国内精品日本久久久久影院,国产亚洲一区二区在线观看,香蕉成人啪国产精品视频综合网

六安煙草的思考：在等級保護基礎上如何“免疫”？

責任編輯：editor005

2014-09-02 17:11:07

摘自：ZDNet至頂網

據了解，為規范我國信息安全建設，2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》明確指出了“實行信息安全等級保護”的要求。不需要重啟系統，就能夠很好地支持上層的所有應用和下層所有系統和機器設備，以及在操作系統粒度上保證上層應用的安全。

日前，深知“網絡是一把雙刃劍”的安徽省六安市煙草專賣局、安徽省煙草公司六安市公司（以下簡稱：六安煙草），面對步步逼近的各類網絡威脅，選擇了浪潮自主研發的SSR操作系統安全增強系統，為關鍵主機、核心服務器注入了免疫功能，在達到等級保護三級要求的同時，有效應對已知及未知的漏洞。

六安煙草的思考：在等級保護基礎上如何“免疫”？

浪潮SSR為主機提供安全保障

政策在上，責任在肩

成立于1985年的六安煙草，坐落于六安市經濟技術開發區皖西大道和經三路交匯處，是一個集卷煙銷售經營與專賣執法管理于一體的政企合一單位。主要履行對煙草專賣品的生產、銷售業務依法實行專賣管理職能，承擔著六安市卷煙行業的調撥、批發以及煙葉種植業務，并對卷煙的供銷、人財物實行集中統一管理。

六安煙草為提高專賣監管能力，充分發揮煙草專賣統一管理優勢，以信息化建設作為切入點，通過高速網絡和各大業務系統全面提高了監管效能，不斷完善“兩煙”市場監管新機制。在信息安全建設方面，為保障全市煙草商業系統的可靠運行，六安煙草在全網統一部署了邊界防火墻和防病毒軟件，以及入侵防御系統，使全市卷煙商業系統具備了初步的網絡安全防范能力。然而，隨著互聯網生態環境的逐步惡化，病毒及其變種在黑色產業鏈中的滋生速度更加迅猛，六安煙草希望在已經實現的等級保護要求基礎上，進一步提升安全防護水平。

據了解，為規范我國信息安全建設，2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》明確指出了“實行信息安全等級保護”的要求。而依據國家下發的《關于做好煙草行業信息系統安全等級保護定級工作的通知》（國煙辦綜〔2008〕358號）文件要求，各省煙草專賣局已完成相應的等級保護定級工作。

但在實際的等級保護評估和整改過程中，計算環境安全，尤其是涉及操作系統的計算環境安全問題，讓很多用戶心生困惑。例如：常見的Windows、Linux、UNIX等商用操作系統，雖然提供了一些安全策略，但是其功能非常有限，并且經常存在各種漏洞。所以，如何通過合理的安全措施保證主機安全，同時防止內、外非法用戶的攻擊就成為當前信息系統等級化建設中一個至關重要的問題，而這也是六安煙草信息安全能力“上臺階”的關鍵一步。

大環境不容樂觀，尋求更專業的安全

據介紹，六安煙草內部網絡使用的關鍵主機包括各種數據庫服務器和應用服務器，一旦漏洞被黑客利用，將會對全市的數據和業務往來造成極大影響：

一方面，其信息系統采用的操作系統均為主流產品系列，如：AIX，Windows Server 2003，其安全漏洞更是廣為流傳，而且，由于所有的應用系統都運行在特定的操作系統上，一旦操作系統被危險人物控制，應用系統就失去了安全基礎。

另一方面，由于部分IT運維人員對復雜的操作系統和其自身的安全機制了解不夠，容易出現配置不當的問題，這也會造成安全隱患。而這些安全風險一旦出現，會為不法分子留下可乘之機。如操作系統訪問的口令認證機制，特殊目錄訪問讀寫權限設定問題等，如果設定不當，都會造成越權訪問與操作。

基于以上考慮，六安煙草希望采用更專業的服務器安全系統對重要的關鍵主機和核心服務器操作系統進行安全加固，通過對文件、目錄、進程、注冊表和服務進行的強制訪問控制，制約和分散原有系統管理員的權限，把普通的操作系統從體系上升級，使煙草的關鍵主機，核心服務器符合國家信息安全等級保護服務器操作系統安全的三級標準。

而浪潮的SSR加固產品能夠從根本上免疫針對服務器操作系統的惡意攻擊，將木馬、后門、沖擊波、振蕩波等蠕蟲類病毒和內外網的黑客攻擊拒之門外，而這些恰恰符合了六安煙草的具體要求。

“重構”操作系統，更安全

浪潮SSR內核加固技術是基于對主機的內核級安全加固防護，當未經授權的非法用戶通過各種手段突破了防火墻等網絡安全產品進入了內部主機，甚至竊取了操作系統管理員最高權限后，浪潮內核加固技術就將成為最后的一道防線。它通過對操作系統原有系統管理員即administrator/root的無限權力進行分散，使其不再具有對系統自身安全構成威脅的能力，從而達到從根本上保障操作系統安全的目的。也就是說即使非法入侵者擁有了系統管理員最高權限，也無法對經過浪潮內核加固技術保護的系統核心或重要內容進行任何破壞和操作。

六安煙草的思考：在等級保護基礎上如何“免疫”？

浪潮SSR ROST內核加固技術實現原理

對于六安煙草信息系統物流、財務等敏感數據，浪潮SSR把普通的操作系統從體系上升級，能夠從根本上免疫針對服務器操作系統的漏洞和人為攻擊。使其符合國家信息安全等級保護服務器操作系統安全的三級標準。

談及SSR的運行體驗，六安煙草相關負責人表示：“浪潮SSR ROST技術實際上是在驅動層加上安全內核模塊，攔截所有的內核訪問路徑，從而達到等保三級的技術要求，最終實現的安全效果和重構操作系統原代碼技術差不多，好處是不會影響我們的業務連續性。不需要重啟系統，就能夠很好地支持上層的所有應用和下層所有系統和機器設備，以及在操作系統粒度上保證上層應用的安全。”

免疫強制訪問控制入侵防御系統