教育是國(guó)家發(fā)展的基石。教育公平是社會(huì)公平的重要基礎(chǔ)��,也是每一個(gè)普通人追求的目標(biāo)��。隨著互聯(lián)網(wǎng)應(yīng)用的不斷普及���,教育部將越來(lái)越多的業(yè)務(wù)都移到了互聯(lián)網(wǎng)�����。保障考試平臺(tái)的安全就成為了實(shí)現(xiàn)教育公平的重要一部分��。正是基于這樣的考慮����,教育部某考試平臺(tái)通過(guò)浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)(簡(jiǎn)稱(chēng)“浪潮SSR”)進(jìn)行了安全加固���,從服務(wù)器安全入手���,從服務(wù)器最底層建設(shè)可靠的防護(hù)屏障�����,順利達(dá)到了國(guó)家等級(jí)保護(hù)三級(jí)規(guī)范要求�����。
保障教育平臺(tái)穩(wěn)定運(yùn)行 主機(jī)安全成關(guān)鍵
教育部某考試平臺(tái)是對(duì)外提供考試招考指南�����、求學(xué)咨詢(xún)���、網(wǎng)上報(bào)名�����、留學(xué)考試�����、門(mén)戶(hù)信息等業(yè)務(wù)的核心應(yīng)用系統(tǒng)��。該考試平臺(tái)由多臺(tái)前端Web網(wǎng)站和后端數(shù)據(jù)庫(kù)主機(jī)構(gòu)成,實(shí)現(xiàn)了學(xué)員網(wǎng)上報(bào)名����、咨詢(xún)等流程網(wǎng)絡(luò)化、數(shù)據(jù)集中化����。“便捷的考試平臺(tái)需要盡可能實(shí)現(xiàn)公平最大化,一旦數(shù)據(jù)泄露或被篡改�,公平化便會(huì)蕩然無(wú)存。平臺(tái)中觸及到很多與個(gè)人隱私和考試相關(guān)的敏感數(shù)據(jù)信息��,維護(hù)考試平臺(tái)的安全和安穩(wěn)�����,一方面是保障教育部日常業(yè)務(wù)流程的重要需求��,另一方面也是對(duì)人民負(fù)責(zé)��,維護(hù)社會(huì)安穩(wěn)的重要因素�。” 教育部相關(guān)技術(shù)負(fù)責(zé)人表示。
正是基于這樣的考慮��,某考試平臺(tái)在邊界防護(hù)投入巨大����,但卻收效甚微�。具體說(shuō)來(lái)�����,教育部信息部門(mén)部署了防火墻���、IDS��、IPS�、殺毒軟件等安全設(shè)備�����,有效地解決了大部分來(lái)自互聯(lián)網(wǎng)上的安全威脅��,但是卻無(wú)法擋住更具針對(duì)性的滲透入侵�����。一些高級(jí)黑客技術(shù)完全能夠逃避防火墻或者IDS�����、IPS等安全產(chǎn)品的阻攔�,深入到系統(tǒng)中進(jìn)行破壞。另外�����,病毒往往具有高度的隱藏性和免查殺設(shè)計(jì)����,如果防毒軟件的特征碼沒(méi)有在第一時(shí)間更新,便無(wú)法查殺新型或變種病毒���。
另一方面���,來(lái)自?xún)?nèi)部的安全威脅同樣巨大。從系統(tǒng)的布局來(lái)看�����,業(yè)務(wù)內(nèi)網(wǎng)系統(tǒng)多是核心數(shù)據(jù)庫(kù)主機(jī)����,并與外網(wǎng)采用了相關(guān)隔離手段。但是��,內(nèi)部的數(shù)據(jù)需要通過(guò)網(wǎng)絡(luò)或是移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行交換,一旦某臺(tái)主機(jī)感染病毒就可能導(dǎo)致整個(gè)內(nèi)網(wǎng)癱瘓����。另外,內(nèi)部管理員的誤操作行為也是防范重點(diǎn)���,如果出現(xiàn)越權(quán)操作�、惡意攻擊��、非法復(fù)制���,考試平臺(tái)上的機(jī)密信息都有可能造成泄露����。
邊界防護(hù)已經(jīng)下足功夫�,但是為何仍會(huì)出現(xiàn)那么多的安全隱患呢?信息安全的防護(hù)重點(diǎn)應(yīng)該放在哪里?通過(guò)與信息安全專(zhuān)家進(jìn)行深入探討后,教育部信息技術(shù)部門(mén)發(fā)現(xiàn)��,主機(jī)核心層的安全漏洞嚴(yán)重��,這是由于操作系統(tǒng)自身的脆弱性導(dǎo)致��,而這恰恰是外圍所有邊界安全技術(shù)無(wú)法觸及的領(lǐng)域��。
該考試平臺(tái)系統(tǒng)主機(jī)大部分采用Linux和Windows操作系統(tǒng)�����。這些操作系統(tǒng)具有先天的脆弱性��,系統(tǒng)漏洞層出不窮并且危害巨大�����,令人防不勝防��。最近的案例是OpenSSL “心臟出血”漏洞�����,在發(fā)現(xiàn)漏洞之后的兩天內(nèi)��,密歇根大學(xué)的一個(gè)安全研究團(tuán)隊(duì)的數(shù)據(jù)顯示Alexa排名前百萬(wàn)的網(wǎng)站有40 .9%中招����。
一方面,系統(tǒng)“真空期”需要格外重視�����,是安全事故高發(fā)期。從操作系統(tǒng)漏洞從被發(fā)現(xiàn)���,到最后廠(chǎng)商發(fā)布可以穩(wěn)定運(yùn)行的補(bǔ)丁����,一般都有3到6個(gè)月的“真空期”�����,而這段時(shí)間內(nèi)便是操作系統(tǒng)最脆弱的時(shí)期���,最容易被攻破�。另一方面�,系統(tǒng)維護(hù)也存在風(fēng)險(xiǎn)。在Linux和Windows系統(tǒng)中�,超級(jí)用戶(hù)權(quán)限都不受限制,其采用的“用戶(hù)名+口令”的單一認(rèn)證方式無(wú)法有效應(yīng)對(duì)黑客使用暴力破解的攻擊方式���。而在日常維護(hù)方面����,系統(tǒng)人為加固“補(bǔ)丁”更新不及時(shí)。此外����,任何系統(tǒng)管理員或使用人員都不可能對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制有絕對(duì)足夠的掌握�����,配置不當(dāng)也會(huì)造成安全隱患���,這些漏洞給黑客以可乘之機(jī)��。
正是因?yàn)檫@樣的原因�,主機(jī)安全已經(jīng)成為了系統(tǒng)的“致命傷”�����,如何讓安全升級(jí)?考試平臺(tái)經(jīng)過(guò)多方考察和調(diào)研�,采納了信息安全專(zhuān)家組“使用專(zhuān)用產(chǎn)品”加固主機(jī)安全的建議,選擇浪潮SSR進(jìn)行主機(jī)加固���。
內(nèi)核加固 消除黑客生存環(huán)境
“浪潮SSR從內(nèi)核入手進(jìn)行主機(jī)加固���,消除了黑客生存環(huán)境。這與我們之前在邊界部署的安全產(chǎn)品有本質(zhì)區(qū)別。” 教育部相關(guān)技術(shù)負(fù)責(zé)人談到浪潮SSR時(shí)這樣說(shuō)���。浪潮SSR的ROST內(nèi)核加固技術(shù)是消除黑客生存環(huán)境的根本�����。通過(guò)在驅(qū)動(dòng)層加上安全內(nèi)核模塊�,SSR攔截了所有的內(nèi)核訪(fǎng)問(wèn)路徑�����,所有符合考試平臺(tái)規(guī)則的文件�����、注冊(cè)表�、進(jìn)程、服務(wù)����、權(quán)限都予以“放行”,不符合規(guī)則的就進(jìn)行屏蔽�����。這樣做的效果與重構(gòu)操作系統(tǒng)原代碼技術(shù)類(lèi)似,而好處是不會(huì)影響用戶(hù)的業(yè)務(wù)連續(xù)性���,甚至不需要重啟系統(tǒng)�。采用這種方式��,考試平臺(tái)的主機(jī)系統(tǒng)中徹底清除了黑客攻擊�、蠕蟲(chóng)和病毒感染的“生存環(huán)境”���,從源頭上保證了安全性����。
【浪潮SSR內(nèi)核加固技術(shù)實(shí)現(xiàn)原理】
另外���,與考試平臺(tái)部署在邊界的安全產(chǎn)品不同����,浪潮SSR不需要依賴(lài)病毒行為特征庫(kù)來(lái)識(shí)別攻擊�,而是采用白名單防護(hù)技術(shù)。這就把事后“修補(bǔ)”變?yōu)榱藦氐?ldquo;免疫”�,從而進(jìn)一步保證了系統(tǒng)的安全運(yùn)行。
在人員管理方面��,考試平臺(tái)過(guò)去超級(jí)用戶(hù)權(quán)限過(guò)大的問(wèn)題得到完善解決。浪潮SSR采用“三權(quán)分立”機(jī)制�,有效地制約和分散了原有系統(tǒng)管理員的權(quán)限,徹底杜絕了非授權(quán)行為發(fā)生�����,保護(hù)核心數(shù)據(jù)的完整性�����、可用性以及業(yè)務(wù)的連續(xù)性�����,把普通的操作系統(tǒng)從體系上升級(jí)����,使其符合國(guó)家信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)。
結(jié)合業(yè)務(wù)應(yīng)用部署安全策略 浪潮SSR為系統(tǒng)安全升級(jí)
“根據(jù)我們考試平臺(tái)的前端Web網(wǎng)站和后端數(shù)據(jù)庫(kù)主機(jī)的布局特點(diǎn)����,浪潮安全工程師為其專(zhuān)門(mén)定制更精細(xì)化的SSR防護(hù)策略,達(dá)到了非常理想的效果����。” 教育部相關(guān)技術(shù)負(fù)責(zé)人說(shuō)��。
具體說(shuō)來(lái)�����,用戶(hù)在考試平臺(tái)DMZ區(qū)域的Web網(wǎng)站主機(jī)上部署SSR�,對(duì)Web目錄的訪(fǎng)問(wèn)權(quán)限����、進(jìn)程權(quán)限以及網(wǎng)站腳本文件的訪(fǎng)問(wèn)權(quán)限進(jìn)行限制。同時(shí)�,配合防火墻等技術(shù)形成全面立體的防護(hù)�,既能防止SQL注入攻擊、DDoS攻擊等攻擊行為����,又能防止基于系統(tǒng)內(nèi)核層的攻擊、后門(mén)攻擊等非法篡改網(wǎng)站的行為�����。
【教育部某考試平臺(tái)主機(jī)安全加固部署示意圖】
針對(duì)內(nèi)網(wǎng)的數(shù)據(jù)庫(kù)服務(wù)器和Linux集群主機(jī)����,考試平臺(tái)通過(guò)浪潮SSR對(duì)數(shù)據(jù)庫(kù)文件��、進(jìn)程的權(quán)限對(duì)應(yīng)配置策略�����,并對(duì)Linux操作系統(tǒng)底層進(jìn)行加固��,采用“三權(quán)分立”機(jī)制�,有效防止了因?yàn)槿藛T操作而產(chǎn)生的風(fēng)險(xiǎn)�。
“在實(shí)際使用中,浪潮SSR不僅使得我們系統(tǒng)的安全性得到大幅提升�,符合國(guó)家信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)。而且絲毫沒(méi)有對(duì)業(yè)務(wù)系統(tǒng)造成負(fù)擔(dān)�����,在完全開(kāi)啟浪潮SSR防護(hù)功能對(duì)系統(tǒng)平均性能損失控制在2%以?xún)?nèi)��,達(dá)到了效率與安全共存的目標(biāo)���。” 教育部相關(guān)技術(shù)負(fù)責(zé)人說(shuō)����。
教育在互聯(lián)網(wǎng)時(shí)代被創(chuàng)造出新的形式����,網(wǎng)絡(luò)為實(shí)現(xiàn)教育公平創(chuàng)造了可能���。在為受教育者提供信息資源共享和服務(wù)的同時(shí),保障網(wǎng)絡(luò)平臺(tái)的穩(wěn)定性和安全性就顯得尤為重要��,而在這個(gè)過(guò)程中�����,主機(jī)安全就是重中之重���,浪潮SSR為守護(hù)主機(jī)安全開(kāi)拓了一條可行之路����,協(xié)助教育公平更快實(shí)現(xiàn)����。
