最近幾年，某省政府采購(gòu)辦的門(mén)戶網(wǎng)站多次遭到黑客攻擊、后臺(tái)服務(wù)器操作系統(tǒng)被攻破，超級(jí)管理員權(quán)限被破解，同時(shí)網(wǎng)絡(luò)監(jiān)聽(tīng)WEB服務(wù)器上數(shù)據(jù)，致使大量項(xiàng)目采購(gòu)信息泄露，給采購(gòu)辦工作的正常運(yùn)轉(zhuǎn)帶來(lái)巨大挑戰(zhàn)。最嚴(yán)重的一次，黑客入侵后更改了招標(biāo)信息，導(dǎo)致招投標(biāo)活動(dòng)被迫延遲，給政府形象帶來(lái)非常大的負(fù)面影響。

令采購(gòu)辦不解的是，目前信息系統(tǒng)中已經(jīng)部署了防火墻、IPS、殺毒軟件等較為全面的信息安全防護(hù)措施，為何系統(tǒng)仍然能被攻破?為此，采購(gòu)辦與浪潮集團(tuán)信息安全應(yīng)急小組取得聯(lián)系，要求對(duì)其系統(tǒng)安全性進(jìn)行全面評(píng)估。經(jīng)過(guò)系統(tǒng)的診斷分析后發(fā)現(xiàn)，目前采購(gòu)辦信息系統(tǒng)中所采用的所有安全產(chǎn)品完全基于特征庫(kù)/病毒庫(kù)進(jìn)行安全防護(hù)，針對(duì)于來(lái)自于互聯(lián)網(wǎng)上的常規(guī)攻擊形式及病毒騷擾有很強(qiáng)的防御能力。然而面對(duì)病毒變種或rootkit級(jí)的黑客工具，尤其經(jīng)過(guò)特殊處理的“免殺”木馬，無(wú)法做到有效的攔截。對(duì)于發(fā)生在內(nèi)網(wǎng)的攻擊行為，更是缺乏有效的抵御。所以一旦發(fā)生上述針對(duì)內(nèi)部網(wǎng)站服務(wù)的攻擊時(shí)，所有外部的防護(hù)設(shè)備都形同虛設(shè)，直接考驗(yàn)操作系統(tǒng)的健壯性與防御能力。

信息安全建設(shè)是一個(gè)整體防護(hù)工程，一般圍繞基礎(chǔ)物理層、制度管理層、邊界網(wǎng)絡(luò)層、業(yè)務(wù)應(yīng)用層以及操作系統(tǒng)層面5個(gè)層面進(jìn)行建設(shè)。在信息化安全建設(shè)的初期，大部分的信息主管部門(mén)往往只關(guān)注物理層、網(wǎng)絡(luò)層、業(yè)務(wù)應(yīng)用層的安全規(guī)劃及建設(shè)，而忽略了最關(guān)鍵的操作系統(tǒng)的安全問(wèn)題。導(dǎo)致這一局面出現(xiàn)的原因，一方面在于國(guó)產(chǎn)操作系統(tǒng)的欠缺，另一方面對(duì)操作系統(tǒng)的安全性也缺乏安全意識(shí)。

從重要性上來(lái)看，操作系統(tǒng)是信息化建設(shè)的基石之一，應(yīng)用系統(tǒng)及產(chǎn)生的數(shù)據(jù)都存在于由操作系統(tǒng)所搭建的計(jì)算環(huán)境中�，F(xiàn)階段我國(guó)使用的操作系統(tǒng)基本來(lái)自于國(guó)外引進(jìn)，像微軟等操作系統(tǒng)廠家出口給中國(guó)的操作系統(tǒng)，在等級(jí)分類(lèi)上都屬于低安全等級(jí)的產(chǎn)品。中國(guó)政府已經(jīng)意識(shí)到操作系統(tǒng)的重要性，5月16日，中國(guó)政府采購(gòu)網(wǎng)發(fā)布《關(guān)于進(jìn)行信息類(lèi)協(xié)議供貨強(qiáng)制節(jié)能產(chǎn)品補(bǔ)充招標(biāo)的通知》規(guī)范政府采購(gòu)行為，要求所有計(jì)算機(jī)類(lèi)產(chǎn)品不允許安裝Windows 8操作系統(tǒng)，清晰表明操作系統(tǒng)已經(jīng)作為重點(diǎn)監(jiān)控指標(biāo)被納入政府信息安全建設(shè)體系之中。

浪潮于2013年底發(fā)布了國(guó)內(nèi)首個(gè)集硬件、操作系統(tǒng)、安全軟件“三位一體”的主機(jī)安全方案，填補(bǔ)了我國(guó)在主機(jī)安全領(lǐng)域的空白。其中，作為安全軟件環(huán)節(jié)的核心，浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)是一款針對(duì)于服務(wù)器操作系統(tǒng)內(nèi)核層面的安全加固產(chǎn)品，它采用主動(dòng)防御模式，將原操作系統(tǒng)廠商的安全防護(hù)控制模型接管，讓用戶從根本上對(duì)服務(wù)器的安全性做到自主可控。

四重防護(hù) 打造“黑客禁區(qū)”

某省政府采購(gòu)辦在意識(shí)到操作系統(tǒng)層面存在安全隱患后，部署了浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)，其強(qiáng)制訪問(wèn)控制功能保證了文件的保密性、完整性、可用性，使重要網(wǎng)站系統(tǒng)和操作系統(tǒng)文件得到充分的保護(hù)，同時(shí)保證了權(quán)限最小化、降低了用戶權(quán)限擴(kuò)散的風(fēng)險(xiǎn)、避免了惡意提權(quán)的發(fā)生。此外，SSR特別的審計(jì)功能，能夠詳細(xì)記錄每一次操作的發(fā)起主體、發(fā)起時(shí)間、操作行為、行為結(jié)果以及響應(yīng)操作的客體等信息，將其匯總記錄成文件并做分類(lèi)，方便攻擊行為的追溯審查機(jī)制。

浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)解決方案

浪潮SSR部署完成后，通過(guò)四重防護(hù)體系的構(gòu)建，使得某省政府采購(gòu)辦信息系統(tǒng)實(shí)現(xiàn)了主動(dòng)防御，符合國(guó)家信息安全等級(jí)化保護(hù)三級(jí)標(biāo)準(zhǔn)要求。更重要的，浪潮SSR針對(duì)關(guān)鍵文件及信息的主動(dòng)防護(hù)，實(shí)現(xiàn)了非法人員“進(jìn)不來(lái)、拿不走、改不了、賴不掉”，從根本上免疫針對(duì)操作系統(tǒng)的已知及未知的病毒破壞及黑客攻擊。

網(wǎng)站文件、進(jìn)程保護(hù)——通過(guò)文件與進(jìn)程強(qiáng)制訪問(wèn)控制模塊配置應(yīng)用發(fā)布的主文件目錄，使該網(wǎng)站目錄不會(huì)被惡意修改、刪除，應(yīng)用的進(jìn)程不會(huì)被終止，網(wǎng)站業(yè)務(wù)系統(tǒng)的連續(xù)性得到了保障。對(duì)網(wǎng)站及應(yīng)用系統(tǒng)的主要組成文件(ASPX、JSP等文件)及對(duì)應(yīng)進(jìn)程配置相應(yīng)策略，保證僅有負(fù)責(zé)應(yīng)用發(fā)布的應(yīng)用進(jìn)程對(duì)其目錄與文件有正常訪問(wèn)權(quán)限，其他方式不能修改、刪除與網(wǎng)站內(nèi)容相關(guān)的文件，防止網(wǎng)站被非法篡改。

數(shù)據(jù)庫(kù)保護(hù)——保護(hù)數(shù)據(jù)庫(kù)的安裝目錄不能被修改、刪除，應(yīng)用的進(jìn)程不能被惡意終止。數(shù)據(jù)庫(kù)可以正常運(yùn)行，同時(shí)其連續(xù)性得到了保障。有效防止數(shù)據(jù)庫(kù)被非法利用。

操作系統(tǒng)系統(tǒng)防護(hù)——保護(hù)操作系統(tǒng)注冊(cè)表核心鍵值不能被修改、刪除，不允許修改本地安全策略和組策略;保護(hù)操作系統(tǒng)的核心組成文件的權(quán)限分配最小化，除能保證操作系統(tǒng)啟停、運(yùn)行等必須的行為之外，其他有安全威脅的操作行為都被拒絕;保護(hù)操作系統(tǒng)進(jìn)程的可用性、可信性，拒絕除能保證操作系統(tǒng)、應(yīng)用系統(tǒng)正常運(yùn)行之外的其他非授權(quán)進(jìn)程的加載;保護(hù)操作系統(tǒng)的服務(wù)完整性，拒絕除SSR允許范圍之外的一切增加、刪除、修改服務(wù)的行為的執(zhí)行;

浪潮SSR防護(hù)——保護(hù)浪潮SSR自身安全，安裝目錄不能被修改、刪除，進(jìn)程不會(huì)被惡意終止，浪潮SSR調(diào)用的注冊(cè)表鍵值不能被修改、刪除。

通過(guò)浪潮ssr操作系統(tǒng)安全增強(qiáng)系統(tǒng)的加載，相當(dāng)于改變了現(xiàn)有進(jìn)口操作系統(tǒng)產(chǎn)品的安全訪問(wèn)控制模型，能夠在系統(tǒng)的底層實(shí)現(xiàn)訪問(wèn)的安全審查，杜絕非授權(quán)行為對(duì)操作系統(tǒng)可能帶來(lái)的破壞和影響;改變了原操作系統(tǒng)一權(quán)獨(dú)大，攻擊一點(diǎn)即動(dòng)全身的安全脆弱點(diǎn);使中國(guó)用戶在使用洋操作系統(tǒng)的時(shí)候擁有了一把中國(guó)鎖。