網絡安全從無小事,它關系到“互聯網+”時代生態圈的健康發展,關系到國家安全、關鍵信息基礎設施安全、社會公共安全和公民個人信息安全。因此,維護好網絡空間安全和網絡社會秩序是每個政府服務部門的責任,而最好的“出發點”,就是從提升自身網絡信息系統的防護能力開始。
真可謂重任壓肩,各級電子政務服務部門不遺余力,紛紛將人力、物力和財力投入到網絡安全建設工作中。其中,內外網安全隔離技術被廣泛使用,并在相當一段時期和環境下,起到了令人滿意的防護效果。但安全防護能力“無上限”,內外網安全隔離的應用也有“不足”,而這也恰恰是內江市政務服務中心啟動新一輪網絡安全加固項目的原因。
應對未知威脅,現有技術“汲深綆短”
“內網安全防護重點是漏洞管理和數據訪問控制,防止人為、惡意程序對數據造成破壞和泄露。而外部的網站,作為發布紅頭文件和信息服務平臺,更需要在防篡改、防掛馬、防后門等方面迅速提升能力。” 內江市政務服務中心相關負責人說。那么,內外網的安全防護為何又分出了側重點呢?
實際上,我們曾經加固過的信息系統,也包括內網隔離中的服務器資源,正因為各類“漏洞”變得不再安全。去年,“心臟出血”和“Shellshock”演出了一場場黑色幽默劇,Windows補丁更新已經成為常態、各類應用程序和數據庫漏洞“每日必達”,在加上終端和移動存儲設備中隱藏的惡意代碼,都讓江市政務服務中心的網絡管理員付出更多的時間和精力。
“與外網隔離之后,內網安全防護的工作量并沒有減輕,補丁安裝和安全策略的加固,必須要靠手工完成。而我們現有的OA系統和業務數據又無法實現分權訪問和審計,所以,一旦有終端發現未能修補最新的漏洞,我們就十分擔心核心數據庫的安危。”該負責人對內網安全管理中遇到的問題進行了詳細解答,同時,他對外網可能遇到未知威脅的攻擊則表現出更大的擔憂。
這份擔憂絕非杞人憂天。在國家互聯網應急中心的安全通告中,政府類網站篡改每月有數百起,并且針對政府類網站后門植入也有所增加。僅在2015年1月,中國境內被篡改網站就多達10455個,其中被篡改政府網站數量為376個;被植入后門的網站數量為3976個,其中政府網站237個。
“看著這些驚人的數據,沒有哪個網站安全管理人員不害怕的。尤其是政府行業的官方網站,如果不按照國家有關要求落實安全管理措施和技術保護措施,導致公民信息大量被竊取、販賣事件發生,豈是‘問責’這么簡單。所以,在現有安全保護技術無法應對未知威脅的情況下,必須尋找一個新的安全加固解決方案。”該負責人非常坦直的講出了網站加固的必要性。
那么問題來了,主機加固技術哪家強?誰的方案又能同時勝任內外網安全防護呢?
“自身免疫”應對零日攻擊,“三權分立”讓網站從容不迫
“浪潮基于SSR產品給出的加固方案完全符合我方的主機安全加固需求,方案中‘自身免疫、三權分立’等核心技術特點,可以有效對抗內外網安全管理中遇到的零日攻擊、網站掛馬威脅。” 該負責人表示在產品選型階段,曾經仔細分析了SSR的工作原理,并給出了上述的評價。
他表示,“浪潮SSR是基于內核加固的,技術理論是從系統底層對操作系統進行加固的解決方案。所以這種加固是從下向上的,你可以把它看成是重寫一遍操作系統代碼。”
在方案確定之后,內江市政務服務中心開始部署浪潮提供的集硬件、操作系統、安全軟件“三位一體”的主機安全方案。而該方案不僅在技術和具體應用方面具有成熟度和可借鑒性,同時更滿足了內江市政務服務中心內外網不同的安全加固需求。
在內網加固方面,SSR實現了病毒、各種惡意代碼去破壞操作系統和關鍵數據的防護,同時還避免了因為“升級外聯”、“補丁安裝”行為可能對業務和關鍵信息產生的二次威脅。由于浪潮SSR采用了強制訪問控制和白名單機制,只允許可信的賬戶和進程訪問被保護資源,并對操作系統中重要二進制文件進行完整性保護。所以管理員只要配置好SSR安全策略,便不再需要針對內網涉密環境開展頻繁的升級、打補丁或手工加固等工作。而系統具備了“免疫”能力之后,便可以對未知威脅、零日攻擊提供有效的保護。
針對發布信息的網上辦公大廳,SSR通過“三權分立”原則迅速提升主機安全等級。首先,把系統管理員、安全管理員和審計管理權限分開,起到相互制約,相互監督的作用。其次,在浪潮工程師的協助下,管理員對網站及應用系統的主要組成文件(ASPX、JSP等文件)及對應進程配置相應策略,確保信息發布人員只能對授權后的程序、目錄和文件訪問,其他方式不能修改、刪除與網站內容相關的文件,防止了網站被非法篡改、被掛馬事件的發生。
而在談到浪潮SSR加固效果的時候,相關技術人員特別提到了SSR的審計功能,他表示,“SSR能夠詳細記錄每一次操作的發起主體、發起時間、操作行為、行為結果以及響應操作的客體等信息,將其匯總記錄成文件并做分類,非常方便我們對攻擊行為的追溯,符合了上級單位對信息系統要求的審計機制。”
“互聯網+”時代,不拼不行
從中央網絡安全和信息化領導小組成立,到十八屆四中全會對網絡空間法治化作出部署,再到中央網信辦等部門開展專項行動,網絡安全達到了從未有過的高度。但近年來,多地的政府網站還是網絡安全事件頻頻出現,這一次次提醒我們,電子政務安全需要“時時、刻刻、處處”提高警惕。
“在‘互聯網+’時代,電子政務不僅不能缺席,還要大力發展,應成為一面旗幟,對互聯網企業和網民起到標桿和引領作用。而通過浪潮SSR部署前后的安全效果對比,讓我們的網絡安全防護能力更有信心,解除了后顧之憂。我相信,互聯網技術突飛猛進的當下,電子政務的發展空間和創新機會將是無限的。”這位負責人不僅對浪潮SSR加固后的效果非常滿意,更表達了我國電子政務在這個新時代的發展渴望。