当前位置：首页> 网络&安全> 方案与案例> 正文

抓住核心加固教育部某考试平台实现安全升级

来源：互联网

2014/11/26 10:57:51

大中小

教育部某考试平台是面向大众提供考试招考指南、求学咨询、网上报名、留学考试、门户信息等业务的核心应用系统。该平台虽然在边界防护上下了大功夫，但是因为主机安全存在缺陷，安全仍有致命伤。日前通过采用浪潮SSR操作系统安全增强系统，平台从服务器安全入手，从服务器最底层建设可靠的防护屏障，顺利达到了国家等级保护三级规范要求。

分享到：新浪微博腾讯微博

本文关键字：浪潮 SSR 教育部安全

教育是国家发展的基石。教育公平是社会公平的重要基础，也是每一个普通人追求的目标。随着互联网应用的不断普及，教育部将越来越多的业务都移到了互联网。保障考试平台的安全就成为了实现教育公平的重要一部分。正是基于这样的考虑，教育部某考试平台通过浪潮SSR 操作系统安全增强系统（简称“浪潮SSR”）进行了安全加固，从服务器安全入手，从服务器最底层建设可靠的防护屏障，顺利达到了国家等级保护三级规范要求。

保障教育平台稳定运行主机安全成关键

教育部某考试平台是对外提供考试招考指南、求学咨询、网上报名、留学考试、门户信息等业务的核心应用系统。该考试平台由多台前端Web网站和后端数据库主机构成，实现了学员网上报名、咨询等流程网络化、数据集中化。“便捷的考试平台需要尽可能实现公平最大化，一旦数据泄露或被篡改，公平化便会荡然无存。平台中触及到很多与个人隐私和考试相关的敏感数据信息，维护考试平台的安全和安稳，一方面是保障教育部日常业务流程的重要需求，另一方面也是对人民负责，维护社会安稳的重要因素。” 教育部相关技术负责人表示。

正是基于这样的考虑，某考试平台在边界防护投入巨大，但却收效甚微。具体说来，教育部信息部门部署了防火墙、IDS、IPS、杀毒软件等安全设备，有效地解决了大部分来自互联网上的安全威胁，但是却无法挡住更具针对性的渗透入侵。一些高级黑客技术完全能够逃避防火墙或者IDS、IPS等安全产品的阻拦，深入到系统中进行破坏。另外，病毒往往具有高度的隐藏性和免查杀设计，如果防毒软件的特征码没有在第一时间更新，便无法查杀新型或变种病毒。

另一方面，来自内部的安全威胁同样巨大。从系统的布局来看，业务内网系统多是核心数据库主机，并与外网采用了相关隔离手段。但是，内部的数据需要通过网络或是移动存储介质进行交换，一旦某台主机感染病毒就可能导致整个内网瘫痪。另外，内部管理员的误操作行为也是防范重点，如果出现越权操作、恶意攻击、非法复制，考试平台上的机密信息都有可能造成泄露。

边界防护已经下足功夫，但是为何仍会出现那么多的安全隐患呢？信息安全的防护重点应该放在哪里？通过与信息安全专家进行深入探讨后，教育部信息技术部门发现，主机核心层的安全漏洞严重，这是由于操作系统自身的脆弱性导致，而这恰恰是外围所有边界安全技术无法触及的领域。

该考试平台系统主机大部分采用Linux和Windows操作系统。这些操作系统具有先天的脆弱性，系统漏洞层出不穷并且危害巨大，令人防不胜防。最近的案例是OpenSSL “心脏出血”漏洞，在发现漏洞之后的两天内，密歇根大学的一个安全研究团队的数据显示Alexa排名前百万的网站有40 .9%中招。

一方面，系统“真空期”需要格外重视，是安全事故高发期。从操作系统漏洞从被发现，到最后厂商发布可以稳定运行的补丁，一般都有3到6个月的“真空期”，而这段时间内便是操作系统最脆弱的时期，最容易被攻破。另一方面，系统维护也存在风险。在Linux和Windows系统中，超级用户权限都不受限制，其采用的“用户名+口令”的单一认证方式无法有效应对黑客使用暴力破解的攻击方式。而在日常维护方面，系统人为加固“补丁”更新不及时。此外，任何系统管理员或使用人员都不可能对复杂的操作系统和其自身的安全机制有绝对足够的掌握，配置不当也会造成安全隐患，这些漏洞给黑客以可乘之机。

正是因为这样的原因，主机安全已经成为了系统的“致命伤”，如何让安全升级？考试平台经过多方考察和调研，采纳了信息安全专家组“使用专用产品”加固主机安全的建议，选择浪潮SSR进行主机加固。

内核加固消除黑客生存环境

“浪潮SSR从内核入手进行主机加固，消除了黑客生存环境。这与我们之前在边界部署的安全产品有本质区别。” 教育部相关技术负责人谈到浪潮SSR时这样说。浪潮SSR的ROST内核加固技术是消除黑客生存环境的根本。通过在驱动层加上安全内核模块，SSR拦截了所有的内核访问路径，所有符合考试平台规则的文件、注册表、进程、服务、权限都予以“放行”，不符合规则的就进行屏蔽。这样做的效果与重构操作系统原代码技术类似，而好处是不会影响用户的业务连续性，甚至不需要重启系统。采用这种方式，考试平台的主机系统中彻底清除了黑客攻击、蠕虫和病毒感染的“生存环境”，从源头上保证了安全性。