日前，安徽省六安市煙草專賣局、安徽省煙草公司六安市公司（以下簡稱：六安煙草），面對步步逼近的各類網(wǎng)絡(luò)威脅，選擇了浪潮自主研發(fā)的SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)，為關(guān)鍵主機(jī)、核心服務(wù)器注入了免疫功能，在達(dá)到等級保護(hù)三級要求的同時，有效應(yīng)對已知及未知的漏洞。

　　政策在上，責(zé)任在肩

　　成立于1985年的六安煙草，坐落于六安市經(jīng)濟(jì)技術(shù)開發(fā)區(qū)皖西大道和經(jīng)三路交匯處，是一個集卷煙銷售經(jīng)營與專賣執(zhí)法管理于一體的政企合一單位。主要履行對煙草專賣品的生產(chǎn)、銷售業(yè)務(wù)依法實(shí)行專賣管理職能，承擔(dān)著六安市卷煙行業(yè)的調(diào)撥、批發(fā)以及煙葉種植業(yè)務(wù)，并對卷煙的供銷、人財物實(shí)行集中統(tǒng)一管理。

　　六安煙草為提高專賣監(jiān)管能力，充分發(fā)揮煙草專賣統(tǒng)一管理優(yōu)勢，以信息化建設(shè)作為切入點(diǎn)，通過高速網(wǎng)絡(luò)和各大業(yè)務(wù)系統(tǒng)全面提高了監(jiān)管效能，不斷完善“兩煙”市場監(jiān)管新機(jī)制。在信息安全建設(shè)方面，為保障全市煙草商業(yè)系統(tǒng)的可靠運(yùn)行，六安煙草在全網(wǎng)統(tǒng)一部署了邊界防火墻和防病毒軟件，以及入侵防御系統(tǒng)，使全市卷煙商業(yè)系統(tǒng)具備了初步的網(wǎng)絡(luò)安全防范能力。然而，隨著互聯(lián)網(wǎng)生態(tài)環(huán)境的逐步惡化，病毒及其變種在黑色產(chǎn)業(yè)鏈中的滋生速度更加迅猛，六安煙草希望在已經(jīng)實(shí)現(xiàn)的等級保護(hù)要求基礎(chǔ)上，進(jìn)一步提升安全防護(hù)水平。

　　據(jù)了解，為規(guī)范我國信息安全建設(shè)，2003年，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》明確指出了“實(shí)行信息安全等級保護(hù)”的要求。而依據(jù)國家下發(fā)的《關(guān)于做好煙草行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作的通知》（國煙辦綜〔2008〕358號）文件要求，各省煙草專賣局已完成相應(yīng)的等級保護(hù)定級工作。

　　但在實(shí)際的等級保護(hù)評估和整改過程中，計算環(huán)境安全，尤其是涉及操作系統(tǒng)的計算環(huán)境安全問題，讓很多用戶心生困惑。例如：常見的Windows、Linux、UNIX等商用操作系統(tǒng)，雖然提供了一些安全策略，但是其功能非常有限，并且經(jīng)常存在各種漏洞。所以，如何通過合理的安全措施保證主機(jī)安全，同時防止內(nèi)、外非法用戶的攻擊就成為當(dāng)前信息系統(tǒng)等級化建設(shè)中一個至關(guān)重要的問題，而這也是六安煙草信息安全能力“上臺階”的關(guān)鍵一步。

　　大環(huán)境不容樂觀，尋求更專業(yè)的安全

　　據(jù)介紹，六安煙草內(nèi)部網(wǎng)絡(luò)使用的關(guān)鍵主機(jī)包括各種數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器，一旦漏洞被黑客利用，將會對全市的數(shù)據(jù)和業(yè)務(wù)往來造成極大影響：

　　一方面，其信息系統(tǒng)采用的操作系統(tǒng)均為主流產(chǎn)品系列，如：AIX，Windows Server 2003，其安全漏洞更是廣為流傳，而且，由于所有的應(yīng)用系統(tǒng)都運(yùn)行在特定的操作系統(tǒng)上，一旦操作系統(tǒng)被危險人物控制，應(yīng)用系統(tǒng)就失去了安全基礎(chǔ)。

　　另一方面，由于部分IT運(yùn)維人員對復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解不夠，容易出現(xiàn)配置不當(dāng)?shù)膯栴}，這也會造成安全隱患。而這些安全風(fēng)險一旦出現(xiàn)，會為不法分子留下可乘之機(jī)。如操作系統(tǒng)訪問的口令認(rèn)證機(jī)制，特殊目錄訪問讀寫權(quán)限設(shè)定問題等，如果設(shè)定不當(dāng)，都會造成越權(quán)訪問與操作。

　　基于以上考慮，六安煙草希望采用更專業(yè)的服務(wù)器安全系統(tǒng)對重要的關(guān)鍵主機(jī)和核心服務(wù)器操作系統(tǒng)進(jìn)行安全加固，通過對文件、目錄、進(jìn)程、注冊表和服務(wù)進(jìn)行的強(qiáng)制訪問控制，制約和分散原有系統(tǒng)管理員的權(quán)限，把普通的操作系統(tǒng)從體系上升級，使煙草的關(guān)鍵主機(jī)，核心服務(wù)器符合國家信息安全等級保護(hù)服務(wù)器操作系統(tǒng)安全的三級標(biāo)準(zhǔn)。

　　而浪潮的SSR加固產(chǎn)品能夠從根本上免疫針對服務(wù)器操作系統(tǒng)的惡意攻擊，將木馬、后門、沖擊波、振蕩波等蠕蟲類病毒和內(nèi)外網(wǎng)的黑客攻擊拒之門外，而這些恰恰符合了六安煙草的具體要求。

　　“重構(gòu)”操作系統(tǒng)，更安全

　　浪潮SSR內(nèi)核加固技術(shù)是基于對主機(jī)的內(nèi)核級安全加固防護(hù)，當(dāng)未經(jīng)授權(quán)的非法用戶通過各種手段突破了防火墻等網(wǎng)絡(luò)安全產(chǎn)品進(jìn)入了內(nèi)部主機(jī)，甚至竊取了操作系統(tǒng)管理員最高權(quán)限后，浪潮內(nèi)核加固技術(shù)就將成為最后的一道防線。它通過對操作系統(tǒng)原有系統(tǒng)管理員即administrator/root的無限權(quán)力進(jìn)行分散，使其不再具有對系統(tǒng)自身安全構(gòu)成威脅的能力，從而達(dá)到從根本上保障操作系統(tǒng)安全的目的。也就是說即使非法入侵者擁有了系統(tǒng)管理員最高權(quán)限，也無法對經(jīng)過浪潮內(nèi)核加固技術(shù)保護(hù)的系統(tǒng)核心或重要內(nèi)容進(jìn)行任何破壞和操作。

　　浪潮SSR ROST內(nèi)核加固技術(shù)實(shí)現(xiàn)原理

　　對于六安煙草信息系統(tǒng)物流、財務(wù)等敏感數(shù)據(jù)，浪潮SSR把普通的操作系統(tǒng)從體系上升級，能夠從根本上免疫針對服務(wù)器操作系統(tǒng)的漏洞和人為攻擊。使其符合國家信息安全等級保護(hù)服務(wù)器操作系統(tǒng)安全的三級標(biāo)準(zhǔn)。

　　談及SSR的運(yùn)行體驗，六安煙草相關(guān)負(fù)責(zé)人表示：“浪潮SSR ROST技術(shù)實(shí)際上是在驅(qū)動層加上安全內(nèi)核模塊，攔截所有的內(nèi)核訪問路徑，從而達(dá)到等保三級的技術(shù)要求，最終實(shí)現(xiàn)的安全效果和重構(gòu)操作系統(tǒng)原代碼技術(shù)差不多，好處是不會影響我們的業(yè)務(wù)連續(xù)性。不需要重啟系統(tǒng)，就能夠很好地支持上層的所有應(yīng)用和下層所有系統(tǒng)和機(jī)器設(shè)備，以及在操作系統(tǒng)粒度上保證上層應(yīng)用的安全。”