固“本”清源 实现“五大转变”
经过对中电科某所内网的系统诊断,发现中电科某所的信息化建设在网络层、数据传输层、业务应用层关注较多,部署了
防火墙、杀毒软件、IPS等防护措施,但忽视了最关键的主机安全问题。而从信息系统的构成来看,主机系统主要担负数据处理和存储的任务,信息系统中最具价值的各类关键数据和核心业务系统都要依靠主机系统,这个环节一旦受到攻击,整个信息系统中最有价值的部分就面临失窃的风险。因此,从重要性上来看,主机是信息化建设的基石。如何利用主动防御,保障服务器主机本身的安全成为亟待解决的问题。
至此,浪潮与中电科某所达成共识,“解铃还须系铃人”,解决安全问题还是要固本清源,增强主机的安全防护能力。在产品选型方面,中电科某所决定采用浪潮提供的集硬件、操作系统、安全软件“三位一体”的主机安全方案。该方案不仅在技术和具体应用方面具有成熟度和可借鉴性,也在国内主机安全领域具有唯一性。
其中,作为安全软件环节的核心,浪潮SSR操作系统安全增强系统是一款针对于服务器操作系统内核层面的安全加固产品,它采用主动防御模式,将原操作系统厂商的安全防护控制模型接管,让用户从根本上对主机的安全性做到自主可控。
通过部署浪潮SSR操作系统安全增强系统,中电科某所内网服务器及应用程序(如:内网OA系统、内网网站等业务系统)的完整性做到有效保护,非法操作不能写入,从而达到不能篡改内网网站系统内容的目标。其次,浪潮SSR对内网服务器上的数据库文件进行保护,防止了非法使用数据库、非法修改数据库文件事件的发生,其完整的对比检测机制,可以让非法人员“进不来、拿不走、改不了、赖不掉”。而作为防护重点,内网服务器中存放的大量国家机密文件、科研课题等绝密文件,严禁拷贝、写入等非法操作,而浪潮SSR采用分权管理的机制,规避了原操作系统管理员“一支独大”的风险,将原系统管理员权限分散为系统操作员、安全管理员和审计管理员,三个权限各司其职,互相制约,不仅保证了系统安全性,同时贴合国家相关信息安全标准规范。
据了解,中电科某所在部署浪潮SSR的前后,在管理水平和管理能力上形成了鲜明对比,这包括:
改变一:变“被动”为“主动”的防御
浪潮SSR产品则并不采用这种被动式的防御体系,而是主动防御。通过对服务器设置访问控制规则,对系统内核层进行加固,保护系统中的重要数据和应安全,中电科某所无需担忧操作系统补丁的“善恶”之分,不必担忧操作系统补丁更新对业务系统产生影响,彻底降低了对系统厂商的依赖,从根本上免疫目前针对操作系统的各类攻击,彻底防范病毒、木马对操作系统及业务平台的破坏。
改变二:变“修补”为“免疫”的安全
在涉密内网这个封闭的环境当中,浪潮的全国产化可信研发体系确保了SRR作为外来保护工具的可信性。而SSR在实现防护病毒、黑客和各种攻击去破坏操作系统以及关键数据时,与其他各种安全产品需要连接外网频繁升级不同,从安装SSR后主机便一直具备着这种免疫力,避免了因为“外联”、“修补”行为可能对业务和关键信息产生的二次威胁。在部署SSR之后,中电科某所内网中没有任何一台感染操作系统的事件发生,并且有效杜绝了从漏洞发现到漏洞修补的“真空期”,为中电科某所提供了应对“零日威胁”的能力。
改变三:变“脆弱”为“强壮”的系统
在没有条件更新操作系统补丁的内网,服务器操作系统的安全漏洞成为最致命的攻击目标。脆弱的主机,如果完全依赖操作系统自身的安全机制配置,如:权限、强密码、各种安全规则的设定,显得非常无力。而SSR能够将这样“脆弱”的操作系统,提升到国家计算机等级保护三级标准,实现强壮的权限和认证体系。
改变四:变“分散”为“统一”的管理
之前,内网中的服务器管理各自为战,往往只有事件发生后,才去“亡羊补牢”,无法真正的做到事前防御、事中检查、杜绝危险蔓延。而SSR统一管理的策略,保证了服务器策略的一致性,尤其是统一分发和实时监控功能,为管理员提供强大的管理工具,轻松实现威胁预警、定位,全面提高了管理效率。
改变五:变“手工加固”为“永久自动防御”
在部署SSR之前,中电科某所的主机安全主要通过手工加固的方式来实现,这种工作方式虽然可以暂时消除系统的安全隐患,但却有着明显的弱点。例如:专业性强、费用高、周期长、无法审计、无法长期有效等问题,因此达不到强制访问控制的要求。而SSR通过三权分离原则,首先把系统管理员、安全管理员和审计管理权限分开,让他们相互制约,相互监督。在加固技术上,SSR采用内核加固方式,通过在操作系统内核层,增加强制访问控制模块,并配合安全策略来实现系统加固,只要配置好SSR安全策略,管理员不再需要开展升级、打补丁或手工加固等工作,就能达到永久防御目的。
中电科某所相关负责人表示:“通过对信息系统安全防护架构的重新评估,我们认为,浪潮SSR帮助中电科某所的
信息安全管理实现了五项重大改变。尤其是针对操作系统的漏洞、后门隐患形成的主动保护,让我们远离了不断打补丁的困扰。一个比较形象的比喻就是给操作系统罩了一层‘金钟罩’,大大提升了操作系统对病毒、木马的免疫,在未安装补丁的情况下有效保护和加固现有操作系统。”
责编:dora.gao
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc
