日前,安徽省六安市煙草專賣局、安徽省煙草公司六安市公司(以下簡稱:六安煙草),面對步步逼近的各類網(wǎng)絡(luò)威脅,選擇了浪潮自主研發(fā)的SSR操作系統(tǒng)安全增強系統(tǒng),為關(guān)鍵主機、核心服務(wù)器注入了免疫功能,在達到等級保護三級要求的同時,有效應(yīng)對已知及未知的漏洞。
政策在上,責(zé)任在肩
成立于1985年的六安煙草,坐落于六安市經(jīng)濟技術(shù)開發(fā)區(qū)皖西大道和經(jīng)三路交匯處,是一個集卷煙銷售經(jīng)營與專賣執(zhí)法管理于一體的政企合一單位。主要履行對煙草專賣品的生產(chǎn)、銷售業(yè)務(wù)依法實行專賣管理職能,承擔(dān)著六安市卷煙行業(yè)的調(diào)撥、批發(fā)以及煙葉種植業(yè)務(wù),并對卷煙的供銷、人財物實行集中統(tǒng)一管理。
六安煙草為提高專賣監(jiān)管能力,充分發(fā)揮煙草專賣統(tǒng)一管理優(yōu)勢,以信息化建設(shè)作為切入點,通過高速網(wǎng)絡(luò)和各大業(yè)務(wù)系統(tǒng)全面提高了監(jiān)管效能,不斷完善“兩煙”市場監(jiān)管新機制。在信息安全建設(shè)方面,為保障全市煙草商業(yè)系統(tǒng)的可靠運行,六安煙草在全網(wǎng)統(tǒng)一部署了邊界防火墻和防病毒軟件,以及入侵防御系統(tǒng),使全市卷煙商業(yè)系統(tǒng)具備了初步的網(wǎng)絡(luò)安全防范能力。然而,隨著互聯(lián)網(wǎng)生態(tài)環(huán)境的逐步惡化,病毒及其變種在黑色產(chǎn)業(yè)鏈中的滋生速度更加迅猛,六安煙草希望在已經(jīng)實現(xiàn)的等級保護要求基礎(chǔ)上,進一步提升安全防護水平。
據(jù)了解,為規(guī)范我國信息安全建設(shè),2003年,《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》明確指出了“實行信息安全等級保護”的要求。而依據(jù)國家下發(fā)的《關(guān)于做好煙草行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》(國煙辦綜〔2008〕358號)文件要求,各省煙草專賣局已完成相應(yīng)的等級保護定級工作。
但在實際的等級保護評估和整改過程中,計算環(huán)境安全,尤其是涉及操作系統(tǒng)的計算環(huán)境安全問題,讓很多用戶心生困惑。例如:常見的Windows、Linux、UNIX等商用操作系統(tǒng),雖然提供了一些安全策略,但是其功能非常有限,并且經(jīng)常存在各種漏洞。所以,如何通過合理的安全措施保證主機安全,同時防止內(nèi)、外非法用戶的攻擊就成為當(dāng)前信息系統(tǒng)等級化建設(shè)中一個至關(guān)重要的問題,而這也是六安煙草信息安全能力“上臺階”的關(guān)鍵一步。
大環(huán)境不容樂觀,尋求更專業(yè)的安全
據(jù)介紹,六安煙草內(nèi)部網(wǎng)絡(luò)使用的關(guān)鍵主機包括各種數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器,一旦漏洞被黑客利用,將會對全市的數(shù)據(jù)和業(yè)務(wù)往來造成極大影響:
一方面,其信息系統(tǒng)采用的操作系統(tǒng)均為主流產(chǎn)品系列,如:AIX,Windows Server 2003,其安全漏洞更是廣為流傳,而且,由于所有的應(yīng)用系統(tǒng)都運行在特定的操作系統(tǒng)上,一旦操作系統(tǒng)被危險人物控制,應(yīng)用系統(tǒng)就失去了安全基礎(chǔ)。
另一方面,由于部分IT運維人員對復(fù)雜的操作系統(tǒng)和其自身的安全機制了解不夠,容易出現(xiàn)配置不當(dāng)?shù)膯栴},這也會造成安全隱患。而這些安全風(fēng)險一旦出現(xiàn),會為不法分子留下可乘之機。如操作系統(tǒng)訪問的口令認證機制,特殊目錄訪問讀寫權(quán)限設(shè)定問題等,如果設(shè)定不當(dāng),都會造成越權(quán)訪問與操作。
基于以上考慮,六安煙草希望采用更專業(yè)的服務(wù)器安全系統(tǒng)對重要的關(guān)鍵主機和核心服務(wù)器操作系統(tǒng)進行安全加固,通過對文件、目錄、進程、注冊表和服務(wù)進行的強制訪問控制,制約和分散原有系統(tǒng)管理員的權(quán)限,把普通的操作系統(tǒng)從體系上升級,使煙草的關(guān)鍵主機,核心服務(wù)器符合國家信息安全等級保護服務(wù)器操作系統(tǒng)安全的三級標(biāo)準(zhǔn)。
而浪潮的SSR加固產(chǎn)品能夠從根本上免疫針對服務(wù)器操作系統(tǒng)的惡意攻擊,將木馬、后門、沖擊波、振蕩波等蠕蟲類病毒和內(nèi)外網(wǎng)的黑客攻擊拒之門外,而這些恰恰符合了六安煙草的具體要求。
“重構(gòu)”操作系統(tǒng),更安全
浪潮SSR內(nèi)核加固技術(shù)是基于對主機的內(nèi)核級安全加固防護,當(dāng)未經(jīng)授權(quán)的非法用戶通過各種手段突破了防火墻等網(wǎng)絡(luò)安全產(chǎn)品進入了內(nèi)部主機,甚至竊取了操作系統(tǒng)管理員最高權(quán)限后,浪潮內(nèi)核加固技術(shù)就將成為最后的一道防線。它通過對操作系統(tǒng)原有系統(tǒng)管理員即administrator/root的無限權(quán)力進行分散,使其不再具有對系統(tǒng)自身安全構(gòu)成威脅的能力,從而達到從根本上保障操作系統(tǒng)安全的目的。也就是說即使非法入侵者擁有了系統(tǒng)管理員最高權(quán)限,也無法對經(jīng)過浪潮內(nèi)核加固技術(shù)保護的系統(tǒng)核心或重要內(nèi)容進行任何破壞和操作。
浪潮SSR ROST內(nèi)核加固技術(shù)實現(xiàn)原理
對于六安煙草信息系統(tǒng)物流、財務(wù)等敏感數(shù)據(jù),浪潮SSR把普通的操作系統(tǒng)從體系上升級,能夠從根本上免疫針對服務(wù)器操作系統(tǒng)的漏洞和人為攻擊。使其符合國家信息安全等級保護服務(wù)器操作系統(tǒng)安全的三級標(biāo)準(zhǔn)。
談及SSR的運行體驗,六安煙草相關(guān)負責(zé)人表示:“浪潮SSR ROST技術(shù)實際上是在驅(qū)動層加上安全內(nèi)核模塊,攔截所有的內(nèi)核訪問路徑,從而達到等保三級的技術(shù)要求,最終實現(xiàn)的安全效果和重構(gòu)操作系統(tǒng)原代碼技術(shù)差不多,好處是不會影響我們的業(yè)務(wù)連續(xù)性。不需要重啟系統(tǒng),就能夠很好地支持上層的所有應(yīng)用和下層所有系統(tǒng)和機器設(shè)備,以及在操作系統(tǒng)粒度上保證上層應(yīng)用的安全。”