背景:军工涉密行业的信息系统因其特殊性,一直是窃密与反窃密、渗透与反渗透的主战场。目前,作为优异军工重点涉密单位,中国电子科技集团公司某研究所(以下简称:中电科某所)与浪潮公司达成合作,采用浪潮SSR操作系统安全增强系统从根源提升内网安全防护水平,保证了服务器操作系统及关键数据的完整性和安全性,并以此形成了主动化、集中化、智能化的安全架构体系。
涉密信息重点防护 内网安全亟需“再提升”
中电科某所创建于1965年,是专业从事信息安全和保密、通信网络和信息系统的专业研究所,属国家一类科研事业单位。经过近五十年的发展,中电科某所在军用、党政及民用领域,先后承担了一大批核心、关键的信息化建设项目,获得党中央、国务院、中央军委的肯定。如今,中电科某所的业务和产品领域不断扩展,已涉及手机(终端)安全保护、基于GPS的车辆和移动服务、金融税控和安全支付系统、网络电视(IPTV)和视频监控、芯片设计、行业应用软件开发、信息系统工程建设和运维连锁服务等项目。
随着我国军工行业信息安全建设的快速推进,中电科某所建立了自己的涉密信息系统和非涉密信息系统。由于工作性质的特殊性,中电科某所的内网中多套信息系统涉及的机密信息数量不断增加,不仅需要在市场竞争中维护自己的技术产权,更需要在网络安全防御能力上不断提升,严防不法人员窃取核心资料的事件发生。
据中电科某所相关负责人介绍,中电科某所内外网隔离的措施,以及涉密信息系统中采用的前置主机(堡垒机)方案在安全防护上已经达到一定的防护效果,但仍然存在许多不足,这包括如下几个方面:
首先因为历史原因,中电科某所的服务器操作系统包含了部分国外品牌,而由国外厂商设计研发的产品,对于涉密行业而言,操作系统内核、服务以及应用程序的可信级别明显偏低。
其次由于内网隔离的特殊性,一些补丁不能在第一时间随意升级安装,这造成了操作系统的漏洞、后门隐患,安全管理缺少主动应对的措施和手段。
再者服务器存储大量涉密数据,现有管理机制没有进行访问控制分权,无法控制内网管理员的权限。
鉴于以上问题的存在,中电科某所希望在现有信息保护措施的基础上,对内网服务器操作系统进行安全加固,并对服务器上的服务和应用程序进行监控保护。同时,需要降低因补丁升级不及时带来的攻击风险问题,避免病毒、木马等恶意程序对系统的破坏,提升服务器统一管理的能力和威胁防御水平。另外,必须采取可靠措施限制系统管理员的权限,使机密文件不被非法访问,防止机密数据外泄。
固“本”清源 实现“五大转变”
经过对中电科某所内网的系统诊断,发现中电科某所的信息化建设在网络层、数据传输层、业务应用层关注较多,部署了防火墙、杀毒软件、IPS等防护措施,但忽视了最关键的主机安全问题。而从信息系统的构成来看,主机系统主要担负数据处理和存储的任务,信息系统中最具价值的各类关键数据和核心业务系统都要依靠主机系统,这个环节一旦受到攻击,整个信息系统中最有价值的部分就面临失窃的风险。因此,从重要性上来看,主机是信息化建设的基石。如何利用主动防御,保障服务器主机本身的安全成为亟待解决的问题。
至此,浪潮与中电科某所达成共识,“解铃还须系铃人”,解决安全问题还是要固本清源,增强主机的安全防护能力。在产品选型方面,中电科某所决定采用浪潮提供的集硬件、操作系统、安全软件“三位一体”的主机安全方案。该方案不仅在技术和具体应用方面具有成熟度和可借鉴性,也在国内主机安全领域具有唯一性。
其中,作为安全软件环节的核心,浪潮SSR操作系统安全增强系统是一款针对于服务器操作系统内核层面的安全加固产品,它采用主动防御模式,将原操作系统厂商的安全防护控制模型接管,让用户从根本上对主机的安全性做到自主可控。
通过部署浪潮SSR操作系统安全增强系统,中电科某所内网服务器及应用程序(如:内网OA系统、内网网站等业务系统)的完整性做到有效保护,非法操作不能写入,从而达到不能篡改内网网站系统内容的目标。其次,浪潮SSR对内网服务器上的数据库文件进行保护,防止了非法使用数据库、非法修改数据库文件事件的发生,其完整的对比检测机制,可以让非法人员“进不来、拿不走、改不了、赖不掉”。而作为防护重点,内网服务器中存放的大量国家机密文件、科研课题等绝密文件,严禁拷贝、写入等非法操作,而浪潮SSR采用分权管理的机制,规避了原操作系统管理员“一支独大”的风险,将原系统管理员权限分散为系统操作员、安全管理员和审计管理员,三个权限各司其职,互相制约,不仅保证了系统安全性,同时贴合国家相关信息安全标准规范。
据了解,中电科某所在部署浪潮SSR的前后,在管理水平和管理能力上形成了鲜明对比,这包括:
改变一:变“被动”为“主动”的防御
浪潮SSR产品则并不采用这种被动式的防御体系,而是主动防御。通过对服务器设置访问控制规则,对系统内核层进行加固,保护系统中的重要数据和应安全,中电科某所无需担忧操作系统补丁的“善恶”之分,不必担忧操作系统补丁更新对业务系统产生影响,彻底降低了对系统厂商的依赖,从根本上免疫目前针对操作系统的各类攻击,彻底防范病毒、木马对操作系统及业务平台的破坏。
改变二:变“修补”为“免疫”的安全
在涉密内网这个封闭的环境当中,浪潮的全国产化可信研发体系确保了SRR作为外来保护工具的可信性。而SSR在实现防护病毒、黑客和各种攻击去破坏操作系统以及关键数据时,与其他各种安全产品需要连接外网频繁升级不同,从安装SSR后主机便一直具备着这种免疫力,避免了因为“外联”、“修补”行为可能对业务和关键信息产生的二次威胁。在部署SSR之后,中电科某所内网中没有任何一台感染操作系统的事件发生,并且有效杜绝了从漏洞发现到漏洞修补的“真空期”,为中电科某所提供了应对“零日威胁”的能力。
改变三:变“脆弱”为“强壮”的系统
在没有条件更新操作系统补丁的内网,服务器操作系统的安全漏洞成为最致命的攻击目标。脆弱的主机,如果完全依赖操作系统自身的安全机制配置,如:权限、强密码、各种安全规则的设定,显得非常无力。而SSR能够将这样“脆弱”的操作系统,提升到国家计算机等级保护三级标准,实现强壮的权限和认证体系。
改变四:变“分散”为“统一”的管理
之前,内网中的服务器管理各自为战,往往只有事件发生后,才去“亡羊补牢”,无法真正的做到事前防御、事中检查、杜绝危险蔓延。而SSR统一管理的策略,保证了服务器策略的一致性,尤其是统一分发和实时监控功能,为管理员提供强大的管理工具,轻松实现威胁预警、定位,全面提高了管理效率。
改变五:变“手工加固”为“永久自动防御”
在部署SSR之前,中电科某所的主机安全主要通过手工加固的方式来实现,这种工作方式虽然可以暂时消除系统的安全隐患,但却有着明显的弱点。例如:专业性强、费用高、周期长、无法审计、无法长期有效等问题,因此达不到强制访问控制的要求。而SSR通过三权分离原则,首先把系统管理员、安全管理员和审计管理权限分开,让他们相互制约,相互监督。在加固技术上,SSR采用内核加固方式,通过在操作系统内核层,增加强制访问控制模块,并配合安全策略来实现系统加固,只要配置好SSR安全策略,管理员不再需要开展升级、打补丁或手工加固等工作,就能达到永久防御目的。
中电科某所相关负责人表示:“通过对信息系统安全防护架构的重新评估,我们认为,浪潮SSR帮助中电科某所的信息安全管理实现了五项重大改变。尤其是针对操作系统的漏洞、后门隐患形成的主动保护,让我们远离了不断打补丁的困扰。一个比较形象的比喻就是给操作系统罩了一层‘金钟罩’,大大提升了操作系统对病毒、木马的免疫,在未安装补丁的情况下有效保护和加固现有操作系统。”