浪潮“151计划”：系统培训如何助力主机安全保护

这个年头，自诩为专家的人可不少。在网络安全领域，很多人认为只要他们知道最新的漏洞就是安全专家。NO！ NO ！ NO！所有他们知道的只不过是“漏洞”，而不是“安全”。

在帮助客户找到黑客攻击入口、删除了服务器上的木马之后， 朱建东对主机系统做了第二次漏洞扫描。结合系统和应用漏洞，他不厌其烦的给客户讲解了可能被黑客再次利用的弱点，同时还结合业务应用为用户制定出了外网和内网的整体防护方案。用户领导大加赞许，“你们看看，专家就是专家。” 朱建东连忙摆手，“我可真不是什么专家，刚转行不久。”

一次难得的培训机会

怎么是转行呢？ 朱建东供职的这家企业是四川省首屈一指的系统集成和网络信息化解决方案的供应商，公司自成立以来，为数家企事业单位按客户的不同要求提供了个性化的系统解决方案。近年来，天奥科技代理的浪潮服务器、存储和主机安全产品，已经成为了主要的业绩增长点。

刚入职到天奥， 朱建东就正好赶上了公司业务量的飞速发展。于是，在很短的时间里，他经历了无数次系统架构设计、数据中心建设、服务器和存储设备部署，在这方面积累了很多经验。但随着网络威胁的不断进化，用户信息安全意识的增强，许多用户在主机安全防护方面的需求十分强烈。“虽然我自己也在工程中积累下很多黑客攻防的技术，了解了不少主机加固的手段，但由于没有系统的学习和掌握，解答用户问题时总是底气不足。所以，我一直在找机会进行综合系统的学习。” 朱建东谈到了自己的长处和不足。

那么，主机安全方面的系统技能他又是如何弥补的呢？这还要从浪潮的“151计划”谈起。

作为国内主机安全的第一品牌，浪潮启动了“151计划”。在省会城市和100个3级以上城市开展500名 ISCE（浪潮主机安全技术工程师）认证培训计划，让培训学员了解国家信息安全等级保护政策及标准，提升他们面向行业数据中心的信息安全漏洞扫描能力，从而为用户提供专业、可靠的漏扫报告，并为用户明确自身的主机安全漏洞提供重要依据。

“机会人人平等，抓不住就不要怪别人了。我算是151计划中第一批获得ISCE证书的学员，熬通宵学习和实验的经历让我像是又回到大学时代，不过最后实现了两连跳，获得了高级证书。有人说我占了服务器和存储技术上的便宜，这点我承认。” 朱建东回忆起培训的过程仍然十分兴奋。

专家背后还有“帮手”

让我们回到故事的开头，虽然 朱建东自己否认了“专家”的称呼，但他却实实在在的化解了黑客入侵事件，同时还提出了用户认可的解决方案。 他说“漏洞扫描过程看似神秘，其实参加完ISCE课程培训之后，有了工具、有了方法，加上经验丰富的老师们的指点，还是有章可循的。”

在对客户的Web服务器进行第一次漏洞扫后， 朱建东发现了一处明显的SQL注入路径，结合日志系统的分析，他最终确定了黑客入侵的路径就在这里。于是赶紧通知客户的领导，请他迅速联系程序设计人员修改代码，经过再次扫描检测发现这个漏洞算是补上了。但这只是救急，接下的工作才是重点：治本。

二次扫描之后，他将漏洞扫报告中反馈的数据进行了整理，分为高危、中危、低危以及敏感信息，并将报告提交到浪潮资深工程师团队，请参加ISCE培训的老师进行确认，最终形成了包含各种漏洞风险值以及对信息系统造成的危害影响的详细报告。同时，在与用户沟通时，他还了解到了一些具体情况，并得出了以下结论：

“第一、客户的党政内网和外网隔离，之前由于忽视了内网的安全防护和部署，时常有人员通过U盘和移动硬盘等介质在物理内网里随意拷贝资料和文件，也出现过内网遭遇病毒和ARP攻击等事件，调查机制也很滞后，给内网正常使用造成了很大的麻烦。

第二、由于内网隔离的特殊性，一些系统补丁不能再第一时间升级安装，这也造成了操作系统的漏洞、后门的隐患。

第三、安全管理环节缺少了主动的应对措施和手段，OA系统里的关键文件以及数据的管理没有分权，内网核心服务器不能进行统一、有效地管理。

第四、外网的服务器上部署了政府红头网站，并且安装了SQL数据库，之前被攻击者进行了SQL注入，导致了网站部分重要新闻和文件被恶意删除和篡改，极大的影响了政府门户形象。经过手工加固后，虽然黑客暂时无法进入服务器，但安全隐患依然存在。”

黑客入侵事件后的第三天， 朱建东在数据中心监控室现场向技术人员和领导呈现了漏扫报告， 并针对报告中的内容向客户详细介绍了每个安全漏洞的解决方法，一一回应了客户提出的各种安全问题。例如，用户错误的认为只要对Windows Server 2008系统及时进行在线更新，就能封堵应用程序漏洞了；其实，更新系统漏洞补丁，只能封堵Windows Server 2008系统自身的漏洞，而无法封堵应用程序漏洞。为此，他演示了可以利用系统自带防火墙的“入站规则”封堵漏洞程序的方法，并解释了这种修补方式的只能在手工模式下对每一个程序限制的弊端。最后，他根据之前沟通情况，结合用户需要落实国家三级等保要求的需求，提出了基于客户外网和内网的整体防护方案。方案中涉及到Web主机与SQL数据库主机分离策略，以及利用SSR的特性对内外网系统进行自动安全加固部署，以及增加Web服务器权限管理限制机制等建议。

谁在浪潮“151计划”中受益

通过浪潮“151计划” 朱建东已经掌握的主机安全技能，获得ISCE证书，具备独立帮助用户处理信息安全问题的能力。而客户对 朱建东“专家级”的表现赞口不绝，在产品试用后天奥科技增加了销售的机会。

而浪潮“151计划”中受益最大的无疑是用户。在 朱建东的建议和协助下，用户首先将Web服务和SQL数据库进行了分离。其次，根据浪潮“151计划”中制定的内容，客户还免费得到了两套浪潮SSR主机安全增强系统试用的机会。一套对外网Web服务器平台进行安全加固，有效避免了黑客入侵和网站挂马事件的发生。另外一套SSR发挥了“系统免疫”和“三权分立”特点，解决了内网无法及时安装补丁、OA服务器无法分权控制的问题。

各行各业正积极践行国家“互联网+”行动，发挥互联网在生产要素配置中的优化和集成作用，提升实体经济的创新能力。而“互联网+”催生出巨量信息的共享，这与相对落后的信息安全保障之间的产生了矛盾。因此，正是因为浪潮“151行动”系统培训了 朱建东这样一批主机安全工程师，才能更好的为“互联网+”保驾护航。