日前,安徽省六安市煙草專(zhuān)賣(mài)局、安徽省煙草公司六安市公司(以下簡(jiǎn)稱(chēng):六安煙草),面對步步逼近的各類(lèi)網(wǎng)絡(luò )威脅,選擇了浪潮自主研發(fā)的SSR操作系統安全增強系統,為關(guān)鍵主機、核心服務(wù)器注入了免疫功能,在達到等級保護三級要求的同時(shí),有效應對已知及未知的漏洞。
政策在上,責任在肩
成立于1985年的六安煙草,坐落于六安市經(jīng)濟技術(shù)開(kāi)發(fā)區皖西大道和經(jīng)三路交匯處,是一個(gè)集卷煙銷(xiāo)售經(jīng)營(yíng)與專(zhuān)賣(mài)執法管理于一體的政企合一單位。主要履行對煙草專(zhuān)賣(mài)品的生產(chǎn)、銷(xiāo)售業(yè)務(wù)依法實(shí)行專(zhuān)賣(mài)管理職能,承擔著(zhù)六安市卷煙行業(yè)的調撥、批發(fā)以及煙葉種植業(yè)務(wù),并對卷煙的供銷(xiāo)、人財物實(shí)行集中統一管理。
六安煙草為提高專(zhuān)賣(mài)監管能力,充分發(fā)揮煙草專(zhuān)賣(mài)統一管理優(yōu)勢,以信息化建設作為切入點(diǎn),通過(guò)高速網(wǎng)絡(luò )和各大業(yè)務(wù)系統全面提高了監管效能,不斷完善“兩煙”市場(chǎng)監管新機制。在信息安全建設方面,為保障全市煙草商業(yè)系統的可靠運行,六安煙草在全網(wǎng)統一部署了邊界防火墻和防病毒軟件,以及入侵防御系統,使全市卷煙商業(yè)系統具備了初步的網(wǎng)絡(luò )安全防范能力。然而,隨著(zhù)互聯(lián)網(wǎng)生態(tài)環(huán)境的逐步惡化,病毒及其變種在黑色產(chǎn)業(yè)鏈中的滋生速度更加迅猛,六安煙草希望在已經(jīng)實(shí)現的等級保護要求基礎上,進(jìn)一步提升安全防護水平。
據了解,為規范我國信息安全建設,2003年,《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)》明確指出了“實(shí)行信息安全等級保護”的要求。而依據國家下發(fā)的《關(guān)于做好煙草行業(yè)信息系統安全等級保護定級工作的通知》(國煙辦綜〔2008〕358號)文件要求,各省煙草專(zhuān)賣(mài)局已完成相應的等級保護定級工作。
但在實(shí)際的等級保護評估和整改過(guò)程中,計算環(huán)境安全,尤其是涉及操作系統的計算環(huán)境安全問(wèn)題,讓很多用戶(hù)心生困惑。例如:常見(jiàn)的Windows、Linux、UNIX等商用操作系統,雖然提供了一些安全策略,但是其功能非常有限,并且經(jīng)常存在各種漏洞。所以,如何通過(guò)合理的安全措施保證主機安全,同時(shí)防止內、外非法用戶(hù)的攻擊就成為當前信息系統等級化建設中一個(gè)至關(guān)重要的問(wèn)題,而這也是六安煙草信息安全能力“上臺階”的關(guān)鍵一步。
大環(huán)境不容樂(lè )觀(guān),尋求更專(zhuān)業(yè)的安全
據介紹,六安煙草內部網(wǎng)絡(luò )使用的關(guān)鍵主機包括各種數據庫服務(wù)器和應用服務(wù)器,一旦漏洞被黑客利用,將會(huì )對全市的數據和業(yè)務(wù)往來(lái)造成極大影響:
一方面,其信息系統采用的操作系統均為主流產(chǎn)品系列,如:AIX,Windows Server 2003,其安全漏洞更是廣為流傳,而且,由于所有的應用系統都運行在特定的操作系統上,一旦操作系統被危險人物控制,應用系統就失去了安全基礎。
另一方面,由于部分IT運維人員對復雜的操作系統和其自身的安全機制了解不夠,容易出現配置不當的問(wèn)題,這也會(huì )造成安全隱患。而這些安全風(fēng)險一旦出現,會(huì )為不法分子留下可乘之機。如操作系統訪(fǎng)問(wèn)的口令認證機制,特殊目錄訪(fǎng)問(wèn)讀寫(xiě)權限設定問(wèn)題等,如果設定不當,都會(huì )造成越權訪(fǎng)問(wèn)與操作。
基于以上考慮,六安煙草希望采用更專(zhuān)業(yè)的服務(wù)器安全系統對重要的關(guān)鍵主機和核心服務(wù)器操作系統進(jìn)行安全加固,通過(guò)對文件、目錄、進(jìn)程、注冊表和服務(wù)進(jìn)行的強制訪(fǎng)問(wèn)控制,制約和分散原有系統管理員的權限,把普通的操作系統從體系上升級,使煙草的關(guān)鍵主機,核心服務(wù)器符合國家信息安全等級保護服務(wù)器操作系統安全的三級標準。
而浪潮的SSR加固產(chǎn)品能夠從根本上免疫針對服務(wù)器操作系統的惡意攻擊,將木馬、后門(mén)、沖擊波、振蕩波等蠕蟲(chóng)類(lèi)病毒和內外網(wǎng)的黑客攻擊拒之門(mén)外,而這些恰恰符合了六安煙草的具體要求。
“重構”操作系統,更安全
浪潮SSR內核加固技術(shù)是基于對主機的內核級安全加固防護,當未經(jīng)授權的非法用戶(hù)通過(guò)各種手段突破了防火墻等網(wǎng)絡(luò )安全產(chǎn)品進(jìn)入了內部主機,甚至竊取了操作系統管理員最高權限后,浪潮內核加固技術(shù)就將成為最后的一道防線(xiàn)。它通過(guò)對操作系統原有系統管理員即administrator/root的無(wú)限權力進(jìn)行分散,使其不再具有對系統自身安全構成威脅的能力,從而達到從根本上保障操作系統安全的目的。也就是說(shuō)即使非法入侵者擁有了系統管理員最高權限,也無(wú)法對經(jīng)過(guò)浪潮內核加固技術(shù)保護的系統核心或重要內容進(jìn)行任何破壞和操作。
浪潮SSR ROST內核加固技術(shù)實(shí)現原理
對于六安煙草信息系統物流、財務(wù)等敏感數據,浪潮SSR把普通的操作系統從體系上升級,能夠從根本上免疫針對服務(wù)器操作系統的漏洞和人為攻擊。使其符合國家信息安全等級保護服務(wù)器操作系統安全的三級標準。
談及SSR的運行體驗,六安煙草相關(guān)負責人表示:“浪潮SSR ROST技術(shù)實(shí)際上是在驅動(dòng)層加上安全內核模塊,攔截所有的內核訪(fǎng)問(wèn)路徑,從而達到等保三級的技術(shù)要求,最終實(shí)現的安全效果和重構操作系統原代碼技術(shù)差不多,好處是不會(huì )影響我們的業(yè)務(wù)連續性。不需要重啟系統,就能夠很好地支持上層的所有應用和下層所有系統和機器設備,以及在操作系統粒度上保證上層應用的安全。”
