教育是國家發(fā)展的基石。教育公平是社會公平的重要基礎(chǔ),也是每一個(gè)普通人追求的目標(biāo)。隨著互聯(lián)網(wǎng)應(yīng)用的不斷普及,教育部將越來越多的業(yè)務(wù)都移到了互聯(lián)網(wǎng)。保障考試平臺的安全就成為了實(shí)現(xiàn)教育公平的重要一部分。正是基于這樣的考慮,教育部某考試平臺通過浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)(簡稱“浪潮SSR”)進(jìn)行了安全加固,從服務(wù)器安全入手,從服務(wù)器最底層建設(shè)可靠的防護(hù)屏障,順利達(dá)到了國家等級保護(hù)三級規(guī)范要求。
保障教育平臺穩(wěn)定運(yùn)行 主機(jī)安全成關(guān)鍵
教育部某考試平臺是對外提供考試招考指南、求學(xué)咨詢、網(wǎng)上報(bào)名、留學(xué)考試、門戶信息等業(yè)務(wù)的核心應(yīng)用系統(tǒng)。該考試平臺由多臺前端Web網(wǎng)站和后端數(shù)據(jù)庫主機(jī)構(gòu)成,實(shí)現(xiàn)了學(xué)員網(wǎng)上報(bào)名、咨詢等流程網(wǎng)絡(luò)化、數(shù)據(jù)集中化。“便捷的考試平臺需要盡可能實(shí)現(xiàn)公平最大化,一旦數(shù)據(jù)泄露或被篡改,公平化便會蕩然無存。平臺中觸及到很多與個(gè)人隱私和考試相關(guān)的敏感數(shù)據(jù)信息,維護(hù)考試平臺的安全和安穩(wěn),一方面是保障教育部日常業(yè)務(wù)流程的重要需求,另一方面也是對人民負(fù)責(zé),維護(hù)社會安穩(wěn)的重要因素。” 教育部相關(guān)技術(shù)負(fù)責(zé)人表示。
正是基于這樣的考慮,某考試平臺在邊界防護(hù)投入巨大,但卻收效甚微。具體說來,教育部信息部門部署了防火墻、IDS、IPS、殺毒軟件等安全設(shè)備,有效地解決了大部分來自互聯(lián)網(wǎng)上的安全威脅,但是卻無法擋住更具針對性的滲透入侵。一些高級黑客技術(shù)完全能夠逃避防火墻或者IDS、IPS等安全產(chǎn)品的阻攔,深入到系統(tǒng)中進(jìn)行破壞。另外,病毒往往具有高度的隱藏性和免查殺設(shè)計(jì),如果防毒軟件的特征碼沒有在第一時(shí)間更新,便無法查殺新型或變種病毒。
另一方面,來自內(nèi)部的安全威脅同樣巨大。從系統(tǒng)的布局來看,業(yè)務(wù)內(nèi)網(wǎng)系統(tǒng)多是核心數(shù)據(jù)庫主機(jī),并與外網(wǎng)采用了相關(guān)隔離手段。但是,內(nèi)部的數(shù)據(jù)需要通過網(wǎng)絡(luò)或是移動存儲介質(zhì)進(jìn)行交換,一旦某臺主機(jī)感染病毒就可能導(dǎo)致整個(gè)內(nèi)網(wǎng)癱瘓。另外,內(nèi)部管理員的誤操作行為也是防范重點(diǎn),如果出現(xiàn)越權(quán)操作、惡意攻擊、非法復(fù)制,考試平臺上的機(jī)密信息都有可能造成泄露。
邊界防護(hù)已經(jīng)下足功夫,但是為何仍會出現(xiàn)那么多的安全隱患呢?信息安全的防護(hù)重點(diǎn)應(yīng)該放在哪里?通過與信息安全專家進(jìn)行深入探討后,教育部信息技術(shù)部門發(fā)現(xiàn),主機(jī)核心層的安全漏洞嚴(yán)重,這是由于操作系統(tǒng)自身的脆弱性導(dǎo)致,而這恰恰是外圍所有邊界安全技術(shù)無法觸及的領(lǐng)域。
該考試平臺系統(tǒng)主機(jī)大部分采用Linux和Windows操作系統(tǒng)。這些操作系統(tǒng)具有先天的脆弱性,系統(tǒng)漏洞層出不窮并且危害巨大,令人防不勝防。最近的案例是OpenSSL “心臟出血”漏洞,在發(fā)現(xiàn)漏洞之后的兩天內(nèi),密歇根大學(xué)的一個(gè)安全研究團(tuán)隊(duì)的數(shù)據(jù)顯示Alexa排名前百萬的網(wǎng)站有40 .9%中招。
一方面,系統(tǒng)“真空期”需要格外重視,是安全事故高發(fā)期。從操作系統(tǒng)漏洞從被發(fā)現(xiàn),到最后廠商發(fā)布可以穩(wěn)定運(yùn)行的補(bǔ)丁,一般都有3到6個(gè)月的“真空期”,而這段時(shí)間內(nèi)便是操作系統(tǒng)最脆弱的時(shí)期,最容易被攻破。另一方面,系統(tǒng)維護(hù)也存在風(fēng)險(xiǎn)。在Linux和Windows系統(tǒng)中,超級用戶權(quán)限都不受限制,其采用的“用戶名+口令”的單一認(rèn)證方式無法有效應(yīng)對黑客使用暴力破解的攻擊方式。而在日常維護(hù)方面,系統(tǒng)人為加固“補(bǔ)丁”更新不及時(shí)。此外,任何系統(tǒng)管理員或使用人員都不可能對復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制有絕對足夠的掌握,配置不當(dāng)也會造成安全隱患,這些漏洞給黑客以可乘之機(jī)。
正是因?yàn)檫@樣的原因,主機(jī)安全已經(jīng)成為了系統(tǒng)的“致命傷”,如何讓安全升級?考試平臺經(jīng)過多方考察和調(diào)研,采納了信息安全專家組“使用專用產(chǎn)品”加固主機(jī)安全的建議,選擇浪潮SSR進(jìn)行主機(jī)加固。
內(nèi)核加固 消除黑客生存環(huán)境
“浪潮SSR從內(nèi)核入手進(jìn)行主機(jī)加固,消除了黑客生存環(huán)境。這與我們之前在邊界部署的安全產(chǎn)品有本質(zhì)區(qū)別。” 教育部相關(guān)技術(shù)負(fù)責(zé)人談到浪潮SSR時(shí)這樣說。浪潮SSR的ROST內(nèi)核加固技術(shù)是消除黑客生存環(huán)境的根本。通過在驅(qū)動層加上安全內(nèi)核模塊,SSR攔截了所有的內(nèi)核訪問路徑,所有符合考試平臺規(guī)則的文件、注冊表、進(jìn)程、服務(wù)、權(quán)限都予以“放行”,不符合規(guī)則的就進(jìn)行屏蔽。這樣做的效果與重構(gòu)操作系統(tǒng)原代碼技術(shù)類似,而好處是不會影響用戶的業(yè)務(wù)連續(xù)性,甚至不需要重啟系統(tǒng)。采用這種方式,考試平臺的主機(jī)系統(tǒng)中徹底清除了黑客攻擊、蠕蟲和病毒感染的“生存環(huán)境”,從源頭上保證了安全性。
【浪潮SSR內(nèi)核加固技術(shù)實(shí)現(xiàn)原理】
另外,與考試平臺部署在邊界的安全產(chǎn)品不同,浪潮SSR不需要依賴病毒行為特征庫來識別攻擊,而是采用白名單防護(hù)技術(shù)。這就把事后“修補(bǔ)”變?yōu)榱藦氐?ldquo;免疫”,從而進(jìn)一步保證了系統(tǒng)的安全運(yùn)行。
在人員管理方面,考試平臺過去超級用戶權(quán)限過大的問題得到完善解決。浪潮SSR采用“三權(quán)分立”機(jī)制,有效地制約和分散了原有系統(tǒng)管理員的權(quán)限,徹底杜絕了非授權(quán)行為發(fā)生,保護(hù)核心數(shù)據(jù)的完整性、可用性以及業(yè)務(wù)的連續(xù)性,把普通的操作系統(tǒng)從體系上升級,使其符合國家信息安全等級保護(hù)三級標(biāo)準(zhǔn)。
結(jié)合業(yè)務(wù)應(yīng)用部署安全策略 浪潮SSR為系統(tǒng)安全升級
“根據(jù)我們考試平臺的前端Web網(wǎng)站和后端數(shù)據(jù)庫主機(jī)的布局特點(diǎn),浪潮安全工程師為其專門定制更精細(xì)化的SSR防護(hù)策略,達(dá)到了非常理想的效果。” 教育部相關(guān)技術(shù)負(fù)責(zé)人說。
具體說來,用戶在考試平臺DMZ區(qū)域的Web網(wǎng)站主機(jī)上部署SSR,對Web目錄的訪問權(quán)限、進(jìn)程權(quán)限以及網(wǎng)站腳本文件的訪問權(quán)限進(jìn)行限制。同時(shí),配合防火墻等技術(shù)形成全面立體的防護(hù),既能防止SQL注入攻擊、DDoS攻擊等攻擊行為,又能防止基于系統(tǒng)內(nèi)核層的攻擊、后門攻擊等非法篡改網(wǎng)站的行為。
【教育部某考試平臺主機(jī)安全加固部署示意圖】
針對內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器和Linux集群主機(jī),考試平臺通過浪潮SSR對數(shù)據(jù)庫文件、進(jìn)程的權(quán)限對應(yīng)配置策略,并對Linux操作系統(tǒng)底層進(jìn)行加固,采用“三權(quán)分立”機(jī)制,有效防止了因?yàn)槿藛T操作而產(chǎn)生的風(fēng)險(xiǎn)。
“在實(shí)際使用中,浪潮SSR不僅使得我們系統(tǒng)的安全性得到大幅提升,符合國家信息安全等級保護(hù)三級標(biāo)準(zhǔn)。而且絲毫沒有對業(yè)務(wù)系統(tǒng)造成負(fù)擔(dān),在完全開啟浪潮SSR防護(hù)功能對系統(tǒng)平均性能損失控制在2%以內(nèi),達(dá)到了效率與安全共存的目標(biāo)。” 教育部相關(guān)技術(shù)負(fù)責(zé)人說。
教育在互聯(lián)網(wǎng)時(shí)代被創(chuàng)造出新的形式,網(wǎng)絡(luò)為實(shí)現(xiàn)教育公平創(chuàng)造了可能。在為受教育者提供信息資源共享和服務(wù)的同時(shí),保障網(wǎng)絡(luò)平臺的穩(wěn)定性和安全性就顯得尤為重要,而在這個(gè)過程中,主機(jī)安全就是重中之重,浪潮SSR為守護(hù)主機(jī)安全開拓了一條可行之路,協(xié)助教育公平更快實(shí)現(xiàn)。