——內(nèi)江市政務(wù)服務(wù)中心借助浪潮SSR全面提升內(nèi)外網(wǎng)安全防護(hù)能力

　　網(wǎng)絡(luò)安全從無小事，它關(guān)系到“互聯(lián)網(wǎng)+”時(shí)代生態(tài)圈的健康發(fā)展，關(guān)系到國家安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全、社會(huì)公共安全和公民個(gè)人信息安全。因此，維護(hù)好網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)社會(huì)秩序是每個(gè)政府服務(wù)部門的責(zé)任，而最好的“出發(fā)點(diǎn)”，就是從提升自身網(wǎng)絡(luò)信息系統(tǒng)的防護(hù)能力開始。

　　真可謂重任壓肩，各級電子政務(wù)服務(wù)部門不遺余力，紛紛將人力、物力和財(cái)力投入到網(wǎng)絡(luò)安全建設(shè)工作中。其中，內(nèi)外網(wǎng)安全隔離技術(shù)被廣泛使用，并在相當(dāng)一段時(shí)期和環(huán)境下，起到了令人滿意的防護(hù)效果。但安全防護(hù)能力“無上限”，內(nèi)外網(wǎng)安全隔離的應(yīng)用也有“不足”，而這也恰恰是內(nèi)江市政務(wù)服務(wù)中心啟動(dòng)新一輪網(wǎng)絡(luò)安全加固項(xiàng)目的原因。

　　應(yīng)對未知威脅，現(xiàn)有技術(shù)“汲深綆短”

　　“內(nèi)網(wǎng)安全防護(hù)重點(diǎn)是漏洞管理和數(shù)據(jù)訪問控制，防止人為、惡意程序?qū)?shù)據(jù)造成破壞和泄露。而外部的網(wǎng)站，作為發(fā)布紅頭文件和信息服務(wù)平臺，更需要在防篡改、防掛馬、防后門等方面迅速提升能力?！?內(nèi)江市政務(wù)服務(wù)中心相關(guān)負(fù)責(zé)人說。那么，內(nèi)外網(wǎng)的安全防護(hù)為何又分出了側(cè)重點(diǎn)呢？

　　實(shí)際上，我們曾經(jīng)加固過的信息系統(tǒng)，也包括內(nèi)網(wǎng)隔離中的服務(wù)器資源，正因?yàn)楦黝悺奥┒础弊兊貌辉侔踩?。去年，“心臟出血”和“Shellshock”演出了一場場黑色幽默劇，Windows補(bǔ)丁更新已經(jīng)成為常態(tài)、各類應(yīng)用程序和數(shù)據(jù)庫漏洞“每日必達(dá)”，在加上終端和移動(dòng)存儲(chǔ)設(shè)備中隱藏的惡意代碼，都讓江市政務(wù)服務(wù)中心的網(wǎng)絡(luò)管理員付出更多的時(shí)間和精力。

　　“與外網(wǎng)隔離之后，內(nèi)網(wǎng)安全防護(hù)的工作量并沒有減輕，補(bǔ)丁安裝和安全策略的加固，必須要靠手工完成。而我們現(xiàn)有的OA系統(tǒng)和業(yè)務(wù)數(shù)據(jù)又無法實(shí)現(xiàn)分權(quán)訪問和審計(jì)，所以，一旦有終端發(fā)現(xiàn)未能修補(bǔ)最新的漏洞，我們就十分擔(dān)心核心數(shù)據(jù)庫的安危?！痹撠?fù)責(zé)人對內(nèi)網(wǎng)安全管理中遇到的問題進(jìn)行了詳細(xì)解答，同時(shí)，他對外網(wǎng)可能遇到未知威脅的攻擊則表現(xiàn)出更大的擔(dān)憂。

　　這份擔(dān)憂絕非杞人憂天。在國家互聯(lián)網(wǎng)應(yīng)急中心的安全通告中，政府類網(wǎng)站篡改每月有數(shù)百起，并且針對政府類網(wǎng)站后門植入也有所增加。僅在2015年1月，中國境內(nèi)被篡改網(wǎng)站就多達(dá)10455個(gè)，其中被篡改政府網(wǎng)站數(shù)量為376個(gè)；被植入后門的網(wǎng)站數(shù)量為3976個(gè)，其中政府網(wǎng)站237個(gè)。

　　“看著這些驚人的數(shù)據(jù)，沒有哪個(gè)網(wǎng)站安全管理人員不害怕的。尤其是政府行業(yè)的官方網(wǎng)站，如果不按照國家有關(guān)要求落實(shí)安全管理措施和技術(shù)保護(hù)措施，導(dǎo)致公民信息大量被竊取、販賣事件發(fā)生，豈是‘問責(zé)’這么簡單。所以，在現(xiàn)有安全保護(hù)技術(shù)無法應(yīng)對未知威脅的情況下，必須尋找一個(gè)新的安全加固解決方案?！痹撠?fù)責(zé)人非常坦直的講出了網(wǎng)站加固的必要性。

　　那么問題來了，主機(jī)加固技術(shù)哪家強(qiáng)？誰的方案又能同時(shí)勝任內(nèi)外網(wǎng)安全防護(hù)呢？

　　“自身免疫”應(yīng)對零日攻擊，“三權(quán)分立”讓網(wǎng)站從容不迫

　　“浪潮基于SSR產(chǎn)品給出的加固方案完全符合我方的主機(jī)安全加固需求，方案中‘自身免疫、三權(quán)分立’等核心技術(shù)特點(diǎn)，可以有效對抗內(nèi)外網(wǎng)安全管理中遇到的零日攻擊、網(wǎng)站掛馬威脅。” 該負(fù)責(zé)人表示在產(chǎn)品選型階段，曾經(jīng)仔細(xì)分析了SSR的工作原理，并給出了上述的評價(jià)。

　　他表示，“浪潮SSR是基于內(nèi)核加固的，技術(shù)理論是從系統(tǒng)底層對操作系統(tǒng)進(jìn)行加固的解決方案。所以這種加固是從下向上的，你可以把它看成是重寫一遍操作系統(tǒng)代碼?！?/p>

　　在方案確定之后，內(nèi)江市政務(wù)服務(wù)中心開始部署浪潮提供的集硬件、操作系統(tǒng)、安全軟件“三位一體”的主機(jī)安全方案。而該方案不僅在技術(shù)和具體應(yīng)用方面具有成熟度和可借鑒性，同時(shí)更滿足了內(nèi)江市政務(wù)服務(wù)中心內(nèi)外網(wǎng)不同的安全加固需求。

　　在內(nèi)網(wǎng)加固方面，SSR實(shí)現(xiàn)了病毒、各種惡意代碼去破壞操作系統(tǒng)和關(guān)鍵數(shù)據(jù)的防護(hù)，同時(shí)還避免了因?yàn)椤吧壨饴?lián)”、“補(bǔ)丁安裝”行為可能對業(yè)務(wù)和關(guān)鍵信息產(chǎn)生的二次威脅。由于浪潮SSR采用了強(qiáng)制訪問控制和白名單機(jī)制，只允許可信的賬戶和進(jìn)程訪問被保護(hù)資源，并對操作系統(tǒng)中重要二進(jìn)制文件進(jìn)行完整性保護(hù)。所以管理員只要配置好SSR安全策略，便不再需要針對內(nèi)網(wǎng)涉密環(huán)境開展頻繁的升級、打補(bǔ)丁或手工加固等工作。而系統(tǒng)具備了“免疫”能力之后，便可以對未知威脅、零日攻擊提供有效的保護(hù)。

　　針對發(fā)布信息的網(wǎng)上辦公大廳，SSR通過“三權(quán)分立”原則迅速提升主機(jī)安全等級。首先，把系統(tǒng)管理員、安全管理員和審計(jì)管理權(quán)限分開，起到相互制約，相互監(jiān)督的作用。其次，在浪潮工程師的協(xié)助下，管理員對網(wǎng)站及應(yīng)用系統(tǒng)的主要組成文件(ASPX、JSP等文件)及對應(yīng)進(jìn)程配置相應(yīng)策略，確保信息發(fā)布人員只能對授權(quán)后的程序、目錄和文件訪問，其他方式不能修改、刪除與網(wǎng)站內(nèi)容相關(guān)的文件，防止了網(wǎng)站被非法篡改、被掛馬事件的發(fā)生。

　　而在談到浪潮SSR加固效果的時(shí)候，相關(guān)技術(shù)人員特別提到了SSR的審計(jì)功能，他表示，“SSR能夠詳細(xì)記錄每一次操作的發(fā)起主體、發(fā)起時(shí)間、操作行為、行為結(jié)果以及響應(yīng)操作的客體等信息，將其匯總記錄成文件并做分類，非常方便我們對攻擊行為的追溯，符合了上級單位對信息系統(tǒng)要求的審計(jì)機(jī)制。”

　　“互聯(lián)網(wǎng)+”時(shí)代，不拼不行

　　從中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，到十八屆四中全會(huì)對網(wǎng)絡(luò)空間法治化作出部署，再到中央網(wǎng)信辦等部門開展專項(xiàng)行動(dòng)，網(wǎng)絡(luò)安全達(dá)到了從未有過的高度。但近年來，多地的政府網(wǎng)站還是網(wǎng)絡(luò)安全事件頻頻出現(xiàn)，這一次次提醒我們，電子政務(wù)安全需要“時(shí)時(shí)、刻刻、處處”提高警惕。

　　“在‘互聯(lián)網(wǎng)+’時(shí)代，電子政務(wù)不僅不能缺席，還要大力發(fā)展，應(yīng)成為一面旗幟，對互聯(lián)網(wǎng)企業(yè)和網(wǎng)民起到標(biāo)桿和引領(lǐng)作用。而通過浪潮SSR部署前后的安全效果對比，讓我們的網(wǎng)絡(luò)安全防護(hù)能力更有信心，解除了后顧之憂。我相信，互聯(lián)網(wǎng)技術(shù)突飛猛進(jìn)的當(dāng)下，電子政務(wù)的發(fā)展空間和創(chuàng)新機(jī)會(huì)將是無限的?！边@位負(fù)責(zé)人不僅對浪潮SSR加固后的效果非常滿意，更表達(dá)了我國電子政務(wù)在這個(gè)新時(shí)代的發(fā)展渴望。