窮其"枝葉",不如固其"根本"
責編:admin |2014-09-18 14:25:28背景:軍工涉密行業的信息系統因其特殊性,一直是竊密與反竊密、滲透與反滲透的主戰場。目前,作為國家級軍工重點涉密單位,中國電子科技集團公司某研究所(以下簡稱:中電科某所)與浪潮公司達成合作,采用浪潮SSR操作系統安全增強系統從根源提升內網安全防護水平,保證了服務器操作系統及關鍵數據的完整性和安全性,并以此形成了主動化、集中化、智能化的安全架構體系。
涉密信息重點防護 內網安全亟需"再提升"
中電科某所創建于1965年,是專業從事信息安全和保密、通信網絡和信息系統的專業研究所,屬國家一類科研事業單位。經過近五十年的發展,中電科某所在軍用、黨政及民用領域,先后承擔了一大批核心、關鍵的信息化建設項目,獲得黨中央、國務院、中央軍委的肯定。如今,中電科某所的業務和產品領域不斷擴展,已涉及手機(終端)安全保護、基于GPS的車輛和移動服務、金融稅控和安全支付系統、網絡電視(IPTV)和視頻監控、芯片設計、行業應用軟件開發、信息系統工程建設和運維連鎖服務等項目。
隨著我國軍工行業信息安全建設的快速推進,中電科某所建立了自己的涉密信息系統和非涉密信息系統。由于工作性質的特殊性,中電科某所的內網中多套信息系統涉及的機密信息數量不斷增加,不僅需要在市場競爭中維護自己的技術產權,更需要在網絡安全防御能力上不斷提升,嚴防不法人員竊取核心資料的事件發生。
據中電科某所相關負責人介紹,中電科某所內外網隔離的措施,以及涉密信息系統中采用的前置主機(堡壘機)方案在安全防護上已經達到一定的防護效果,但仍然存在許多不足,這包括如下幾個方面:
首先因為歷史原因,中電科某所的服務器操作系統包含了部分國外品牌,而由國外廠商設計研發的產品,對于涉密行業而言,操作系統內核、服務以及應用程序的可信級別明顯偏低。
其次由于內網隔離的特殊性,一些補丁不能在第一時間隨意升級安裝,這造成了操作系統的漏洞、后門隱患,安全管理缺少主動應對的措施和手段。
再者服務器存儲大量涉密數據,現有管理機制沒有進行訪問控制分權,無法控制內網管理員的權限。
中電科某所借助浪潮SSR提升內網防護水平
鑒于以上問題的存在,中電科某所希望在現有信息保護措施的基礎上,對內網服務器操作系統進行安全加固,并對服務器上的服務和應用程序進行監控保護。同時,需要降低因補丁升級不及時帶來的攻擊風險問題,避免病毒、木馬等惡意程序對系統的破壞,提升服務器統一管理的能力和威脅防御水平。另外,必須采取可靠措施限制系統管理員的權限,使機密文件不被非法訪問,防止機密數據外泄。
固"本"清源 實現"五大轉變"
經過對中電科某所內網的系統診斷,發現中電科某所的信息化建設在網絡層、數據傳輸層、業務應用層關注較多,部署了防火墻、殺毒軟件、IPS等防護措施,但忽視了最關鍵的主機安全問題。而從信息系統的構成來看,主機系統主要擔負數據處理和存儲的任務,信息系統中最具價值的各類關鍵數據和核心業務系統都要依靠主機系統,這個環節一旦受到攻擊,整個信息系統中最有價值的部分就面臨失竊的風險。因此,從重要性上來看,主機是信息化建設的基石。如何利用主動防御,保障服務器主機本身的安全成為亟待解決的問題。
至此,浪潮與中電科某所達成共識,"解鈴還須系鈴人",解決安全問題還是要固本清源,增強主機的安全防護能力。在產品選型方面,中電科某所決定采用浪潮提供的集硬件、操作系統、安全軟件"三位一體"的主機安全方案。該方案不僅在技術和具體應用方面具有成熟度和可借鑒性,也在國內主機安全領域具有唯一性。
其中,作為安全軟件環節的核心,浪潮SSR操作系統安全增強系統是一款針對于服務器操作系統內核層面的安全加固產品,它采用主動防御模式,將原操作系統廠商的安全防護控制模型接管,讓用戶從根本上對主機的安全性做到自主可控。
通過部署浪潮SSR操作系統安全增強系統,中電科某所內網服務器及應用程序(如:內網OA系統、內網網站等業務系統)的完整性做到有效保護,非法操作不能寫入,從而達到不能篡改內網網站系統內容的目標。其次,浪潮SSR對內網服務器上的數據庫文件進行保護,防止了非法使用數據庫、非法修改數據庫文件事件的發生,其完整的對比檢測機制,可以讓非法人員"進不來、拿不走、改不了、賴不掉"。而作為防護重點,內網服務器中存放的大量國家機密文件、科研課題等絕密文件,嚴禁拷貝、寫入等非法操作,而浪潮SSR采用分權管理的機制,規避了原操作系統管理員"一支獨大"的風險,將原系統管理員權限分散為系統操作員、安全管理員和審計管理員,三個權限各司其職,互相制約,不僅保證了系統安全性,同時貼合國家相關信息安全標準規范。
據了解,中電科某所在部署浪潮SSR的前后,在管理水平和管理能力上形成了鮮明對比,這包括:
改變一:變"被動"為"主動"的防御
浪潮SSR產品則并不采用這種被動式的防御體系,而是主動防御。通過對服務器設置訪問控制規則,對系統內核層進行加固,保護系統中的重要數據和應安全,中電科某所無需擔憂操作系統補丁的"善惡"之分,不必擔憂操作系統補丁更新對業務系統產生影響,徹底降低了對系統廠商的依賴,從根本上免疫目前針對操作系統的各類攻擊,徹底防范病毒、木馬對操作系統及業務平臺的破壞。
改變二:變"修補"為"免疫"的安全
在涉密內網這個封閉的環境當中,浪潮的全國產化可信研發體系確保了SRR作為外來保護工具的可信性。而SSR在實現防護病毒、黑客和各種攻擊去破壞操作系統以及關鍵數據時,與其他各種安全產品需要連接外網頻繁升級不同,從安裝SSR后主機便一直具備著這種免疫力,避免了因為"外聯"、"修補"行為可能對業務和關鍵信息產生的二次威脅。在部署SSR之后,中電科某所內網中沒有任何一臺感染操作系統的事件發生,并且有效杜絕了從漏洞發現到漏洞修補的"真空期",為中電科某所提供了應對"零日威脅"的能力。
改變三:變"脆弱"為"強壯"的系統
在沒有條件更新操作系統補丁的內網,服務器操作系統的安全漏洞成為最致命的攻擊目標。脆弱的主機,如果完全依賴操作系統自身的安全機制配置,如:權限、強密碼、各種安全規則的設定,顯得非常無力。而SSR能夠將這樣"脆弱"的操作系統,提升到國家計算機等級保護三級標準,實現強壯的權限和認證體系。
改變四:變"分散"為"統一"的管理
之前,內網中的服務器管理各自為戰,往往只有事件發生后,才去"亡羊補牢",無法真正的做到事前防御、事中檢查、杜絕危險蔓延。而SSR統一管理的策略,保證了服務器策略的一致性,尤其是統一分發和實時監控功能,為管理員提供強大的管理工具,輕松實現威脅預警、定位,全面提高了管理效率。
改變五:變"手工加固"為"永久自動防御"
在部署SSR之前,中電科某所的主機安全主要通過手工加固的方式來實現,這種工作方式雖然可以暫時消除系統的安全隱患,但卻有著明顯的弱點。例如:專業性強、費用高、周期長、無法審計、無法長期有效等問題,因此達不到強制訪問控制的要求。而SSR通過三權分離原則,首先把系統管理員、安全管理員和審計管理權限分開,讓他們相互制約,相互監督。在加固技術上,SSR采用內核加固方式,通過在操作系統內核層,增加強制訪問控制模塊,并配合安全策略來實現系統加固,只要配置好SSR安全策略,管理員不再需要開展升級、打補丁或手工加固等工作,就能達到永久防御目的。
中電科某所相關負責人表示:"通過對信息系統安全防護架構的重新評估,我們認為,浪潮SSR幫助中電科某所的信息安全管理實現了五項重大改變。尤其是針對操作系統的漏洞、后門隱患形成的主動保護,讓我們遠離了不斷打補丁的困擾。一個比較形象的比喻就是給操作系統罩了一層'金鐘罩',大大提升了操作系統對病毒、木馬的免疫,在未安裝補丁的情況下有效保護和加固現有操作系統。"