導(dǎo)讀:主機(jī)通常服務(wù)于企業(yè)的核心業(yè)務(wù)系統(tǒng)����,如何保證關(guān)鍵數(shù)據(jù)不丟失����、全年業(yè)務(wù)不中斷,是主機(jī)系統(tǒng)的終極使命��,因此主機(jī)系統(tǒng)的安全至關(guān)重要���。正是意識(shí)到這一點(diǎn)��,中國最大的水電上市公司——中國長(zhǎng)江電力股份有限公司(簡(jiǎn)稱“長(zhǎng)江電力”)為保障葛洲壩���、三峽工程等重點(diǎn)項(xiàng)目發(fā)電機(jī)組運(yùn)行數(shù)據(jù)的安全,采用了浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)對(duì)AIX操作系統(tǒng)和Oracle RAC數(shù)據(jù)庫進(jìn)行安全加固����,從主機(jī)核心層構(gòu)筑安全,時(shí)刻保證長(zhǎng)江電力生產(chǎn)管理系統(tǒng)(ePMS)等關(guān)鍵應(yīng)用的順暢運(yùn)行��。
信息安全不容“死角”
長(zhǎng)江電力主要從事水力發(fā)電業(yè)務(wù),是目前中國最大的水電上市公司����,公司擁有葛洲壩電站及三峽電站全部發(fā)電機(jī)組,受托運(yùn)行管理規(guī)模在世界前十大水電站之列的溪洛渡和向家壩電站��。截至2013年12月31日��,公司總裝機(jī)容量為2527.7萬千瓦��,為中國經(jīng)濟(jì)發(fā)展做出了重要貢獻(xiàn)���。僅以長(zhǎng)江電力下屬的三峽電站為例��,三峽供電滿足了華南���、西南、華中等地的大部分用電需求���,供電區(qū)域GDP約占全國的54%���,惠及人口達(dá)6.7億;而整個(gè)長(zhǎng)江電力公司的供電區(qū)域和覆蓋人口更為龐大。對(duì)于長(zhǎng)江電力來說���,如何保證電力生產(chǎn)和供應(yīng)已經(jīng)不僅關(guān)系著企業(yè)的經(jīng)營收入,更關(guān)系著千萬家企業(yè)的工業(yè)用電和上億個(gè)家庭的生活用電保障�����,責(zé)任重于泰山��。
為保障電力生產(chǎn)和運(yùn)行����,長(zhǎng)江電力早在2002年開始電力信息化建設(shè),部署了電力生產(chǎn)管理信息系統(tǒng)(ePMS)�。ePMS系統(tǒng)是一個(gè)集成的、分模塊的系統(tǒng)�����,但模塊之間是密切相關(guān)的��,設(shè)備���、維修��、庫存��、采購���、分析等一環(huán)扣一環(huán)�。同時(shí)�����,ePMS系統(tǒng)作為一個(gè)閉環(huán)系統(tǒng)�����,又可分為三個(gè)層次:維修規(guī)劃����、維修處理和維修分析。ePMS系統(tǒng)在緊密圍繞電廠設(shè)備維修管理和設(shè)備運(yùn)行管理的核心業(yè)務(wù)主線的基礎(chǔ)上�����,拓展到設(shè)備安全管理���、可靠性管理�����、員工績(jī)效考核以及財(cái)務(wù)預(yù)算控制與財(cái)務(wù)成果分析����。因?yàn)槠湎到y(tǒng)復(fù)雜度較高�����,且包含八大子系統(tǒng)�����,三個(gè)層次�����。若其中一個(gè)子系統(tǒng)出現(xiàn)問題�����,給長(zhǎng)江電力ePMS系統(tǒng)帶來的將是系統(tǒng)連動(dòng)的停滯����,甚至對(duì)整個(gè)公司業(yè)務(wù)產(chǎn)生較大的影響�����。除ePMS系統(tǒng)以外�,長(zhǎng)江電力還部署了辦公自動(dòng)化系統(tǒng)(EIIS)�����、全面預(yù)算管理信息系統(tǒng)(CBMS)���、大型企業(yè)B2B電子商務(wù)采購平臺(tái)���,多平臺(tái)運(yùn)行更是增加了安全防護(hù)的復(fù)雜度。
目前��,面臨復(fù)雜�、惡劣的網(wǎng)絡(luò)環(huán)境,由于長(zhǎng)江電力信息系統(tǒng)復(fù)雜度較高�,子系統(tǒng)眾多,且相互依賴性極高���,若其中一個(gè)子系統(tǒng)出現(xiàn)病毒或黑客入侵問題�,會(huì)給長(zhǎng)江電力關(guān)鍵業(yè)務(wù)系統(tǒng)帶來聯(lián)動(dòng)性停滯���。
對(duì)此��,長(zhǎng)江電力信息部門負(fù)責(zé)人表示:“我公司參與了國內(nèi)許多重大科技創(chuàng)新項(xiàng)目和電力樞紐建設(shè)����,這些項(xiàng)目中運(yùn)轉(zhuǎn)的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)關(guān)乎民生,因此其安全性等級(jí)相對(duì)于其他行業(yè)更高��。如果因外部人員竊取���,或內(nèi)部人員誤操作造成數(shù)據(jù)丟失、非法修改等問題����,將會(huì)給公司甚至我國的電力行業(yè)造成無法彌補(bǔ)的損失。因此�,我們力求信息安全架構(gòu)的全面性、完整性和有效性�����,絕不能容忍‘死角’產(chǎn)生���。”
長(zhǎng)江電力對(duì)信息安全的擔(dān)憂并非空穴來風(fēng)�。如今,由信息系統(tǒng)實(shí)現(xiàn)自動(dòng)化控制的電力行業(yè)���,已成為“超級(jí)黑客”的攻擊目標(biāo)���。2014年7月,上千家歐美電力和能源公司曾被一種名為“能源之熊”的電腦病毒侵襲��,其結(jié)果是黑客掌握了對(duì)電廠進(jìn)行遠(yuǎn)程控制的能力���。這種病毒在入侵廠家的電腦控制系統(tǒng)后�����,既可讓黑客遠(yuǎn)程監(jiān)控各地的實(shí)時(shí)能源消費(fèi)情況�,又能輕松通過輸入命令代碼讓發(fā)電系統(tǒng)發(fā)生故障��,甚至全面癱瘓�����。過去18個(gè)月來�����,已有84個(gè)國家的1000多個(gè)發(fā)電站感染上述病毒。而葛洲壩電站����、三峽電站皆是我國極為重要的能源樞紐,負(fù)責(zé)連接?xùn)|西�����、縱貫?zāi)媳��,一旦上述網(wǎng)絡(luò)安全入侵事故��,影響的絕非區(qū)域性停電的“小事”�。
主機(jī)安全才是“治本”
信息安全的最核心的地方在哪里?“物必先腐也���,而后蟲生之”,最堅(jiān)固的堡壘往往是從內(nèi)部被攻破的�����。信息系統(tǒng)安全同樣如此��,長(zhǎng)江電力ePMS等電力信息化系統(tǒng)的數(shù)據(jù)都保存在主機(jī)系統(tǒng)中��,主機(jī)安全至關(guān)重要。
長(zhǎng)江電力過去采用傳統(tǒng)的主機(jī)安全措施是通過手工加固的方式提高操作系統(tǒng)安全�。通過修改操作系統(tǒng)或者應(yīng)用軟件自身的安全策略來提升系統(tǒng)的安全性,比如修改系統(tǒng)組策略�,劃分更細(xì)的權(quán)限,降低應(yīng)用軟件的運(yùn)行權(quán)限等���。手動(dòng)安全加固雖然可以暫時(shí)消除系統(tǒng)的安全隱患����,但這種加固方法卻有著明顯的弱點(diǎn)���。比如:專業(yè)性強(qiáng)���、費(fèi)用高、周期長(zhǎng)�����、時(shí)間局限明顯等等����,無法長(zhǎng)期有效的解決系統(tǒng)的安全問題。值得注意的是,所有手工加固都是基于系統(tǒng)管理員的基礎(chǔ)來配置的�,這也就是說管理員可以自行加固也可以自行取消,安全策略的有效性得不到審計(jì)���,一旦黑客獲取系統(tǒng)管理員權(quán)限���,所有的安全策略都會(huì)失效,因此達(dá)不到強(qiáng)制訪問控制的功能�����。
那么�,能否為服務(wù)器和操作系統(tǒng)加裝“防護(hù)罩”,實(shí)現(xiàn)“自動(dòng)”����、“主動(dòng)”的防護(hù),對(duì)黑客和病毒免疫�����,為ePMS等關(guān)鍵應(yīng)用形成安全穩(wěn)定的運(yùn)行環(huán)境呢���?
經(jīng)過對(duì)長(zhǎng)江電力IT系統(tǒng)的系統(tǒng)評(píng)估,浪潮信息安全專家提供了長(zhǎng)江電力主機(jī)安全解決方案��。該方案涵蓋了先進(jìn)的SSR操作系統(tǒng)增強(qiáng)系統(tǒng),并基于浪潮ROST(內(nèi)核加固)技術(shù)對(duì)長(zhǎng)江電力的操作系統(tǒng)“自動(dòng)”進(jìn)行加固���。SSR實(shí)現(xiàn)原理是通過對(duì)文件��、目錄�����、進(jìn)程���、注冊(cè)表和服務(wù)的強(qiáng)制訪問控制,有效的制約和分散了原有系統(tǒng)管理員的權(quán)限,綜合了對(duì)文件和服務(wù)的完整性檢測(cè)�����、防緩沖區(qū)溢出等功能��,能夠把普通的操作系統(tǒng)從體系上升級(jí)���,使其符合國家信息安全等級(jí)保護(hù)服務(wù)器操作系統(tǒng)安全的三級(jí)標(biāo)準(zhǔn)�����。而針對(duì)Oracle數(shù)據(jù)庫和前臺(tái)Web主機(jī)中的文件���、進(jìn)程��,浪潮SSR通過MD5和RC2算法�,確保了數(shù)據(jù)校驗(yàn)結(jié)果的唯一性��,堵住了非法用戶或惡意程序更改數(shù)據(jù)文件內(nèi)容的可能���。
這一優(yōu)勢(shì)能為長(zhǎng)江電力帶來很大價(jià)值�����,能夠避免傳統(tǒng)手工防護(hù)所造成的人力�、時(shí)間���、財(cái)力等的大量消耗����,顯著降低TCO����。
而且,浪潮以SSR為核心的主機(jī)安全解決方案還可以和長(zhǎng)江電力現(xiàn)有的網(wǎng)絡(luò)層防護(hù)產(chǎn)品形成“互補(bǔ)”���。防火墻等傳統(tǒng)型防護(hù)產(chǎn)品屬于這些網(wǎng)絡(luò)層的產(chǎn)品��,主要通過阻斷端口或者協(xié)議包的方式來保護(hù)主機(jī)�,其防護(hù)方向主要是來自外網(wǎng)的攻擊���。而浪潮SSR位于系統(tǒng)層����,通過強(qiáng)制訪問控制策略來保護(hù)系統(tǒng)����,這使得長(zhǎng)江電力的主機(jī)安全實(shí)現(xiàn)了“既防外網(wǎng),又控內(nèi)網(wǎng)”的全新保護(hù)框架�。
自動(dòng)、主動(dòng)防護(hù)
長(zhǎng)江電力在對(duì)關(guān)鍵業(yè)務(wù)運(yùn)行環(huán)境調(diào)研后��,在運(yùn)行AIX操作系統(tǒng)的服務(wù)器�,以及Oracle RAC集群節(jié)點(diǎn)的主機(jī)上部署了浪潮SSR企業(yè)版,對(duì)主機(jī)上的ePMS系統(tǒng)以及Oracle服務(wù)進(jìn)程���、注冊(cè)表等進(jìn)行安全防護(hù)�,實(shí)現(xiàn)了病毒免疫,防止了各種因?yàn)檠a(bǔ)丁因素造成的應(yīng)用停擺問題��。同時(shí)���,對(duì)其門戶網(wǎng)站文件進(jìn)行安全防護(hù)����,通過SSR文件完整性校驗(yàn)功能�����,以及實(shí)時(shí)監(jiān)控功能���,保證了網(wǎng)站系統(tǒng)的安全性����、關(guān)鍵文件的完整性����。
長(zhǎng)江電力信息部門管理層表示:“作為國家重點(diǎn)安全防護(hù)的重要領(lǐng)域,長(zhǎng)江電力所處行業(yè)的特殊性����,決定著信息部門需要發(fā)揮一切潛能�����,不僅需要分析出問題產(chǎn)生的原因,更需要找到解決問題的辦法��。因此����,在修煉內(nèi)功的同時(shí),借助外力不可或缺����。在我方遇到手動(dòng)操作系統(tǒng)加固技術(shù)瓶頸時(shí),浪潮的主機(jī)安全解決方案幫助我們實(shí)現(xiàn)了“自動(dòng)”����、“主動(dòng)”防護(hù),免疫了病毒����、蠕蟲、黑客攻擊等針對(duì)主機(jī)的攻擊行為����,在一定程度上促使長(zhǎng)江電力完成信息安全水平的進(jìn)階和提升����。”
