军工涉密行业的信息系统因其特殊性,一直是窃密与反窃密、渗透与反渗透的主战场。目前,作为国家级军工重点涉密单位,中国电子科技集团公司某研究所(以下简称:中电科某所)与浪潮公司达成合作,采用浪潮SSR操作系统安全增强系统从根源提升内网安全防护水平,保证了服务器操作系统及关键数据的完整性和安全性,并以此形成了主动化、集中化、智能化的安全架构体系
中电科某所创建于1965年,是专业从事信息安全和保密、通信网络和信息系统的专业研究所,属国家一类科研事业单位。经过近五十年的发展,中电科某所在军用、党政及民用领域,先后承担了一大批核心、关键的信息化建设项目,获得党中央、国务院、中央军委的肯定。如今,中电科某所的业务和产品领域不断扩展,已涉及手机(终端)安全保护、基于GPS的车辆和移动服务、金融税控和安全支付系统、网络电视(IPTV)和视频监控、芯片设计、行业应用软件开发、信息系统工程建设和运维连锁服务等项目。
涉密信息重点防护 内网安全亟需“再提升”:
随着我国军工行业信息安全建设的快速推进,中电科某所建立了自己的涉密信息系统和非涉密信息系统。由于工作性质的特殊性,中电科某所的内网中多套信息系统涉及的机密信息数量不断增加,不仅需要在市场竞争中维护自己的技术产权,更需要在网络安全防御能力上不断提升,严防不法人员窃取核心资料的事件发生。
据中电科某所相关负责人介绍,中电科某所内外网隔离的措施,以及涉密信息系统中采用的前置主机(堡垒机)方案在安全防护上已经达到一定的防护效果,但仍然存在许多不足,这包括如下几个方面:
首先因为历史原因,中电科某所的服务器操作系统包含了部分国外品牌,而由国外厂商设计研发的产品,对于涉密行业而言,操作系统内核、服务以及应用程序的可信级别明显偏低。
其次由于内网隔离的特殊性,一些补丁不能在第一时间随意升级安装,这造成了操作系统的漏洞、后门隐患,安全管理缺少主动应对的措施和手段。
再者服务器存储大量涉密数据,现有管理机制没有进行访问控制分权,无法控制内网管理员的权限。
鉴于以上问题的存在,中电科某所希望在现有信息保护措施的基础上,对内网服务器操作系统进行安全加固,并对服务器上的服务和应用程序进行监控保护。同时,需要降低因补丁升级不及时带来的攻击风险问题,避免病毒、木马等恶意程序对系统的破坏,提升服务器统一管理的能力和威胁防御水平。另外,必须采取可靠措施限制系统管理员的权限,使机密文件不被非法访问,防止机密数据外泄。
固“本”清源 实现“五大转变”
经过对中电科某所内网的系统诊断,发现中电科某所的信息化建设在网络层、数据传输层、业务应用层关注较多,部署了防火墙、杀毒软件、IPS等防护措施,但忽视了最关键的主机安全问题。而从信息系统的构成来看,主机系统主要担负数据处理和存储的任务,信息系统中最具价值的各类关键数据和核心业务系统都要依靠主机系统,这个环节一旦受到攻击,整个信息系统中最有价值的部分就面临失窃的风险。因此,从重要性上来看,主机是信息化建设的基石。如何利用主动防御,保障服务器主机本身的安全成为亟待解决的问题。
至此,浪潮与中电科某所达成共识,“解铃还须系铃人”,解决安全问题还是要固本清源,增强主机的安全防护能力。在产品选型方面,中电科某所决定采用浪潮提供的集硬件、操作系统、安全软件“三位一体”的主机安全方案。该方案不仅在技术和具体应用方面具有成熟度和可借鉴性,也在国内主机安全领域具有唯一性。
其中,作为安全软件环节的核心,浪潮SSR操作系统安全增强系统是一款针对于服务器操作系统内核层面的安全加固产品,它采用主动防御模式,将原操作系统厂商的安全防护控制模型接管,让用户从根本上对主机的安全性做到自主可控。
通过部署浪潮SSR操作系统安全增强系统,中电科某所内网服务器及应用程序(如:内网OA系统、内网网站等业务系统)的完整性做到有效保护,非法操作不能写入,从而达到不能篡改内网网站系统内容的目标。其次,浪潮SSR对内网服务器上的数据库文件进行保护,防止了非法使用数据库、非法修改数据库文件事件的发生,其完整的对比检测机制,可以让非法人员“进不来、拿不走、改不了、赖不掉”。而作为防护重点,内网服务器中存放的大量国家机密文件、科研课题等绝密文件,严禁拷贝、写入等非法操作,而浪潮SSR采用分权管理的机制,规避了原操作系统管理员“一支独大”的风险,将原系统管理员权限分散为系统操作员、安全管理员和审计管理员,三个权限各司其职,互相制约,不仅保证了系统安全性,同时贴合国家相关信息安全标准规范
浪潮方案价值:
浪潮通过SSR,为中电科提供安全保护。中电科某所在部署浪潮SSR的前后,在管理水平和管理能力上形成了鲜明对比,这包括:
改变一:变“被动”为“主动”的防御
改变二:变“修补”为“免疫”的安全
改变三:变“脆弱”为“强壮”的系统
改变四:变“分散”为“统一”的管理
改变五:变“手工加固”为“永久自动防御”
中电科某所相关负责人表示:“通过对信息系统安全防护架构的重新评估,我们认为,浪潮SSR帮助中电科某所的信息安全管理实现了五项重大改变。尤其是针对操作系统的漏洞、后门隐患形成的主动保护,让我们远离了不断打补丁的困扰。一个比较形象的比喻就是给操作系统罩了一层‘金钟罩’,大大提升了操作系统对病毒、木马的免疫,在未安装补丁的情况下有效保护和加固现有操作系统。”