导语:这是一个快速变化的世界,数据正在经历爆炸式增长,业务类型和规模也正在以前所未有的速度更新和变化。业务升级正在逐步成为IT行业的常态,如何在这种常态下保证系统的安全稳定运行?工业和信息化部(以下简称:工信部)在其邮件系统改造中,引入一套专业的产品来替换原有的业务系统。在新系统的规划和部署过程中,工信部将主机安全放在首位,通过采用浪潮SSR操作系统安全增强系统(简称“浪潮SSR”),实现了防止病毒入侵、防止黑客窃取机密信息的目标。
美国国务院电子邮件系统迫于黑客攻击的压力被关闭,这是今年11月17日爆出的消息。与之类似,我我国政府的电子邮件系统也是黑客攻击的目标。如何保证核心数据的安全?工业和信息化部邮件系统的升级过程中,通过采用浪潮操作系统安全增强系统(简称“SSR”)实现了主机安全,目前尚无一例主机感染的事故,实现了防止病毒入侵、防止黑客窃取机密信息的目标。
系统升级 主机安全成为“头等大事”
工业和信息化部是国务院直属部门,肩负着拟订实施行业规划、产业政策和标准;监测工业行业日常运行;推动重大技术装备发展和自主创新;管理通信业;指导推进信息化建设;协调维护国家信息安全等主要职责。工信部作为行业管理部门,主要是管规划、管政策、管标准,指导行业发展。
随着用户数量和业务需求的不断增长,原有业务系统在多系统对接、系统的安全稳定性和功能支持方面都显得捉襟见肘。如何跟上业务发展的速度呢?工信部选择引入一套专业的产品来替换原有的电子政务业务系统。而在如何进行系统的安全防护却成了让人头疼的问题。
工信部内部邮件主要包括两个部分,一部分用于内部使用;一部分供给大客户使用。在来往的邮件上涉及到大量标准的未发布版本。这些标准在尚未发布之前都属于绝密资料,一旦泄漏,将会给行业造成巨大影响。而这部分内容又十分巨大,管中窥豹,可见一斑。仅从工信部2014年第32号公告来看,批准的标准就多达1208项,包含机械、汽车、航空、通信等多个行业,核行业的标准也在其中,这些行业涉及到国计民生的方方面面,关系到国家的稳定和安全。
“我们的系统承担了国内工业和信息化所有的标准发布工作,邮件系统中运转的业务和数据关乎国计民生,因此安全性等级相对于一般的邮件系统高出很多。如果因外部人员窃取,或内部人员误操作造成数据丢失、非法修改等问题,将会给我国的各个行业造成无法弥补的损失。因此,我们力求信息安全架构的全面性、完整性和有效性,绝不能容忍‘死角’产生。”工信部信息中心工作人员表示。但是,从外部环境和内部系统来看,安全情况都不容乐观。
从内部系统来看,现有信息安全架构主机核心层防护措施明显不足。虽然在服务器外围加大防护力度但是主机自身的防护能力是外围安全设备和技术手段无法弥补的。服务器系统的安全很大程度上是由操作系统的安全性决定,但操作系统本身却不具备完善安全的防护功能,存在诸多的漏洞和后门,一旦主机自带的安全防护屏障被攻破,黑客便能轻易破坏、盗取数据,必将造成不可弥补的损失或影响。
如何提升全面提升安全等级?主机安全是必由之路。
内核加装安全甲,实现全方位保护
工信部已经在网络边界已经部署了大量的安全设备,但是效果仍有限。那么防护的重点在哪里呢? “考虑到该业务应用软件主要运行在服务器平台上,而服务器系统的安全很大程度上是由操作系统的安全性决定。经过我们多次评估和综合考察、测评,以及严格的产品攻防测试,最终采用了浪潮SSR主机操作系统安全增强系统作为服务器平台操作系统安全运行的保护神。”该工作人员表示。
工信部邮件系统过去采用传统的主机安全措施是通过手工加固的方式提高操作系统安全。通过修改操作系统或者应用软件自身的安全策略来提升系统的安全性,比如修改系统组策略,划分更细的权限,降低应用软件的运行权限等。手动安全加固虽然可以暂时消除系统的安全隐患,但这种加固方法却有着明显的弱点。比如:专业性强、费用高、周期长、时间局限明显等等,无法长期有效的解决系统的安全问题。值得注意的是,所有手工加固都是基于系统管理员的基础来配置的,这也就是说管理员可以自行加固也可以自行取消,安全策略的有效性得不到审计,一旦黑客获取系统管理员权限,所有的安全策略都会失效,因此达不到强制访问控制的功能。
现在,工信部邮件系统的主机安全与过去有了本质区别。通过浪潮SSR为服务器和操作系统成功实现“自动防御”、“主动免疫”的全方位防护。
具体来说,SSR解决方案帮助工信部邮件系统的操作系统实现了“自动”加固。原理是通过对文件、目录、进程、注册表和服务的强制访问控制,有效的制约和分散了原有系统管理员的权限,综合了对文件和服务的完整性检测、防缓冲区溢出等功能,能够把普通的操作系统从体系上升级,使其符合国家信息安全等级保护服务器操作系统安全的三级标准。而且,浪潮以SSR为核心的主机安全解决方案还可以和工信部邮件系统部署在网络层的防护产品形成“互补”,使得主机安全实现了“既防外网,又控内网”的全新保护框架。
【浪潮SSR在工信部的应用部署图】
系统实现主动免疫和永久自动防御
工信部在分析了关键业务运行环境之后,在邮件系统服务器和CDAP(多业务应急接管系统)备份系统上部署了浪潮SSR企业版,对主机上的邮件系统以及服务进程、注册表等进行安全防护,实现了病毒免疫,防止了各种因为补丁因素造成的应用停摆问题。
工信部信息中心相关专家表示:“工信部邮件系统承载着国内众多行业的标准沟通和下发,作为国家重点安全防护领域,具有极其重要的地位。所以我们必须要保证其安全性不受到丝毫的威胁。在我们遇到主机安全的困扰之时,浪潮SSR解决方案帮助我们实现了主动和永久自动的防御,实现了对病毒自动免疫,帮助我们实现了系统安全的巨大提升。”