日前,深知“网络是一把双刃剑”的安徽省六安市烟草专卖局、安徽省烟草公司六安市公司(以下简称:六安烟草),面对步步逼近的各类网络威胁,选择了浪潮自主研发的SSR操作系统安全增强系统,为关键主机、核心服务器注入了免疫功能,在达到等级保护三级要求的同时,有效应对已知及未知的漏洞。
政策在上,责任在肩
成立于1985年的六安烟草,坐落于六安市经济技术开发区皖西大道和经三路交汇处,是一个集卷烟销售经营与专卖执法管理于一体的政企合一单位。主要履行对烟草专卖品的生产、销售业务依法实行专卖管理职能,承担着六安市卷烟行业的调拨、批发以及烟叶种植业务,并对卷烟的供销、人财物实行集中统一管理。
六安烟草为提高专卖监管能力,充分发挥烟草专卖统一管理优势,以信息化建设作为切入点,通过高速网络和各大业务系统全面提高了监管效能,不断完善“两烟”市场监管新机制。在信息安全建设方面,为保障全市烟草商业系统的可靠运行,六安烟草在全网统一部署了边界防火墙和防病毒软件,以及入侵防御系统,使全市卷烟商业系统具备了初步的网络安全防范能力。然而,随着互联网生态环境的逐步恶化,病毒及其变种在黑色产业链中的滋生速度更加迅猛,六安烟草希望在已经实现的等级保护要求基础上,进一步提升安全防护水平。
据了解,为规范我国信息安全建设,2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》明确指出了“实行信息安全等级保护”的要求。而依据国家下发的《关于做好烟草行业信息系统安全等级保护定级工作的通知》(国烟办综〔2008〕358号)文件要求,各省烟草专卖局已完成相应的等级保护定级工作。
但在实际的等级保护评估和整改过程中,计算环境安全,尤其是涉及操作系统的计算环境安全问题,让很多用户心生困惑。例如:常见的Windows、Linux、UNIX等商用操作系统,虽然提供了一些安全策略,但是其功能非常有限,并且经常存在各种漏洞。所以,如何通过合理的安全措施保证主机安全,同时防止内、外非法用户的攻击就成为当前信息系统等级化建设中一个至关重要的问题,而这也是六安烟草信息安全能力“上台阶”的关键一步。
大环境不容乐观,寻求更专业的安全
据介绍,六安烟草内部网络使用的关键主机包括各种数据库服务器和应用服务器,一旦漏洞被黑客利用,将会对全市的数据和业务往来造成极大影响:
一方面,其信息系统采用的操作系统均为主流产品系列,如:AIX,Windows Server 2003,其安全漏洞更是广为流传,而且,由于所有的应用系统都运行在特定的操作系统上,一旦操作系统被危险人物控制,应用系统就失去了安全基础。
另一方面,由于部分IT运维人员对复杂的操作系统和其自身的安全机制了解不够,容易出现配置不当的问题,这也会造成安全隐患。而这些安全风险一旦出现,会为不法分子留下可乘之机。如操作系统访问的口令认证机制,特殊目录访问读写权限设定问题等,如果设定不当,都会造成越权访问与操作。
基于以上考虑,六安烟草希望采用更专业的服务器安全系统对重要的关键主机和核心服务器操作系统进行安全加固,通过对文件、目录、进程、注册表和服务进行的强制访问控制,制约和分散原有系统管理员的权限,把普通的操作系统从体系上升级,使烟草的关键主机,核心服务器符合国家信息安全等级保护服务器操作系统安全的三级标准。
而浪潮的SSR加固产品能够从根本上免疫针对服务器操作系统的恶意攻击,将木马、后门、冲击波、振荡波等蠕虫类病毒和内外网的黑客攻击拒之门外,而这些恰恰符合了六安烟草的具体要求。
“重构”操作系统,更安全
浪潮SSR内核加固技术是基于对主机的内核级安全加固防护,当未经授权的非法用户通过各种手段突破了防火墙等网络安全产品进入了内部主机,甚至窃取了操作系统管理员最高权限后,浪潮内核加固技术就将成为最后的一道防线。它通过对操作系统原有系统管理员即administrator/root的无限权力进行分散,使其不再具有对系统自身安全构成威胁的能力,从而达到从根本上保障操作系统安全的目的。也就是说即使非法入侵者拥有了系统管理员最高权限,也无法对经过浪潮内核加固技术保护的系统核心或重要内容进行任何破坏和操作。
浪潮SSR ROST内核加固技术实现原理
对于六安烟草信息系统物流、财务等敏感数据,浪潮SSR把普通的操作系统从体系上升级,能够从根本上免疫针对服务器操作系统的漏洞和人为攻击。使其符合国家信息安全等级保护服务器操作系统安全的三级标准。
谈及SSR的运行体验,六安烟草相关负责人表示:“浪潮SSR ROST技术实际上是在驱动层加上安全内核模块,拦截所有的内核访问路径,从而达到等保三级的技术要求,最终实现的安全效果和重构操作系统原代码技术差不多,好处是不会影响我们的业务连续性。不需要重启系统,就能够很好地支持上层的所有应用和下层所有系统和机器设备,以及在操作系统粒度上保证上层应用的安全。”
