日前，安徽省六安市煙草專(zhuān)賣(mài)局、安徽省煙草公司六安市公司（以下簡(jiǎn)稱(chēng)：六安煙草），面對(duì)步步逼近的各類(lèi)網(wǎng)絡(luò)威脅，選擇了浪潮自主研發(fā)的SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)，為關(guān)鍵主機(jī)、核心服務(wù)器注入了免疫功能，在達(dá)到等級(jí)保護(hù)三級(jí)要求的同時(shí)，有效應(yīng)對(duì)已知及未知的漏洞。

　　政策在上，責(zé)任在肩

　　成立于1985年的六安煙草，坐落于六安市經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)皖西大道和經(jīng)三路交匯處，是一個(gè)集卷煙銷(xiāo)售經(jīng)營(yíng)與專(zhuān)賣(mài)執(zhí)法管理于一體的政企合一單位。主要履行對(duì)煙草專(zhuān)賣(mài)品的生產(chǎn)、銷(xiāo)售業(yè)務(wù)依法實(shí)行專(zhuān)賣(mài)管理職能，承擔(dān)著六安市卷煙行業(yè)的調(diào)撥、批發(fā)以及煙葉種植業(yè)務(wù)，并對(duì)卷煙的供銷(xiāo)、人財(cái)物實(shí)行集中統(tǒng)一管理。

　　六安煙草為提高專(zhuān)賣(mài)監(jiān)管能力，充分發(fā)揮煙草專(zhuān)賣(mài)統(tǒng)一管理優(yōu)勢(shì)，以信息化建設(shè)作為切入點(diǎn)，通過(guò)高速網(wǎng)絡(luò)和各大業(yè)務(wù)系統(tǒng)全面提高了監(jiān)管效能，不斷完善“兩煙”市場(chǎng)監(jiān)管新機(jī)制。在信息安全建設(shè)方面，為保障全市煙草商業(yè)系統(tǒng)的可靠運(yùn)行，六安煙草在全網(wǎng)統(tǒng)一部署了邊界防火墻和防病毒軟件，以及入侵防御系統(tǒng)，使全市卷煙商業(yè)系統(tǒng)具備了初步的網(wǎng)絡(luò)安全防范能力。然而，隨著互聯(lián)網(wǎng)生態(tài)環(huán)境的逐步惡化，病毒及其變種在黑色產(chǎn)業(yè)鏈中的滋生速度更加迅猛，六安煙草希望在已經(jīng)實(shí)現(xiàn)的等級(jí)保護(hù)要求基礎(chǔ)上，進(jìn)一步提升安全防護(hù)水平。

　　據(jù)了解，為規(guī)范我國(guó)信息安全建設(shè)，2003年，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》明確指出了“實(shí)行信息安全等級(jí)保護(hù)”的要求。而依據(jù)國(guó)家下發(fā)的《關(guān)于做好煙草行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（國(guó)煙辦綜〔2008〕358號(hào)）文件要求，各省煙草專(zhuān)賣(mài)局已完成相應(yīng)的等級(jí)保護(hù)定級(jí)工作。

　　但在實(shí)際的等級(jí)保護(hù)評(píng)估和整改過(guò)程中，計(jì)算環(huán)境安全，尤其是涉及操作系統(tǒng)的計(jì)算環(huán)境安全問(wèn)題，讓很多用戶(hù)心生困惑。例如：常見(jiàn)的Windows、Linux、UNIX等商用操作系統(tǒng)，雖然提供了一些安全策略，但是其功能非常有限，并且經(jīng)常存在各種漏洞。所以，如何通過(guò)合理的安全措施保證主機(jī)安全，同時(shí)防止內(nèi)、外非法用戶(hù)的攻擊就成為當(dāng)前信息系統(tǒng)等級(jí)化建設(shè)中一個(gè)至關(guān)重要的問(wèn)題，而這也是六安煙草信息安全能力“上臺(tái)階”的關(guān)鍵一步。

　　大環(huán)境不容樂(lè)觀，尋求更專(zhuān)業(yè)的安全

　　據(jù)介紹，六安煙草內(nèi)部網(wǎng)絡(luò)使用的關(guān)鍵主機(jī)包括各種數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器，一旦漏洞被黑客利用，將會(huì)對(duì)全市的數(shù)據(jù)和業(yè)務(wù)往來(lái)造成極大影響：

　　一方面，其信息系統(tǒng)采用的操作系統(tǒng)均為主流產(chǎn)品系列，如：AIX，Windows Server 2003，其安全漏洞更是廣為流傳，而且，由于所有的應(yīng)用系統(tǒng)都運(yùn)行在特定的操作系統(tǒng)上，一旦操作系統(tǒng)被危險(xiǎn)人物控制，應(yīng)用系統(tǒng)就失去了安全基礎(chǔ)。

　　另一方面，由于部分IT運(yùn)維人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解不夠，容易出現(xiàn)配置不當(dāng)?shù)膯?wèn)題，這也會(huì)造成安全隱患。而這些安全風(fēng)險(xiǎn)一旦出現(xiàn)，會(huì)為不法分子留下可乘之機(jī)。如操作系統(tǒng)訪問(wèn)的口令認(rèn)證機(jī)制，特殊目錄訪問(wèn)讀寫(xiě)權(quán)限設(shè)定問(wèn)題等，如果設(shè)定不當(dāng)，都會(huì)造成越權(quán)訪問(wèn)與操作。

　　基于以上考慮，六安煙草希望采用更專(zhuān)業(yè)的服務(wù)器安全系統(tǒng)對(duì)重要的關(guān)鍵主機(jī)和核心服務(wù)器操作系統(tǒng)進(jìn)行安全加固，通過(guò)對(duì)文件、目錄、進(jìn)程、注冊(cè)表和服務(wù)進(jìn)行的強(qiáng)制訪問(wèn)控制，制約和分散原有系統(tǒng)管理員的權(quán)限，把普通的操作系統(tǒng)從體系上升級(jí)，使煙草的關(guān)鍵主機(jī)，核心服務(wù)器符合國(guó)家信息安全等級(jí)保護(hù)服務(wù)器操作系統(tǒng)安全的三級(jí)標(biāo)準(zhǔn)。

　　而浪潮的SSR加固產(chǎn)品能夠從根本上免疫針對(duì)服務(wù)器操作系統(tǒng)的惡意攻擊，將木馬、后門(mén)、沖擊波、振蕩波等蠕蟲(chóng)類(lèi)病毒和內(nèi)外網(wǎng)的黑客攻擊拒之門(mén)外，而這些恰恰符合了六安煙草的具體要求。

　　“重構(gòu)”操作系統(tǒng)，更安全

　　浪潮SSR內(nèi)核加固技術(shù)是基于對(duì)主機(jī)的內(nèi)核級(jí)安全加固防護(hù)，當(dāng)未經(jīng)授權(quán)的非法用戶(hù)通過(guò)各種手段突破了防火墻等網(wǎng)絡(luò)安全產(chǎn)品進(jìn)入了內(nèi)部主機(jī)，甚至竊取了操作系統(tǒng)管理員最高權(quán)限后，浪潮內(nèi)核加固技術(shù)就將成為最后的一道防線。它通過(guò)對(duì)操作系統(tǒng)原有系統(tǒng)管理員即administrator/root的無(wú)限權(quán)力進(jìn)行分散，使其不再具有對(duì)系統(tǒng)自身安全構(gòu)成威脅的能力，從而達(dá)到從根本上保障操作系統(tǒng)安全的目的。也就是說(shuō)即使非法入侵者擁有了系統(tǒng)管理員最高權(quán)限，也無(wú)法對(duì)經(jīng)過(guò)浪潮內(nèi)核加固技術(shù)保護(hù)的系統(tǒng)核心或重要內(nèi)容進(jìn)行任何破壞和操作。

　　浪潮SSR ROST內(nèi)核加固技術(shù)實(shí)現(xiàn)原理

　　對(duì)于六安煙草信息系統(tǒng)物流、財(cái)務(wù)等敏感數(shù)據(jù)，浪潮SSR把普通的操作系統(tǒng)從體系上升級(jí)，能夠從根本上免疫針對(duì)服務(wù)器操作系統(tǒng)的漏洞和人為攻擊。使其符合國(guó)家信息安全等級(jí)保護(hù)服務(wù)器操作系統(tǒng)安全的三級(jí)標(biāo)準(zhǔn)。

　　談及SSR的運(yùn)行體驗(yàn)，六安煙草相關(guān)負(fù)責(zé)人表示：“浪潮SSR ROST技術(shù)實(shí)際上是在驅(qū)動(dòng)層加上安全內(nèi)核模塊，攔截所有的內(nèi)核訪問(wèn)路徑，從而達(dá)到等保三級(jí)的技術(shù)要求，最終實(shí)現(xiàn)的安全效果和重構(gòu)操作系統(tǒng)原代碼技術(shù)差不多，好處是不會(huì)影響我們的業(yè)務(wù)連續(xù)性。不需要重啟系統(tǒng)，就能夠很好地支持上層的所有應(yīng)用和下層所有系統(tǒng)和機(jī)器設(shè)備，以及在操作系統(tǒng)粒度上保證上層應(yīng)用的安全。”