六安烟草：加强信息系统安全“免疫”

　　当前，用户所面临的网络安全形势越来越复杂，以APT攻击为代表的未知威胁非常容易击穿传统技术手段组成的网络安全防御体系。如果你还在忙于采用“亡羊补牢”的方式漏洞修补，却忽视“疫苗”在关键主机上的作用，就为系统埋下了风险。

　　六安市烟草专卖局(公司)(以下简称“六安烟草”)全称为安徽省六安市烟草专卖局、安徽省烟草公司六安市公司(简称六安烟草)，成立于1985年，是一个集卷烟销售经营与专卖执法管理于一体的政企合一单位。六安市烟草专卖局主要履行对烟草专卖品的生产、销售业务依法实行专卖管理职能，并实行批办烟草专卖许可证制度;六安市烟草公司承担卷烟的调拨、批发以及烟叶种植业务，并对卷烟的供销、人财物实行集中统一管理。市局(公司)现辖寿县、霍邱、舒城、金寨、霍山五个县局(营销部)和皋城、叶集两个直属分局以及机关13个科室(中心)。

　　近年来，六安市烟草专卖局(公司)认真履行国家烟草专卖制度赋予的烟草专卖专营和维护消费者利益、保证卷烟供给、增加财政收入的神圣职责，坚持依法治烟，加大内部监管和市场监管力度，坚持不懈地开展以打私打假为重点的市场整治。

　　深知“网络是一把双刃剑”的安徽省六安市烟草专卖局、安徽省烟草公司六安市公司(以下简称：六安烟草)，在响应国家信息化领导小组提出的提高国家机关的信息安全指数，面对步步逼近的各类网络威胁，信息中心决定选择国内自主研发的SSR操作系统安全增强系统，为关键主机、核心服务器注入了免疫功能，在达到等级保护三级要求的同时，有效应对已知及未知的漏洞。

　　提高安全等级 责任重大

　　六安烟草为提高专卖监管能力，充分发挥烟草专卖统一管理优势，以信息化建设作为切入点，通过高速网络和各大业务系统全面提高了监管效能，不断完善“两烟”市场监管新机制。在信息安全建设方面，为保障全市烟草商业系统的可靠运行，六安烟草在全网统一部署了边界防火墙和防病毒软件，以及入侵防御系统，使全市卷烟商业系统具备了初步的网络安全防范能力。然而，随着互联网生态环境的逐步恶化，病毒及其变种在黑色产业链中的滋生速度更加迅猛，六安烟草希望在已经实现的等级保护要求基础上，提升安全防护水平。

　　据了解，为规范我国信息安全建设，2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》明确指出了“实行信息安全等级保护”的要求。而依据国家下发的《关于做好烟草行业信息系统安全等级保护定级工作的通知》(国烟办综〔2008〕358号)文件要求，各省烟草专卖局已完成等级保护定级工作。

　　但在实际的等级保护评估和整改过程中，计算环境安全，尤其是涉及操作系统的计算环境安全问题，让很多用户心生困惑。例如：常见的Windows、Linux、UNIX等商用操作系统，虽然提供了一些安全策略，但是其功能非常有限，并且经常存在各种漏洞。所以，如何通过合理的安全措施保证主机安全，同时防止内、外非法用户的攻击就成为当前信息系统等级化建设中一个至关重要的问题，而这也是六安烟草信息安全能力“上台阶”的关键一步。

　　寻求更专业的安全

　　据介绍，六安烟草内部网络使用的关键主机包括各种数据库服务器和应用服务器，一旦漏洞被黑客利用，将会对全市的数据和业务往来造成极大影响：

　　一方面，其信息系统采用的操作系统均为主流产品系列，如：AIX，Windows Server 2003，其安全漏洞更是广为流传，而且，由于所有的应用系统都运行在特定的操作系统上，一旦操作系统被危险人物控制，应用系统就失去了安全基础。

　　另一方面，由于部分IT运维人员对复杂的操作系统和其自身的安全机制了解不够，容易出现配置不当的问题，这也会造成安全隐患。而这些安全风险一旦出现，会为不法分子留下可乘之机。如操作系统访问的口令认证机制，特殊目录访问读写权限设定问题等，如果设定不当，都会造成越权访问与操作。

　　基于以上考虑，六安烟草希望采用更专业的服务器安全系统对重要的关键主机和核心服务器操作系统进行安全加固，通过对文件、目录、进程、注册表和服务进行的强制访问控制，制约和分散原有系统管理员的权限，把普通的操作系统从体系上升级，使烟草的关键主机，核心服务器符合国家信息安全等级保护服务器操作系统安全的三级标准。

　　而SSR加固产品能够从根本上免疫针对服务器操作系统的恶意攻击，将木马、后门、冲击波、振荡波等蠕虫类病毒和内外网的黑客攻击拒之门外，而这些恰恰符合了六安烟草的具体要求。

　　“重构”操作系统

　　据六安烟草信息中心负责人介绍，SSR内核加固技术是基于对主机的内核级安全加固防护，当未经授权的非法用户通过各种手段突破了防火墙等网络安全产品进入了内部主机，甚至窃取了操作系统管理员最高权限后，内核加固技术就将成为最后的一道防线。它通过对操作系统原有系统管理员即administrator/root的无限权力进行分散，使其不再具有对系统自身安全构成威胁的能力，从而达到从根本上保障操作系统安全的目的。也就是说即使非法入侵者拥有了系统管理员最高权限，也无法对经过内核加固技术保护的系统核心或重要内容进行任何破坏和操作。对于六安烟草信息系统物流、财务等敏感数据，SSR把普通的操作系统从体系上升级，能够从根本上免疫针对服务器操作系统的漏洞和人为攻击。使其符合国家信息安全等级保护服务器操作系统安全三级标准。

　　谈及SSR的运行体验，六安烟草信息化负责人表示：“SSR ROST技术实际上是在驱动层加上安全内核模块，拦截所有的内核访问路径，从而达到等保三级的技术要求，最终实现的安全效果和重构操作系统原代码技术差不多，好处是不会影响我们的业务连续性。不需要重启系统，就能够很好地支持上层的所有应用和下层所有系统和机器设备，以及在操作系统粒度上保证上层应用的安全。”

　　云环境下的等级安全防护思路

　　云计算从安全域的角度，可以分为安全计算域、安全网络域和安全管理域。安全计算域是相同安全保护等级的物理主机/服务器的集合，安全网络域是由通信网络和接入网络构成。安全管理域是对整体云计算中安全事件收集与管控报警的系统平台。云计算的各安全域涵盖了云计算中的计算环境、云边界、云通信网络及管理中心，都有各自相对应的安全措施，各个方位都做好防范，才能做到事半功倍。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。