四重防護 浪潮SSR打造“黑客禁區”
最近幾年,某省政府采購辦的門戶網站多次遭到黑客攻擊、后臺服務器操作系統被攻破,超級管理員權限被破解,同時網絡監聽WEB服務器上數據,致使大量項目采購信息泄露,給采購辦工作的正常運轉帶來巨大挑戰。最嚴重的一次,黑客入侵后更改了招標信息,導致招投標活動被迫延遲,給政府形象帶來非常大的負面影響。
令采購辦不解的是,目前信息系統中已經部署了防火墻、IPS、殺毒軟件等較為全面的信息安全防護措施,為何系統仍然能被攻破?為此,采購辦與浪潮集團信息安全應急小組取得聯系,要求對其系統安全性進行全面評估。經過系統的診斷分析后發現,目前采購辦信息系統中所采用的所有安全產品完全基于特征庫/病毒庫進行安全防護,針對于來自于互聯網上的常規攻擊形式及病毒騷擾有很強的防御能力。然而面對病毒變種或rootkit級的黑客工具,尤其經過特殊處理的“免殺”木馬,無法做到有效的攔截。對于發生在內網的攻擊行為,更是缺乏有效的抵御。所以一旦發生上述針對內部網站服務的攻擊時,所有外部的防護設備都形同虛設,直接考驗操作系統的健壯性與防御能力。
信息安全建設是一個整體防護工程,一般圍繞基礎物理層、制度管理層、邊界網絡層、業務應用層以及操作系統層面5個層面進行建設。在信息化安全建設的初期,大部分的信息主管部門往往只關注物理層、網絡層、業務應用層的安全規劃及建設,而忽略了最關鍵的操作系統的安全問題。導致這一局面出現的原因,一方面在于國產操作系統的欠缺,另一方面對操作系統的安全性也缺乏安全意識。
從重要性上來看,操作系統是信息化建設的基石之一,應用系統及產生的數據都存在于由操作系統所搭建的計算環境中。現階段我國使用的操作系統基本來自于國外引進,像微軟等操作系統廠家出口給中國的操作系統,在等級分類上都屬于低安全等級的產品。中國政府已經意識到操作系統的重要性,5月16日,中國政府采購網發布《關于進行信息類協議供貨強制節能產品補充招標的通知》規范政府采購行為,要求所有計算機類產品不允許安裝Windows 8操作系統,清晰表明操作系統已經作為重點監控指標被納入政府信息安全建設體系之中。
浪潮于2013年底發布了國內首個集硬件、操作系統、安全軟件“三位一體”的主機安全方案,填補了我國在主機安全領域的空白。其中,作為安全軟件環節的核心,浪潮SSR操作系統安全增強系統是一款針對于服務器操作系統內核層面的安全加固產品,它采用主動防御模式,將原操作系統廠商的安全防護控制模型接管,讓用戶從根本上對服務器的安全性做到自主可控。
四重防護 打造“黑客禁區”
某省政府采購辦在意識到操作系統層面存在安全隱患后,部署了浪潮SSR操作系統安全增強系統,其強制訪問控制功能保證了文件的保密性、完整性、可用性,使重要網站系統和操作系統文件得到充分的保護,同時保證了權限最小化、降低了用戶權限擴散的風險、避免了惡意提權的發生。此外,SSR特別的審計功能,能夠詳細記錄每一次操作的發起主體、發起時間、操作行為、行為結果以及響應操作的客體等信息,將其匯總記錄成文件并做分類,方便攻擊行為的追溯審查機制。
浪潮SSR操作系統安全增強系統解決方案
浪潮SSR部署完成后,通過四重防護體系的構建,使得某省政府采購辦信息系統實現了主動防御,符合國家信息安全等級化保護三級標準要求。更重要的,浪潮SSR針對關鍵文件及信息的主動防護,實現了非法人員“進不來、拿不走、改不了、賴不掉”,從根本上免疫針對操作系統的已知及未知的病毒破壞及黑客攻擊。
網站文件、進程保護——通過文件與進程強制訪問控制模塊配置應用發布的主文件目錄,使該網站目錄不會被惡意修改、刪除,應用的進程不會被終止,網站業務系統的連續性得到了保障。對網站及應用系統的主要組成文件(ASPX、JSP等文件)及對應進程配置相應策略,保證僅有負責應用發布的應用進程對其目錄與文件有正常訪問權限,其他方式不能修改、刪除與網站內容相關的文件,防止網站被非法篡改。
數據庫保護——保護數據庫的安裝目錄不能被修改、刪除,應用的進程不能被惡意終止。數據庫可以正常運行,同時其連續性得到了保障。有效防止數據庫被非法利用。
操作系統系統防護——保護操作系統注冊表核心鍵值不能被修改、刪除,不允許修改本地安全策略和組策略;保護操作系統的核心組成文件的權限分配最小化,除能保證操作系統啟停、運行等必須的行為之外,其他有安全威脅的操作行為都被拒絕;保護操作系統進程的可用性、可信性,拒絕除能保證操作系統、應用系統正常運行之外的其他非授權進程的加載;保護操作系統的服務完整性,拒絕除SSR允許范圍之外的一切增加、刪除、修改服務的行為的執行;
浪潮SSR防護——保護浪潮SSR自身安全,安裝目錄不能被修改、刪除,進程不會被惡意終止,浪潮SSR調用的注冊表鍵值不能被修改、刪除。
通過浪潮ssr操作系統安全增強系統的加載,相當于改變了現有進口操作系統產品的安全訪問控制模型,能夠在系統的底層實現訪問的安全審查,杜絕非授權行為對操作系統可能帶來的破壞和影響;改變了原操作系統一權獨大,攻擊一點即動全身的安全脆弱點;使中國用戶在使用洋操作系統的時候擁有了一把中國鎖。
