導語：教育部某考試平臺是面向大眾提供考試招考指南、求學咨詢、網上報名、留學考試、門戶信息等業務的核心應用系統。該平臺雖然在邊界防護上下了大功夫，但是因為主機安全存在缺陷，安全仍有致命傷。日前通過采用浪潮SSR操作系統安全增強系統，平臺從服務器安全入手，從服務器最底層建設可靠的防護屏障，順利達到了國家等級保護三級規范要求。

教育是國家發展的基石。教育公平是社會公平的重要基礎，也是每一個普通人追求的目標。隨著互聯網應用的不斷普及，教育部將越來越多的業務都移到了互聯網。保障考試平臺的安全就成為了實現教育公平的重要一部分。正是基于這樣的考慮，教育部某考試平臺通過浪潮SSR操作系統安全增強系統(簡稱“浪潮SSR”)進行了安全加固，從服務器安全入手，從服務器最底層建設可靠的防護屏障，順利達到了國家等級保護三級規范要求。

保障教育平臺穩定運行 主機安全成關鍵

教育部某考試平臺是對外提供考試招考指南、求學咨詢、網上報名、留學考試、門戶信息等業務的核心應用系統。該考試平臺由多臺前端Web網站和后端數據庫主機構成，實現了學員網上報名、咨詢等流程網絡化、數據集中化。“便捷的考試平臺需要盡可能實現公平最大化，一旦數據泄露或被篡改，公平化便會蕩然無存。平臺中觸及到很多與個人隱私和考試相關的敏感數據信息，維護考試平臺的安全和安穩，一方面是保障教育部日常業務流程的重要需求，另一方面也是對人民負責，維護社會安穩的重要因素。” 教育部相關技術負責人表示。

正是基于這樣的考慮，某考試平臺在邊界防護投入巨大，但卻收效甚微。具體說來，教育部信息部門部署了防火墻、IDS、IPS、殺毒軟件等安全設備，有效地解決了大部分來自互聯網上的安全威脅，但是卻無法擋住更具針對性的滲透入侵。一些高級黑客技術完全能夠逃避防火墻或者IDS、IPS等安全產品的阻攔，深入到系統中進行破壞。另外，病毒往往具有高度的隱藏性和免查殺設計，如果防毒軟件的特征碼沒有在第一時間更新，便無法查殺新型或變種病毒。

另一方面，來自內部的安全威脅同樣巨大。從系統的布局來看，業務內網系統多是核心數據庫主機，并與外網采用了相關隔離手段。但是，內部的數據需要通過網絡或是移動存儲介質進行交換，一旦某臺主機感染病毒就可能導致整個內網癱瘓。另外，內部管理員的誤操作行為也是防范重點，如果出現越權操作、惡意攻擊、非法復制，考試平臺上的機密信息都有可能造成泄露。

邊界防護已經下足功夫，但是為何仍會出現那么多的安全隱患呢?信息安全的防護重點應該放在哪里?通過與信息安全專家進行深入探討后，教育部信息技術部門發現，主機核心層的安全漏洞嚴重，這是由于操作系統自身的脆弱性導致，而這恰恰是外圍所有邊界安全技術無法觸及的領域。

該考試平臺系統主機大部分采用Linux和Windows操作系統。這些操作系統具有先天的脆弱性，系統漏洞層出不窮并且危害巨大，令人防不勝防。最近的案例是OpenSSL “心臟出血”漏洞，在發現漏洞之后的兩天內，密歇根大學的一個安全研究團隊的數據顯示Alexa排名前百萬的網站有40 .9%中招。

一方面，系統“真空期”需要格外重視，是安全事故高發期。從操作系統漏洞從被發現，到最后廠商發布可以穩定運行的補丁，一般都有3到6個月的“真空期”，而這段時間內便是操作系統最脆弱的時期，最容易被攻破。另一方面，系統維護也存在風險。在Linux和Windows系統中，超級用戶權限都不受限制，其采用的“用戶名+口令”的單一認證方式無法有效應對黑客使用暴力破解的攻擊方式。而在日常維護方面，系統人為加固“補丁”更新不及時。此外，任何系統管理員或使用人員都不可能對復雜的操作系統和其自身的安全機制有絕對足夠的掌握，配置不當也會造成安全隱患，這些漏洞給黑客以可乘之機。

正是因為這樣的原因，主機安全已經成為了系統的“致命傷”，如何讓安全升級?考試平臺經過多方考察和調研，采納了信息安全專家組“使用專用產品”加固主機安全的建議，選擇浪潮SSR進行主機加固。

內核加固 消除黑客生存環境

“浪潮SSR從內核入手進行主機加固，消除了黑客生存環境。這與我們之前在邊界部署的安全產品有本質區別。” 教育部相關技術負責人談到浪潮SSR時這樣說。浪潮SSR的ROST內核加固技術是消除黑客生存環境的根本。通過在驅動層加上安全內核模塊，SSR攔截了所有的內核訪問路徑，所有符合考試平臺規則的文件、注冊表、進程、服務、權限都予以“放行”，不符合規則的就進行屏蔽。這樣做的效果與重構操作系統原代碼技術類似，而好處是不會影響用戶的業務連續性，甚至不需要重啟系統。采用這種方式，考試平臺的主機系統中徹底清除了黑客攻擊、蠕蟲和病毒感染的“生存環境”，從源頭上保證了安全性。

【浪潮SSR內核加固技術實現原理】

另外，與考試平臺部署在邊界的安全產品不同，浪潮SSR不需要依賴病毒行為特征庫來識別攻擊，而是采用白名單防護技術。這就把事后“修補”變為了徹底“免疫”，從而進一步保證了系統的安全運行。

在人員管理方面，考試平臺過去超級用戶權限過大的問題得到完善解決。浪潮SSR采用“三權分立”機制，有效地制約和分散了原有系統管理員的權限，徹底杜絕了非授權行為發生，保護核心數據的完整性、可用性以及業務的連續性，把普通的操作系統從體系上升級，使其符合國家信息安全等級保護三級標準。

結合業務應用部署安全策略 浪潮SSR為系統安全升級

“根據我們考試平臺的前端Web網站和后端數據庫主機的布局特點，浪潮安全工程師為其專門定制更精細化的SSR防護策略，達到了非常理想的效果。” 教育部相關技術負責人說。

具體說來，用戶在考試平臺DMZ區域的Web網站主機上部署SSR，對Web目錄的訪問權限、進程權限以及網站腳本文件的訪問權限進行限制。同時，配合防火墻等技術形成全面立體的防護，既能防止SQL注入攻擊、DDoS攻擊等攻擊行為，又能防止基于系統內核層的攻擊、后門攻擊等非法篡改網站的行為。

【教育部某考試平臺主機安全加固部署示意圖】

針對內網的數據庫服務器和Linux集群主機，考試平臺通過浪潮SSR對數據庫文件、進程的權限對應配置策略，并對Linux操作系統底層進行加固，采用“三權分立”機制，有效防止了因為人員操作而產生的風險。

“在實際使用中，浪潮SSR不僅使得我們系統的安全性得到大幅提升，符合國家信息安全等級保護三級標準。而且絲毫沒有對業務系統造成負擔，在完全開啟浪潮SSR防護功能對系統平均性能損失控制在2%以內，達到了效率與安全共存的目標。” 教育部相關技術負責人說。

教育在互聯網時代被創造出新的形式，網絡為實現教育公平創造了可能。在為受教育者提供信息資源共享和服務的同時，保障網絡平臺的穩定性和安全性就顯得尤為重要，而在這個過程中，主機安全就是重中之重，浪潮SSR為守護主機安全開拓了一條可行之路，協助教育公平更快實現。