攻擊止步 浪潮ssr守衛(wèi)工信部主機(jī)安全
發(fā)布時(shí)間: 2016-03-18 來(lái)源:本站編輯
導(dǎo)語(yǔ):這是一個(gè)快速變化的世界�,數(shù)據(jù)正在經(jīng)歷爆炸式增長(zhǎng)���,業(yè)務(wù)類(lèi)型和規(guī)模也正在以前所未有的速度更新和變化。業(yè)務(wù)升級(jí)正在逐步成為it行業(yè)的常態(tài)��,如何在這種常態(tài)下保證系統(tǒng)的安全穩(wěn)定運(yùn)行�����?工業(yè)和信息化部(以下簡(jiǎn)稱(chēng):工信部)在其郵件系統(tǒng)改造中,引入一套專(zhuān)業(yè)的產(chǎn)品來(lái)替換原有的業(yè)務(wù)系統(tǒng)����。在新系統(tǒng)的規(guī)劃和部署過(guò)程中,工信部將主機(jī)安全放在首位���,通過(guò)采用浪潮ssr操作系統(tǒng)安全增強(qiáng)系統(tǒng)(簡(jiǎn)稱(chēng)“浪潮ssr”)����,實(shí)現(xiàn)了防止病毒入侵、防止黑客竊取機(jī)密信息的目標(biāo)�。
美國(guó)國(guó)務(wù)院電子郵件系統(tǒng)迫于黑客攻擊的壓力被關(guān)閉,這是今年11月17日爆出的消息����。與之類(lèi)似,我我國(guó)政府的電子郵件系統(tǒng)也是黑客攻擊的目標(biāo)����。如何保證核心數(shù)據(jù)的安全?工業(yè)和信息化部郵件系統(tǒng)的升級(jí)過(guò)程中����,通過(guò)采用浪潮操作系統(tǒng)安全增強(qiáng)系統(tǒng)(簡(jiǎn)稱(chēng)“ssr”)實(shí)現(xiàn)了主機(jī)安全,目前尚無(wú)一例主機(jī)感染的事故���,實(shí)現(xiàn)了防止病毒入侵����、防止黑客竊取機(jī)密信息的目標(biāo)��。
系統(tǒng)升級(jí) 主機(jī)安全成為“頭等大事”
工業(yè)和信息化部是國(guó)務(wù)院直屬部門(mén)����,肩負(fù)著擬訂實(shí)施行業(yè)規(guī)劃��、產(chǎn)業(yè)政策和標(biāo)準(zhǔn)�;監(jiān)測(cè)工業(yè)行業(yè)日常運(yùn)行�;推動(dòng)重大技術(shù)裝備發(fā)展和自主創(chuàng)新;管理通信業(yè)�����;指導(dǎo)推進(jìn)信息化建設(shè)���;協(xié)調(diào)維護(hù)國(guó)家信息安全等主要職責(zé)���。工信部作為行業(yè)管理部門(mén),主要是管規(guī)劃����、管政策��、管標(biāo)準(zhǔn)����,指導(dǎo)行業(yè)發(fā)展����。
![]()
隨著用戶(hù)數(shù)量和業(yè)務(wù)需求的不斷增長(zhǎng)����,原有業(yè)務(wù)系統(tǒng)在多系統(tǒng)對(duì)接、系統(tǒng)的安全穩(wěn)定性和功能支持方面都顯得捉襟見(jiàn)肘�。如何跟上業(yè)務(wù)發(fā)展的速度呢?工信部選擇引入一套專(zhuān)業(yè)的產(chǎn)品來(lái)替換原有的電子政務(wù)業(yè)務(wù)系統(tǒng)��。而在如何進(jìn)行系統(tǒng)的安全防護(hù)卻成了讓人頭疼的問(wèn)題���。
工信部?jī)?nèi)部郵件主要包括兩個(gè)部分�,一部分用于內(nèi)部使用��;一部分供給大客戶(hù)使用�����。在來(lái)往的郵件上涉及到大量標(biāo)準(zhǔn)的未發(fā)布版本����。這些標(biāo)準(zhǔn)在尚未發(fā)布之前都屬于絕密資料,一旦泄漏,將會(huì)給行業(yè)造成巨大影響�。而這部分內(nèi)容又十分巨大,管中窺豹�,可見(jiàn)一斑。僅從工信部2014年第32號(hào)公告來(lái)看���,批準(zhǔn)的標(biāo)準(zhǔn)就多達(dá)1208項(xiàng)����,包含機(jī)械��、汽車(chē)���、航空�����、通信等多個(gè)行業(yè)�����,核行業(yè)的標(biāo)準(zhǔn)也在其中��,這些行業(yè)涉及到國(guó)計(jì)民生的方方面面,關(guān)系到國(guó)家的穩(wěn)定和安全。
“我們的系統(tǒng)承擔(dān)了國(guó)內(nèi)工業(yè)和信息化所有的標(biāo)準(zhǔn)發(fā)布工作����,郵件系統(tǒng)中運(yùn)轉(zhuǎn)的業(yè)務(wù)和數(shù)據(jù)關(guān)乎國(guó)計(jì)民生,因此安全性等級(jí)相對(duì)于一般的郵件系統(tǒng)高出很多���。如果因外部人員竊取�����,或內(nèi)部人員誤操作造成數(shù)據(jù)丟失���、非法修改等問(wèn)題,將會(huì)給我國(guó)的各個(gè)行業(yè)造成無(wú)法彌補(bǔ)的損失�。因此,我們力求信息安全架構(gòu)的全面性��、完整性和有效性��,絕不能容忍‘死角’產(chǎn)生����。”工信部信息中心工作人員表示�����。但是,從外部環(huán)境和內(nèi)部系統(tǒng)來(lái)看�,安全情況都不容樂(lè)觀。
從外部環(huán)境來(lái)看��,政府網(wǎng)站頻受攻擊�����,業(yè)務(wù)增長(zhǎng)加大了被攻擊的可能����。政府網(wǎng)站正在成為黑客的首選目標(biāo),“中國(guó)是網(wǎng)絡(luò)攻擊的受害國(guó)��,80%的政府網(wǎng)站受到過(guò)攻擊�。”國(guó)家網(wǎng)信辦主任魯煒最近表示����。工信部郵件系統(tǒng)的業(yè)務(wù)量不斷擴(kuò)大,承擔(dān)的行業(yè)標(biāo)準(zhǔn)發(fā)布數(shù)量日益增多���,受到攻擊的可能性就更大��。
從內(nèi)部系統(tǒng)來(lái)看���,現(xiàn)有信息安全架構(gòu)主機(jī)核心層防護(hù)措施明顯不足。雖然在服務(wù)器外圍加大防護(hù)力度但是主機(jī)自身的防護(hù)能力是外圍安全設(shè)備和技術(shù)手段無(wú)法彌補(bǔ)的�����。服務(wù)器系統(tǒng)的安全很大程度上是由操作系統(tǒng)的安全性決定�����,但操作系統(tǒng)本身卻不具備完善安全的防護(hù)功能����,存在諸多的漏洞和后門(mén),一旦主機(jī)自帶的安全防護(hù)屏障被攻破����,黑客便能輕易破壞、盜取數(shù)據(jù)����,必將造成不可彌補(bǔ)的損失或影響。
如何提升全面提升安全等級(jí)�����?主機(jī)安全是必由之路。
內(nèi)核加裝安全甲���,實(shí)現(xiàn)全方位保護(hù)
工信部已經(jīng)在網(wǎng)絡(luò)邊界已經(jīng)部署了大量的安全設(shè)備���,但是效果仍有限。那么防護(hù)的重點(diǎn)在哪里呢��? “考慮到該業(yè)務(wù)應(yīng)用軟件主要運(yùn)行在服務(wù)器平臺(tái)上��,而服務(wù)器系統(tǒng)的安全很大程度上是由操作系統(tǒng)的安全性決定��。經(jīng)過(guò)我們多次評(píng)估和綜合考察����、測(cè)評(píng),以及嚴(yán)格的產(chǎn)品攻防測(cè)試���,最終采用了浪潮ssr主機(jī)操作系統(tǒng)安全增強(qiáng)系統(tǒng)作為服務(wù)器平臺(tái)操作系統(tǒng)安全運(yùn)行的保護(hù)神����?!痹摴ぷ魅藛T表示�。
工信部郵件系統(tǒng)過(guò)去采用傳統(tǒng)的主機(jī)安全措施是通過(guò)手工加固的方式提高操作系統(tǒng)安全��。通過(guò)修改操作系統(tǒng)或者應(yīng)用軟件自身的安全策略來(lái)提升系統(tǒng)的安全性���,比如修改系統(tǒng)組策略��,劃分更細(xì)的權(quán)限,降低應(yīng)用軟件的運(yùn)行權(quán)限等��。手動(dòng)安全加固雖然可以暫時(shí)消除系統(tǒng)的安全隱患��,但這種加固方法卻有著明顯的弱點(diǎn)�。比如:專(zhuān)業(yè)性強(qiáng)、費(fèi)用高�����、周期長(zhǎng)�����、時(shí)間局限明顯等等�,無(wú)法長(zhǎng)期有效的解決系統(tǒng)的安全問(wèn)題。值得注意的是���,所有手工加固都是基于系統(tǒng)管理員的基礎(chǔ)來(lái)配置的����,這也就是說(shuō)管理員可以自行加固也可以自行取消,安全策略的有效性得不到審計(jì)�,一旦黑客獲取系統(tǒng)管理員權(quán)限,所有的安全策略都會(huì)失效���,因此達(dá)不到強(qiáng)制訪(fǎng)問(wèn)控制的功能����。
現(xiàn)在���,工信部郵件系統(tǒng)的主機(jī)安全與過(guò)去有了本質(zhì)區(qū)別�。通過(guò)浪潮ssr為服務(wù)器和操作系統(tǒng)成功實(shí)現(xiàn)“自動(dòng)防御”�、“主動(dòng)免疫”的全方位防護(hù)。
具體來(lái)說(shuō)�����,ssr解決方案幫助工信部郵件系統(tǒng)的操作系統(tǒng)實(shí)現(xiàn)了“自動(dòng)”加固���。原理是通過(guò)對(duì)文件����、目錄、進(jìn)程���、注冊(cè)表和服務(wù)的強(qiáng)制訪(fǎng)問(wèn)控制�,有效的制約和分散了原有系統(tǒng)管理員的權(quán)限���,綜合了對(duì)文件和服務(wù)的完整性檢測(cè)����、防緩沖區(qū)溢出等功能�����,能夠把普通的操作系統(tǒng)從體系上升級(jí)����,使其符合國(guó)家信息安全等級(jí)保護(hù)服務(wù)器操作系統(tǒng)安全的三級(jí)標(biāo)準(zhǔn)��。而且�����,浪潮以ssr為核心的主機(jī)安全解決方案還可以和工信部郵件系統(tǒng)部署在網(wǎng)絡(luò)層的防護(hù)產(chǎn)品形成“互補(bǔ)”,使得主機(jī)安全實(shí)現(xiàn)了“既防外網(wǎng)���,又控內(nèi)網(wǎng)”的全新保護(hù)框架�����。
![]()
【浪潮ssr在工信部的應(yīng)用部署圖】
系統(tǒng)實(shí)現(xiàn)主動(dòng)免疫和永久自動(dòng)防御
工信部在分析了關(guān)鍵業(yè)務(wù)運(yùn)行環(huán)境之后��,在郵件系統(tǒng)服務(wù)器和cdap(多業(yè)務(wù)應(yīng)急接管系統(tǒng))備份系統(tǒng)上部署了浪潮ssr企業(yè)版����,對(duì)主機(jī)上的郵件系統(tǒng)以及服務(wù)進(jìn)程�����、注冊(cè)表等進(jìn)行安全防護(hù)���,實(shí)現(xiàn)了病毒免疫�,防止了各種因?yàn)檠a(bǔ)丁因素造成的應(yīng)用停擺問(wèn)題�����。
工信部信息中心相關(guān)專(zhuān)家表示:“工信部郵件系統(tǒng)承載著國(guó)內(nèi)眾多行業(yè)的標(biāo)準(zhǔn)溝通和下發(fā),作為國(guó)家重點(diǎn)安全防護(hù)領(lǐng)域�,具有極其重要的地位。所以我們必須要保證其安全性不受到絲毫的威脅�。在我們遇到主機(jī)安全的困擾之時(shí),浪潮ssr解決方案幫助我們實(shí)現(xiàn)了主動(dòng)和永久自動(dòng)的防御��,實(shí)現(xiàn)了對(duì)病毒自動(dòng)免疫��,幫助我們實(shí)現(xiàn)了系統(tǒng)安全的巨大提升����。”
關(guān)鍵詞:
電力新聞
