日前,安徽省六安市煙草專(zhuān)賣(mài)局、安徽省煙草公司六安市公司(以下簡(jiǎn)稱(chēng):六安煙草),面對(duì)步步逼近的各類(lèi)網(wǎng)絡(luò)威脅,選擇了浪潮自主研發(fā)的SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng),為關(guān)鍵主機(jī)、核心服務(wù)器注入了免疫功能,在達(dá)到等級(jí)保護(hù)三級(jí)要求的同時(shí),有效應(yīng)對(duì)已知及未知的漏洞。
政策在上,責(zé)任在肩
成立于1985年的六安煙草,坐落于六安市經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)皖西大道和經(jīng)三路交匯處,是一個(gè)集卷煙銷(xiāo)售經(jīng)營(yíng)與專(zhuān)賣(mài)執(zhí)法管理于一體的政企合一單位。主要履行對(duì)煙草專(zhuān)賣(mài)品的生產(chǎn)、銷(xiāo)售業(yè)務(wù)依法實(shí)行專(zhuān)賣(mài)管理職能,承擔(dān)著六安市卷煙行業(yè)的調(diào)撥、批發(fā)以及煙葉種植業(yè)務(wù),并對(duì)卷煙的供銷(xiāo)、人財(cái)物實(shí)行集中統(tǒng)一管理。
六安煙草為提高專(zhuān)賣(mài)監(jiān)管能力,充分發(fā)揮煙草專(zhuān)賣(mài)統(tǒng)一管理優(yōu)勢(shì),以信息化建設(shè)作為切入點(diǎn),通過(guò)高速網(wǎng)絡(luò)和各大業(yè)務(wù)系統(tǒng)全面提高了監(jiān)管效能,不斷完善“兩煙”市場(chǎng)監(jiān)管新機(jī)制。在信息安全建設(shè)方面,為保障全市煙草商業(yè)系統(tǒng)的可靠運(yùn)行,六安煙草在全網(wǎng)統(tǒng)一部署了邊界防火墻和防病毒軟件,以及入侵防御系統(tǒng),使全市卷煙商業(yè)系統(tǒng)具備了初步的網(wǎng)絡(luò)安全防范能力。然而,隨著互聯(lián)網(wǎng)生態(tài)環(huán)境的逐步惡化,病毒及其變種在黑色產(chǎn)業(yè)鏈中的滋生速度更加迅猛,六安煙草希望在已經(jīng)實(shí)現(xiàn)的等級(jí)保護(hù)要求基礎(chǔ)上,進(jìn)一步提升安全防護(hù)水平。
據(jù)了解,為規(guī)范我國(guó)信息安全建設(shè),2003年,《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》明確指出了“實(shí)行信息安全等級(jí)保護(hù)”的要求。而依據(jù)國(guó)家下發(fā)的《關(guān)于做好煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(國(guó)煙辦綜〔2008〕358號(hào))文件要求,各省煙草專(zhuān)賣(mài)局已完成相應(yīng)的等級(jí)保護(hù)定級(jí)工作。
但在實(shí)際的等級(jí)保護(hù)評(píng)估和整改過(guò)程中,計(jì)算環(huán)境安全,尤其是涉及操作系統(tǒng)的計(jì)算環(huán)境安全問(wèn)題,讓很多用戶(hù)心生困惑。例如:常見(jiàn)的Windows、Linux、UNIX等商用操作系統(tǒng),雖然提供了一些安全策略,但是其功能非常有限,并且經(jīng)常存在各種漏洞。所以,如何通過(guò)合理的安全措施保證主機(jī)安全,同時(shí)防止內(nèi)、外非法用戶(hù)的攻擊就成為當(dāng)前信息系統(tǒng)等級(jí)化建設(shè)中一個(gè)至關(guān)重要的問(wèn)題,而這也是六安煙草信息安全能力“上臺(tái)階”的關(guān)鍵一步。
大環(huán)境不容樂(lè)觀,尋求更專(zhuān)業(yè)的安全
據(jù)介紹,六安煙草內(nèi)部網(wǎng)絡(luò)使用的關(guān)鍵主機(jī)包括各種數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器,一旦漏洞被黑客利用,將會(huì)對(duì)全市的數(shù)據(jù)和業(yè)務(wù)往來(lái)造成極大影響:
一方面,其信息系統(tǒng)采用的操作系統(tǒng)均為主流產(chǎn)品系列,如:AIX,Windows Server 2003,其安全漏洞更是廣為流傳,而且,由于所有的應(yīng)用系統(tǒng)都運(yùn)行在特定的操作系統(tǒng)上,一旦操作系統(tǒng)被危險(xiǎn)人物控制,應(yīng)用系統(tǒng)就失去了安全基礎(chǔ)。
另一方面,由于部分IT運(yùn)維人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解不夠,容易出現(xiàn)配置不當(dāng)?shù)膯?wèn)題,這也會(huì)造成安全隱患。而這些安全風(fēng)險(xiǎn)一旦出現(xiàn),會(huì)為不法分子留下可乘之機(jī)。如操作系統(tǒng)訪問(wèn)的口令認(rèn)證機(jī)制,特殊目錄訪問(wèn)讀寫(xiě)權(quán)限設(shè)定問(wèn)題等,如果設(shè)定不當(dāng),都會(huì)造成越權(quán)訪問(wèn)與操作。
基于以上考慮,六安煙草希望采用更專(zhuān)業(yè)的服務(wù)器安全系統(tǒng)對(duì)重要的關(guān)鍵主機(jī)和核心服務(wù)器操作系統(tǒng)進(jìn)行安全加固,通過(guò)對(duì)文件、目錄、進(jìn)程、注冊(cè)表和服務(wù)進(jìn)行的強(qiáng)制訪問(wèn)控制,制約和分散原有系統(tǒng)管理員的權(quán)限,把普通的操作系統(tǒng)從體系上升級(jí),使煙草的關(guān)鍵主機(jī),核心服務(wù)器符合國(guó)家信息安全等級(jí)保護(hù)服務(wù)器操作系統(tǒng)安全的三級(jí)標(biāo)準(zhǔn)。
而浪潮的SSR加固產(chǎn)品能夠從根本上免疫針對(duì)服務(wù)器操作系統(tǒng)的惡意攻擊,將木馬、后門(mén)、沖擊波、振蕩波等蠕蟲(chóng)類(lèi)病毒和內(nèi)外網(wǎng)的黑客攻擊拒之門(mén)外,而這些恰恰符合了六安煙草的具體要求。
“重構(gòu)”操作系統(tǒng),更安全
浪潮SSR內(nèi)核加固技術(shù)是基于對(duì)主機(jī)的內(nèi)核級(jí)安全加固防護(hù),當(dāng)未經(jīng)授權(quán)的非法用戶(hù)通過(guò)各種手段突破了防火墻等網(wǎng)絡(luò)安全產(chǎn)品進(jìn)入了內(nèi)部主機(jī),甚至竊取了操作系統(tǒng)管理員最高權(quán)限后,浪潮內(nèi)核加固技術(shù)就將成為最后的一道防線。它通過(guò)對(duì)操作系統(tǒng)原有系統(tǒng)管理員即administrator/root的無(wú)限權(quán)力進(jìn)行分散,使其不再具有對(duì)系統(tǒng)自身安全構(gòu)成威脅的能力,從而達(dá)到從根本上保障操作系統(tǒng)安全的目的。也就是說(shuō)即使非法入侵者擁有了系統(tǒng)管理員最高權(quán)限,也無(wú)法對(duì)經(jīng)過(guò)浪潮內(nèi)核加固技術(shù)保護(hù)的系統(tǒng)核心或重要內(nèi)容進(jìn)行任何破壞和操作。
浪潮SSR ROST內(nèi)核加固技術(shù)實(shí)現(xiàn)原理
對(duì)于六安煙草信息系統(tǒng)物流、財(cái)務(wù)等敏感數(shù)據(jù),浪潮SSR把普通的操作系統(tǒng)從體系上升級(jí),能夠從根本上免疫針對(duì)服務(wù)器操作系統(tǒng)的漏洞和人為攻擊。使其符合國(guó)家信息安全等級(jí)保護(hù)服務(wù)器操作系統(tǒng)安全的三級(jí)標(biāo)準(zhǔn)。
談及SSR的運(yùn)行體驗(yàn),六安煙草相關(guān)負(fù)責(zé)人表示:“浪潮SSR ROST技術(shù)實(shí)際上是在驅(qū)動(dòng)層加上安全內(nèi)核模塊,攔截所有的內(nèi)核訪問(wèn)路徑,從而達(dá)到等保三級(jí)的技術(shù)要求,最終實(shí)現(xiàn)的安全效果和重構(gòu)操作系統(tǒng)原代碼技術(shù)差不多,好處是不會(huì)影響我們的業(yè)務(wù)連續(xù)性。不需要重啟系統(tǒng),就能夠很好地支持上層的所有應(yīng)用和下層所有系統(tǒng)和機(jī)器設(shè)備,以及在操作系統(tǒng)粒度上保證上層應(yīng)用的安全。”