政府行業(yè)網(wǎng)站，已經(jīng)成為了遭遇黑客攻擊的“重災區(qū)”。從國家互聯(lián)網(wǎng)信息辦公室披露的消息中可以看到，中國是遭受網(wǎng)絡攻擊的嚴重受害國，每個月有1萬多個網(wǎng)站被篡改，80%的政府網(wǎng)站都受到過攻擊。

　　在“非法入侵、高額回報”的利益驅使下，黑客對政府行業(yè)網(wǎng)站的攻擊愈演愈烈，采用最有效的防護手段防止網(wǎng)站控制權被盜、防止被掛馬、防止數(shù)據(jù)泄露事件發(fā)生，已經(jīng)迫在眉睫。那么，江蘇省的這家政府網(wǎng)站安全又是如何將“防微杜漸，主動出擊”的指導思想落實下去的呢？

　　政府網(wǎng)站安全的“內憂外患”

　　對于政府信息化工作而言，官方網(wǎng)站漸漸成為了履行職能與改革創(chuàng)新的重要抓手。據(jù)了解，“網(wǎng)上政務”已經(jīng)成為了各級政府單位提升服務能力的關鍵詞之一，相關領導曾表示：“將政務公開、民意反饋與互聯(lián)網(wǎng)開放、互動、便捷特點有機結合，通過網(wǎng)絡平臺，架設起多元溝通交流渠道。這樣才能凝聚智慧力量更加廣泛，反映群眾訴求更加快捷，釋疑解惑更加貼心有效，從而擴大團結面，增強包容性，促進黨政部門科學民主決策。”

　　但是，目前的情況是，經(jīng)濟利益誘惑和政治利益的誘惑，讓政府網(wǎng)站的安全管理難度加大。通過媒體報道可以了解到，被盜取的網(wǎng)站管理權限、數(shù)據(jù)，可以換取不菲的經(jīng)濟回報，而帶著政治破壞目的的境外雇傭黑客團體，長期對政府網(wǎng)站的漏洞掃描與入侵從未停止過。

　　媒體報道，黑客對政府行業(yè)網(wǎng)站的攻擊愈演愈烈

　　目前，隨著網(wǎng)絡應用快速發(fā)展，網(wǎng)絡安全問題對國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定和公眾利益都提出了嚴重挑戰(zhàn)。國家互聯(lián)網(wǎng)應急中心監(jiān)測發(fā)現(xiàn)，僅2014年上半年，中國境內625萬臺電腦感染了木馬病毒；境外的1.9萬臺主機，控制了我國境內619萬臺電腦。而政府類網(wǎng)站更是成為了黑客的首要攻擊目標，有些黑客組織以“拿下”政府相關網(wǎng)站自我標榜，但還有一些則是受雇于境外反動勢力或是恐怖組織。

　　“通過去年首屆國家網(wǎng)絡安全宣傳周的報道，政府網(wǎng)站頻繁遭遇境外黑客攻擊方面的信息被廣泛傳播，公眾知曉度也很高，但很多人不清楚，在某些不法分子手中，政府網(wǎng)站管理權限已經(jīng)變成他們掙錢的工具?！痹摼W(wǎng)站相關工作人員介紹。

　　互聯(lián)網(wǎng)安全的大環(huán)境一時很難改變，因此“亡羊補牢，不如未雨綢繆”的道理，才顯得如此重要。為此，政府網(wǎng)站的安全防護能力亟需提升，一是要對網(wǎng)站的公眾服務提供可信、可靠的保障，二是要執(zhí)行“防微杜漸，主動出擊”的規(guī)劃設計，三是要落實上級單位制定的網(wǎng)站安全管理責任。

　　浪潮ssr緊鎖“控制權”，將網(wǎng)站安全責任落實到位

　　“我們在網(wǎng)絡安全管理上的投入不遺余力，防火墻、入侵檢測系統(tǒng)、防病毒、內容過濾產(chǎn)品可謂層層設防，但即便如此，我們對網(wǎng)站安全的擔憂并沒有減輕?！痹诓渴鹆硕鄠€網(wǎng)絡安全產(chǎn)品后，網(wǎng)站管理者的顧慮反而加重了。

　　掌握“網(wǎng)站控制權”是這家政府網(wǎng)站安全管理的主要訴求，“圍繞這一訴求，我們開始尋找相應的解決方案，浪潮的解決方案與我們的訴求非常契合?！边@位工作人員介紹說。在接觸的過程中，浪潮工程師在主機安全加固解決方案能夠幫助用戶實現(xiàn)對網(wǎng)站控制權的充分掌控。這也是浪潮srr在后續(xù)具體實施、運行保障和實際效果驗證的重要前提。那么，浪潮的方案又是如何緊扣這個主題呢？

　　浪潮ssr“三權分立”，牢牢鎖住網(wǎng)站控制權

　　浪潮ssr采用了“三權分立”機制，把系統(tǒng)管理員、安全管理員和審計管理權限分開，系統(tǒng)管理員能做的事情由安全管理員分配，安全管理員無法直接對系統(tǒng)操作，而審計管理員對前兩者進行完整操作記錄，確保操作系統(tǒng)管理員權限被獲取也無法對操作系統(tǒng)造成破壞。

　　“三權分立，讓我們眼前一亮，這是落實等級保護要求、落實公安部門對網(wǎng)站開辦單位安全管理責任要求的重要支撐。”網(wǎng)站運維技術人員看準了浪潮srr的亮點，他表示，“與核心需求緊密結合是我們最終選擇浪潮srr的原因，在后續(xù)的運行保護階段也證明了這一點，而其從底層加固的方式，更讓我們在操作系統(tǒng)和應用程序漏洞管理方面上了一個臺階?！?/p>

　　內核加固“防掛馬”，非法訪問duang的一下堵住了

　　在網(wǎng)站保護運行階段，“三權分立”不僅有效防止了因超級管理員權限丟失的風險，浪潮ssr還對服務器上的機密數(shù)據(jù)執(zhí)行了嚴格保護，阻止一切非授權程序和用戶的訪問，避免數(shù)據(jù)庫被黑客、木馬程序非法訪問行為的發(fā)生。同時，從內核開始到web應用，逐層向上的保護機制，更為該政府單位的門戶網(wǎng)站系統(tǒng)實現(xiàn)了防中斷、防注入的完善保護，保障了官網(wǎng)不被非法篡改，防止了網(wǎng)頁被“掛馬”事件的發(fā)生。

　　浪潮ssr采用了先進的rost(內核加固技術)通過對操作系統(tǒng)的內核驅動層加上安全內核模塊，使用強制訪問控制規(guī)則庫。正是這種讓任何操作都成為必須符合規(guī)則的傳遞方式，才真正阻斷了“掛馬”行為的攻擊路徑。

　　對于浪潮srr加固服務器的效果，網(wǎng)站運維技術人員和相關領導都非常滿意，一位技術人員表示：“之前，我們?yōu)榱朔乐购诳腿肭?，需要對服務器操作系統(tǒng)進行一層一層的加固，有外圍的安全設備疊加、有主機內部繁瑣的安全策略加固?？梢挥忻襟w曝光最新的漏洞，等待廠商補丁的時間真是一種煎熬，不能停網(wǎng)站，又沒有很好的防護手段。但在采用浪潮srr之后的效果截然不同，用現(xiàn)在流行語就是‘duang’的一下把非法訪問路徑堵住了?！?/p>

　　浪潮ssr采用的加固方法，實現(xiàn)效果和重構操作系統(tǒng)源代碼技術一樣，能實現(xiàn)真正的強制訪問控制，這個技術不僅不會影響客戶的業(yè)務連續(xù)性，更能有效的防治零日威脅。另外，在白名單機制下，針對網(wǎng)站的存儲web目錄訪問和數(shù)據(jù)庫，只有經(jīng)過安全管理員授權才能“放行”，而即使黑客獲得系統(tǒng)管理員權限，往web目錄下寫入木馬程序也是徒勞的，從而實現(xiàn)了防止網(wǎng)站被篡改、被掛馬、被控制的目的。

　　安全是網(wǎng)站平臺發(fā)展的基礎，雖然黑客的攻擊行為不會因為安裝了什么加固系統(tǒng)而停止，但只有主動防御體系的形成，才能讓政府行業(yè)網(wǎng)站平臺的職能擴展不會隨時擔心“后院起火”。而在本文中，這家政府網(wǎng)站采用浪潮ssr形成的主動防御架構，在“互聯(lián)網(wǎng)安全”成為熱詞的當下，無疑顯得十分到位。