江蘇省某政府網站部署浪潮SSR 嚴防黑客「任性」掛馬

　　導語：政府行業的官網，歷來是遭受黑客攻擊的「重災區」，如何保證網站平臺安全可靠地運行是信息化安全管理的重中之重。為全面加強安全防禦能力，避免網頁被篡改、被掛馬、被境外黑客控制的情況發生，江蘇省某政府網站在「防微杜漸，主動出擊」的安全管理思想指導下，通過部署浪潮主機安全加固系統（以下簡稱SSR），利用特有的「三權分立」功能讓網站安全管理責任落地有聲，實現了信息安全管理體系的完整性，達成了網站安全管理縱深防禦的目標。

　　政府行業網站，已經成為了遭遇黑客攻擊的「重災區」。從國家網際網路信息辦公室披露的消息中可以看到，中國是遭受網絡攻擊的嚴重受害國，每個月有1萬多個網站被篡改，80%的政府網站都受到過攻擊。

　　在「非法入侵、高額回報」的利益驅使下，黑客對政府行業網站的攻擊愈演愈烈，採用最有效的防護手段防止網站控制權被盜、防止被掛馬、防止數據洩露事件發生，已經迫在眉睫。那麼，江蘇省的這家政府網站安全又是如何將「防微杜漸，主動出擊」的指導思想落實下去的呢？

　　政府網站安全的「內憂外患」

　　對於政府信息化工作而言，官方網站漸漸成為了履行職能與改革創新的重要抓手。據了解，「網上政務」已經成為了各級政府單位提升服務能力的關鍵詞之一，相關領導曾表示：「將政務公開、民意反饋與網際網路開放、互動、便捷特點有機結合，通過網絡平臺，架設起多元溝通交流渠道。這樣才能凝聚智慧力量更加廣泛，反映群眾訴求更加快捷，釋疑解惑更加貼心有效，從而擴大團結面，增強包容性，促進黨政部門科學民主決策。」

　　但是，目前的情況是，經濟利益誘惑和政治利益的誘惑，讓政府網站的安全管理難度加大。通過媒體報導可以了解到，被盜取的網站管理權限、數據，可以換取不菲的經濟回報，而帶著政治破壞目的的境外僱傭黑客團體，長期對政府網站的漏洞掃描與入侵從未停止過。

　　媒體報導，黑客對政府行業網站的攻擊愈演愈烈

　　媒體報導，黑客對政府行業網站的攻擊愈演愈烈

　　目前，隨著網絡應用快速發展，網絡安全問題對國家安全、經濟發展、社會穩定和公眾利益都提出了嚴重挑戰。國家網際網路應急中心監測發現，僅2014年上半年，中國境內625萬臺電腦感染了木馬病毒；境外的1.9萬臺主機，控制了我國境內619萬臺電腦。而政府類網站更是成為了黑客的首要攻擊目標，有些黑客組織以「拿下」政府相關網站自我標榜，但還有一些則是受僱於境外反動勢力或是恐怖組織。

　　「通過去年首屆國家網絡安全宣傳周的報導，政府網站頻繁遭遇境外黑客攻擊方面的信息被廣泛傳播，公眾知曉度也很高，但很多人不清楚，在某些不法分子手中，政府網站管理權限已經變成他們掙錢的工具。」該網站相關工作人員介紹。

　　網際網路安全的大環境一時很難改變，因此「亡羊補牢，不如未雨綢繆」的道理，才顯得如此重要。為此，政府網站的安全防護能力亟需提升，一是要對網站的公眾服務提供可信、可靠的保障，二是要執行「防微杜漸，主動出擊」的規劃設計，三是要落實上級單位制定的網站安全管理責任。

　　浪潮SSR緊鎖「控制權」，將網站安全責任落實到位

　　「我們在網絡安全管理上的投入不遺餘力，防火牆、入侵檢測系統、防病毒、內容過濾產品可謂層層設防，但即便如此，我們對網站安全的擔憂並沒有減輕。」在部署了多個網絡安全產品後，網站管理者的顧慮反而加重了。

　　掌握「網站控制權」是這家政府網站安全管理的主要訴求，「圍繞這一訴求，我們開始尋找相應的解決方案，浪潮的解決方案與我們的訴求非常契合。」這位工作人員介紹說。在接觸的過程中，浪潮工程師在主機安全加固解決方案能夠幫助用戶實現對網站控制權的充分掌控。這也是浪潮SRR在後續具體實施、運行保障和實際效果驗證的重要前提。那麼，浪潮的方案又是如何緊扣這個主題呢？

　　浪潮SSR「三權分立」，牢牢鎖住網站控制權

　　浪潮SSR「三權分立」，牢牢鎖住網站控制權

　　浪潮SSR採用了「三權分立」機制，把系統管理員、安全管理員和審計管理權限分開，系統管理員能做的事情由安全管理員分配，安全管理員無法直接對系統操作，而審計管理員對前兩者進行完整操作記錄，確保作業系統管理員權限被獲取也無法對作業系統造成破壞。

　　「三權分立，讓我們眼前一亮，這是落實等級保護要求、落實公安部門對網站開辦單位安全管理責任要求的重要支撐。」網站運維技術人員看準了浪潮SRR的亮點，他表示，「與核心需求緊密結合是我們最終選擇浪潮SRR的原因，在後續的運行保護階段也證明了這一點，而其從底層加固的方式，更讓我們在作業系統和應用程式漏洞管理方面上了一個臺階。」

　　內核加固「防掛馬」，非法訪問Duang的一下堵住了

　　在網站保護運行階段，「三權分立」不僅有效防止了因超級管理員權限丟失的風險，浪潮SSR還對伺服器上的機密數據執行了嚴格保護，阻止一切非授權程序和用戶的訪問，避免資料庫被黑客、木馬程序非法訪問行為的發生。同時，從內核開始到Web應用，逐層向上的保護機制，更為該政府單位的門戶網站系統實現了防中斷、防注入的完善保護，保障了官網不被非法篡改，防止了網頁被「掛馬」事件的發生。

　　浪潮SSR採用了先進的ROST（內核加固技術）通過對作業系統的內核驅動層加上安全內核模塊，使用強制訪問控制規則庫。正是這種讓任何操作都成為必須符合規則的傳遞方式，才真正阻斷了「掛馬」行為的攻擊路徑。

　　對於浪潮SRR加固伺服器的效果，網站運維技術人員和相關領導都非常滿意，一位技術人員表示：「之前，我們為了防止黑客入侵，需要對伺服器作業系統進行一層一層的加固，有外圍的安全設備疊加、有主機內部繁瑣的安全策略加固。可一有媒體曝光最新的漏洞，等待廠商補丁的時間真是一種煎熬，不能停網站，又沒有很好的防護手段。但在採用浪潮SRR之後的效果截然不同，用現在流行語就是『duang』的一下把非法訪問路徑堵住了。」

　　浪潮SSR採用的加固方法，實現效果和重構作業系統原始碼技術一樣，能實現真正的強制訪問控制，這個技術不僅不會影響客戶的業務連續性，更能有效的防治零日威脅。另外，在白名單機制下，針對網站的存儲Web目錄訪問和資料庫，只有經過安全管理員授權才能「放行」，而即使黑客獲得系統管理員權限，往Web目錄下寫入木馬程序也是徒勞的，從而實現了防止網站被篡改、被掛馬、被控制的目的。

　　安全是網站平臺發展的基礎，雖然黑客的攻擊行為不會因為安裝了什麼加固系統而停止，但只有主動防禦體系的形成，才能讓政府行業網站平臺的職能擴展不會隨時擔心「後院起火」。而在本文中，這家政府網站採用浪潮SSR形成的主動防禦架構，在「網際網路安全」成為熱詞的當下，無疑顯得十分到位。 (盧敏)