導(dǎo)語(yǔ):這是一個(gè)快速變化的世界,數(shù)據(jù)正在經(jīng)歷爆炸式增長(zhǎng),業(yè)務(wù)類型和規(guī)模也正在以前所未有的速度更新和變化。業(yè)務(wù)升級(jí)正在逐步成為it行業(yè)的常態(tài),如何在這種常態(tài)下保證系統(tǒng)的安全穩(wěn)定運(yùn)行?工業(yè)和信息化部(以下簡(jiǎn)稱:工信部)在其郵件系統(tǒng)改造中,引入一套專業(yè)的產(chǎn)品來替換原有的業(yè)務(wù)系統(tǒng)。在新系統(tǒng)的規(guī)劃和部署過程中,工信部將主機(jī)安全放在首位,通過采用浪潮ssr操作系統(tǒng)安全增強(qiáng)系統(tǒng)(簡(jiǎn)稱“浪潮ssr”),實(shí)現(xiàn)了防止病毒入侵、防止黑客竊取機(jī)密信息的目標(biāo)。
美國(guó)國(guó)務(wù)院電子郵件系統(tǒng)迫于黑客攻擊的壓力被關(guān)閉,這是今年11月17日爆出的消息。與之類似,我我國(guó)政府的電子郵件系統(tǒng)也是黑客攻擊的目標(biāo)。如何保證核心數(shù)據(jù)的安全?工業(yè)和信息化部郵件系統(tǒng)的升級(jí)過程中,通過采用浪潮操作系統(tǒng)安全增強(qiáng)系統(tǒng)(簡(jiǎn)稱“ssr”)實(shí)現(xiàn)了主機(jī)安全,目前尚無(wú)一例主機(jī)感染的事故,實(shí)現(xiàn)了防止病毒入侵、防止黑客竊取機(jī)密信息的目標(biāo)。
系統(tǒng)升級(jí) 主機(jī)安全成為“頭等大事”
工業(yè)和信息化部是國(guó)務(wù)院直屬部門,肩負(fù)著擬訂實(shí)施行業(yè)規(guī)劃、產(chǎn)業(yè)政策和標(biāo)準(zhǔn);監(jiān)測(cè)工業(yè)行業(yè)日常運(yùn)行;推動(dòng)重大技術(shù)裝備發(fā)展和自主創(chuàng)新;管理通信業(yè);指導(dǎo)推進(jìn)信息化建設(shè);協(xié)調(diào)維護(hù)國(guó)家信息安全等主要職責(zé)。工信部作為行業(yè)管理部門,主要是管規(guī)劃、管政策、管標(biāo)準(zhǔn),指導(dǎo)行業(yè)發(fā)展。
隨著用戶數(shù)量和業(yè)務(wù)需求的不斷增長(zhǎng),原有業(yè)務(wù)系統(tǒng)在多系統(tǒng)對(duì)接、系統(tǒng)的安全穩(wěn)定性和功能支持方面都顯得捉襟見肘。如何跟上業(yè)務(wù)發(fā)展的速度呢?工信部選擇引入一套專業(yè)的產(chǎn)品來替換原有的電子政務(wù)業(yè)務(wù)系統(tǒng)。而在如何進(jìn)行系統(tǒng)的安全防護(hù)卻成了讓人頭疼的問題。
工信部?jī)?nèi)部郵件主要包括兩個(gè)部分,一部分用于內(nèi)部使用;一部分供給大客戶使用。在來往的郵件上涉及到大量標(biāo)準(zhǔn)的未發(fā)布版本。這些標(biāo)準(zhǔn)在尚未發(fā)布之前都屬于絕密資料,一旦泄漏,將會(huì)給行業(yè)造成巨大影響。而這部分內(nèi)容又十分巨大,管中窺豹,可見一斑。僅從工信部2014年第32號(hào)公告來看,批準(zhǔn)的標(biāo)準(zhǔn)就多達(dá)1208項(xiàng),包含機(jī)械、汽車、航空、通信等多個(gè)行業(yè),核行業(yè)的標(biāo)準(zhǔn)也在其中,這些行業(yè)涉及到國(guó)計(jì)民生的方方面面,關(guān)系到國(guó)家的穩(wěn)定和安全。
“我們的系統(tǒng)承擔(dān)了國(guó)內(nèi)工業(yè)和信息化所有的標(biāo)準(zhǔn)發(fā)布工作,郵件系統(tǒng)中運(yùn)轉(zhuǎn)的業(yè)務(wù)和數(shù)據(jù)關(guān)乎國(guó)計(jì)民生,因此安全性等級(jí)相對(duì)于一般的郵件系統(tǒng)高出很多。如果因外部人員竊取,或內(nèi)部人員誤操作造成數(shù)據(jù)丟失、非法修改等問題,將會(huì)給我國(guó)的各個(gè)行業(yè)造成無(wú)法彌補(bǔ)的損失。因此,我們力求信息安全架構(gòu)的全面性、完整性和有效性,絕不能容忍‘死角’產(chǎn)生。”工信部信息中心工作人員表示。但是,從外部環(huán)境和內(nèi)部系統(tǒng)來看,安全情況都不容樂觀。
從外部環(huán)境來看,政府網(wǎng)站頻受攻擊,業(yè)務(wù)增長(zhǎng)加大了被攻擊的可能。政府網(wǎng)站正在成為黑客的首選目標(biāo),“中國(guó)是網(wǎng)絡(luò)攻擊的受害國(guó),80%的政府網(wǎng)站受到過攻擊?!眹?guó)家網(wǎng)信辦主任魯煒最近表示。工信部郵件系統(tǒng)的業(yè)務(wù)量不斷擴(kuò)大,承擔(dān)的行業(yè)標(biāo)準(zhǔn)發(fā)布數(shù)量日益增多,受到攻擊的可能性就更大。
從內(nèi)部系統(tǒng)來看,現(xiàn)有信息安全架構(gòu)主機(jī)核心層防護(hù)措施明顯不足。雖然在服務(wù)器外圍加大防護(hù)力度但是主機(jī)自身的防護(hù)能力是外圍安全設(shè)備和技術(shù)手段無(wú)法彌補(bǔ)的。服務(wù)器系統(tǒng)的安全很大程度上是由操作系統(tǒng)的安全性決定,但操作系統(tǒng)本身卻不具備完善安全的防護(hù)功能,存在諸多的漏洞和后門,一旦主機(jī)自帶的安全防護(hù)屏障被攻破,黑客便能輕易破壞、盜取數(shù)據(jù),必將造成不可彌補(bǔ)的損失或影響。
如何提升全面提升安全等級(jí)?主機(jī)安全是必由之路。
內(nèi)核加裝安全甲,實(shí)現(xiàn)全方位保護(hù)
工信部已經(jīng)在網(wǎng)絡(luò)邊界已經(jīng)部署了大量的安全設(shè)備,但是效果仍有限。那么防護(hù)的重點(diǎn)在哪里呢? “考慮到該業(yè)務(wù)應(yīng)用軟件主要運(yùn)行在服務(wù)器平臺(tái)上,而服務(wù)器系統(tǒng)的安全很大程度上是由操作系統(tǒng)的安全性決定。經(jīng)過我們多次評(píng)估和綜合考察、測(cè)評(píng),以及嚴(yán)格的產(chǎn)品攻防測(cè)試,最終采用了浪潮ssr主機(jī)操作系統(tǒng)安全增強(qiáng)系統(tǒng)作為服務(wù)器平臺(tái)操作系統(tǒng)安全運(yùn)行的保護(hù)神?!痹摴ぷ魅藛T表示。
工信部郵件系統(tǒng)過去采用傳統(tǒng)的主機(jī)安全措施是通過手工加固的方式提高操作系統(tǒng)安全。通過修改操作系統(tǒng)或者應(yīng)用軟件自身的安全策略來提升系統(tǒng)的安全性,比如修改系統(tǒng)組策略,劃分更細(xì)的權(quán)限,降低應(yīng)用軟件的運(yùn)行權(quán)限等。手動(dòng)安全加固雖然可以暫時(shí)消除系統(tǒng)的安全隱患,但這種加固方法卻有著明顯的弱點(diǎn)。比如:專業(yè)性強(qiáng)、費(fèi)用高、周期長(zhǎng)、時(shí)間局限明顯等等,無(wú)法長(zhǎng)期有效的解決系統(tǒng)的安全問題。值得注意的是,所有手工加固都是基于系統(tǒng)管理員的基礎(chǔ)來配置的,這也就是說管理員可以自行加固也可以自行取消,安全策略的有效性得不到審計(jì),一旦黑客獲取系統(tǒng)管理員權(quán)限,所有的安全策略都會(huì)失效,因此達(dá)不到強(qiáng)制訪問控制的功能。
現(xiàn)在,工信部郵件系統(tǒng)的主機(jī)安全與過去有了本質(zhì)區(qū)別。通過浪潮ssr為服務(wù)器和操作系統(tǒng)成功實(shí)現(xiàn)“自動(dòng)防御”、“主動(dòng)免疫”的全方位防護(hù)。
具體來說,ssr解決方案幫助工信部郵件系統(tǒng)的操作系統(tǒng)實(shí)現(xiàn)了“自動(dòng)”加固。原理是通過對(duì)文件、目錄、進(jìn)程、注冊(cè)表和服務(wù)的強(qiáng)制訪問控制,有效的制約和分散了原有系統(tǒng)管理員的權(quán)限,綜合了對(duì)文件和服務(wù)的完整性檢測(cè)、防緩沖區(qū)溢出等功能,能夠把普通的操作系統(tǒng)從體系上升級(jí),使其符合國(guó)家信息安全等級(jí)保護(hù)服務(wù)器操作系統(tǒng)安全的三級(jí)標(biāo)準(zhǔn)。而且,浪潮以ssr為核心的主機(jī)安全解決方案還可以和工信部郵件系統(tǒng)部署在網(wǎng)絡(luò)層的防護(hù)產(chǎn)品形成“互補(bǔ)”,使得主機(jī)安全實(shí)現(xiàn)了“既防外網(wǎng),又控內(nèi)網(wǎng)”的全新保護(hù)框架。
【浪潮ssr在工信部的應(yīng)用部署圖】
系統(tǒng)實(shí)現(xiàn)主動(dòng)免疫和永久自動(dòng)防御
工信部在分析了關(guān)鍵業(yè)務(wù)運(yùn)行環(huán)境之后,在郵件系統(tǒng)服務(wù)器和cdap(多業(yè)務(wù)應(yīng)急接管系統(tǒng))備份系統(tǒng)上部署了浪潮ssr企業(yè)版,對(duì)主機(jī)上的郵件系統(tǒng)以及服務(wù)進(jìn)程、注冊(cè)表等進(jìn)行安全防護(hù),實(shí)現(xiàn)了病毒免疫,防止了各種因?yàn)檠a(bǔ)丁因素造成的應(yīng)用停擺問題。
工信部信息中心相關(guān)專家表示:“工信部郵件系統(tǒng)承載著國(guó)內(nèi)眾多行業(yè)的標(biāo)準(zhǔn)溝通和下發(fā),作為國(guó)家重點(diǎn)安全防護(hù)領(lǐng)域,具有極其重要的地位。所以我們必須要保證其安全性不受到絲毫的威脅。在我們遇到主機(jī)安全的困擾之時(shí),浪潮ssr解決方案幫助我們實(shí)現(xiàn)了主動(dòng)和永久自動(dòng)的防御,實(shí)現(xiàn)了對(duì)病毒自動(dòng)免疫,幫助我們實(shí)現(xiàn)了系統(tǒng)安全的巨大提升。”