攻擊止步 浪潮ssr守衛(wèi)工信部主機安全
發(fā)布時間: 2016-03-18 來源:本站編輯
導語:這是一個快速變化的世界�����,數(shù)據(jù)正在經(jīng)歷爆炸式增長����,業(yè)務類型和規(guī)模也正在以前所未有的速度更新和變化���。業(yè)務升級正在逐步成為it行業(yè)的常態(tài)��,如何在這種常態(tài)下保證系統(tǒng)的安全穩(wěn)定運行���?工業(yè)和信息化部(以下簡稱:工信部)在其郵件系統(tǒng)改造中,引入一套專業(yè)的產(chǎn)品來替換原有的業(yè)務系統(tǒng)���。在新系統(tǒng)的規(guī)劃和部署過程中�����,工信部將主機安全放在首位����,通過采用浪潮ssr操作系統(tǒng)安全增強系統(tǒng)(簡稱“浪潮ssr”)���,實現(xiàn)了防止病毒入侵��、防止黑客竊取機密信息的目標����。
美國國務院電子郵件系統(tǒng)迫于黑客攻擊的壓力被關(guān)閉��,這是今年11月17日爆出的消息��。與之類似�,我我國政府的電子郵件系統(tǒng)也是黑客攻擊的目標。如何保證核心數(shù)據(jù)的安全���?工業(yè)和信息化部郵件系統(tǒng)的升級過程中���,通過采用浪潮操作系統(tǒng)安全增強系統(tǒng)(簡稱“ssr”)實現(xiàn)了主機安全,目前尚無一例主機感染的事故����,實現(xiàn)了防止病毒入侵��、防止黑客竊取機密信息的目標��。
系統(tǒng)升級 主機安全成為“頭等大事”
工業(yè)和信息化部是國務院直屬部門�����,肩負著擬訂實施行業(yè)規(guī)劃����、產(chǎn)業(yè)政策和標準��;監(jiān)測工業(yè)行業(yè)日常運行����;推動重大技術(shù)裝備發(fā)展和自主創(chuàng)新;管理通信業(yè)����;指導推進信息化建設;協(xié)調(diào)維護國家信息安全等主要職責����。工信部作為行業(yè)管理部門,主要是管規(guī)劃、管政策�����、管標準����,指導行業(yè)發(fā)展�。
![]()
隨著用戶數(shù)量和業(yè)務需求的不斷增長,原有業(yè)務系統(tǒng)在多系統(tǒng)對接��、系統(tǒng)的安全穩(wěn)定性和功能支持方面都顯得捉襟見肘�����。如何跟上業(yè)務發(fā)展的速度呢��?工信部選擇引入一套專業(yè)的產(chǎn)品來替換原有的電子政務業(yè)務系統(tǒng)���。而在如何進行系統(tǒng)的安全防護卻成了讓人頭疼的問題��。
工信部內(nèi)部郵件主要包括兩個部分����,一部分用于內(nèi)部使用�;一部分供給大客戶使用�。在來往的郵件上涉及到大量標準的未發(fā)布版本�����。這些標準在尚未發(fā)布之前都屬于絕密資料�����,一旦泄漏�����,將會給行業(yè)造成巨大影響�����。而這部分內(nèi)容又十分巨大��,管中窺豹��,可見一斑�����。僅從工信部2014年第32號公告來看,批準的標準就多達1208項��,包含機械����、汽車、航空��、通信等多個行業(yè)����,核行業(yè)的標準也在其中����,這些行業(yè)涉及到國計民生的方方面面,關(guān)系到國家的穩(wěn)定和安全�。
“我們的系統(tǒng)承擔了國內(nèi)工業(yè)和信息化所有的標準發(fā)布工作,郵件系統(tǒng)中運轉(zhuǎn)的業(yè)務和數(shù)據(jù)關(guān)乎國計民生���,因此安全性等級相對于一般的郵件系統(tǒng)高出很多���。如果因外部人員竊取,或內(nèi)部人員誤操作造成數(shù)據(jù)丟失��、非法修改等問題,將會給我國的各個行業(yè)造成無法彌補的損失���。因此��,我們力求信息安全架構(gòu)的全面性���、完整性和有效性,絕不能容忍‘死角’產(chǎn)生����。”工信部信息中心工作人員表示�����。但是��,從外部環(huán)境和內(nèi)部系統(tǒng)來看���,安全情況都不容樂觀�。
從外部環(huán)境來看��,政府網(wǎng)站頻受攻擊�,業(yè)務增長加大了被攻擊的可能���。政府網(wǎng)站正在成為黑客的首選目標,“中國是網(wǎng)絡攻擊的受害國�����,80%的政府網(wǎng)站受到過攻擊��?����!眹揖W(wǎng)信辦主任魯煒最近表示��。工信部郵件系統(tǒng)的業(yè)務量不斷擴大�����,承擔的行業(yè)標準發(fā)布數(shù)量日益增多����,受到攻擊的可能性就更大�����。
從內(nèi)部系統(tǒng)來看,現(xiàn)有信息安全架構(gòu)主機核心層防護措施明顯不足�。雖然在服務器外圍加大防護力度但是主機自身的防護能力是外圍安全設備和技術(shù)手段無法彌補的。服務器系統(tǒng)的安全很大程度上是由操作系統(tǒng)的安全性決定���,但操作系統(tǒng)本身卻不具備完善安全的防護功能���,存在諸多的漏洞和后門,一旦主機自帶的安全防護屏障被攻破����,黑客便能輕易破壞、盜取數(shù)據(jù)���,必將造成不可彌補的損失或影響��。
如何提升全面提升安全等級����?主機安全是必由之路���。
內(nèi)核加裝安全甲����,實現(xiàn)全方位保護
工信部已經(jīng)在網(wǎng)絡邊界已經(jīng)部署了大量的安全設備,但是效果仍有限�����。那么防護的重點在哪里呢����? “考慮到該業(yè)務應用軟件主要運行在服務器平臺上,而服務器系統(tǒng)的安全很大程度上是由操作系統(tǒng)的安全性決定����。經(jīng)過我們多次評估和綜合考察、測評�����,以及嚴格的產(chǎn)品攻防測試�����,最終采用了浪潮ssr主機操作系統(tǒng)安全增強系統(tǒng)作為服務器平臺操作系統(tǒng)安全運行的保護神����?��!痹摴ぷ魅藛T表示���。
工信部郵件系統(tǒng)過去采用傳統(tǒng)的主機安全措施是通過手工加固的方式提高操作系統(tǒng)安全�����。通過修改操作系統(tǒng)或者應用軟件自身的安全策略來提升系統(tǒng)的安全性�,比如修改系統(tǒng)組策略����,劃分更細的權(quán)限,降低應用軟件的運行權(quán)限等���。手動安全加固雖然可以暫時消除系統(tǒng)的安全隱患��,但這種加固方法卻有著明顯的弱點�。比如:專業(yè)性強�����、費用高�����、周期長、時間局限明顯等等��,無法長期有效的解決系統(tǒng)的安全問題��。值得注意的是�,所有手工加固都是基于系統(tǒng)管理員的基礎(chǔ)來配置的,這也就是說管理員可以自行加固也可以自行取消�����,安全策略的有效性得不到審計��,一旦黑客獲取系統(tǒng)管理員權(quán)限���,所有的安全策略都會失效�����,因此達不到強制訪問控制的功能���。
現(xiàn)在��,工信部郵件系統(tǒng)的主機安全與過去有了本質(zhì)區(qū)別��。通過浪潮ssr為服務器和操作系統(tǒng)成功實現(xiàn)“自動防御”、“主動免疫”的全方位防護���。
具體來說�,ssr解決方案幫助工信部郵件系統(tǒng)的操作系統(tǒng)實現(xiàn)了“自動”加固��。原理是通過對文件����、目錄、進程���、注冊表和服務的強制訪問控制�����,有效的制約和分散了原有系統(tǒng)管理員的權(quán)限�����,綜合了對文件和服務的完整性檢測����、防緩沖區(qū)溢出等功能,能夠把普通的操作系統(tǒng)從體系上升級��,使其符合國家信息安全等級保護服務器操作系統(tǒng)安全的三級標準�����。而且�����,浪潮以ssr為核心的主機安全解決方案還可以和工信部郵件系統(tǒng)部署在網(wǎng)絡層的防護產(chǎn)品形成“互補”�,使得主機安全實現(xiàn)了“既防外網(wǎng),又控內(nèi)網(wǎng)”的全新保護框架�。
![]()
【浪潮ssr在工信部的應用部署圖】
系統(tǒng)實現(xiàn)主動免疫和永久自動防御
工信部在分析了關(guān)鍵業(yè)務運行環(huán)境之后,在郵件系統(tǒng)服務器和cdap(多業(yè)務應急接管系統(tǒng))備份系統(tǒng)上部署了浪潮ssr企業(yè)版���,對主機上的郵件系統(tǒng)以及服務進程�、注冊表等進行安全防護���,實現(xiàn)了病毒免疫�����,防止了各種因為補丁因素造成的應用停擺問題����。
工信部信息中心相關(guān)專家表示:“工信部郵件系統(tǒng)承載著國內(nèi)眾多行業(yè)的標準溝通和下發(fā)���,作為國家重點安全防護領(lǐng)域���,具有極其重要的地位。所以我們必須要保證其安全性不受到絲毫的威脅�。在我們遇到主機安全的困擾之時,浪潮ssr解決方案幫助我們實現(xiàn)了主動和永久自動的防御���,實現(xiàn)了對病毒自動免疫����,幫助我們實現(xiàn)了系統(tǒng)安全的巨大提升����。”
關(guān)鍵詞:
電力新聞
