服务外包商人员对业务数据误操作等非法访问带来的风险，还可建立对数据等敏感信息更加合理的访问控制机制，完善电信系统安全管理制度。 （编辑/大陈）
 

(责任编辑：)