扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
今年4月,超30个省市社保系统爆出漏洞,数千万社保用户信息或遭泄露,事件虽未直接波及到四川省泸州市人社局(以下简称:人社局),但着实让管理和技术人员捏了一把冷汗。在检测安全漏洞、重新评估风险的过程中,人社局得到了浪潮安全工程师的大力协助,并最终选定了浪潮SSR主机安全增强系统对Web网站、数据库服务器、虚拟化平台进行安全加固,有效避免了黑客入侵、网站篡改和数据泄露事件的发生。
勿让漏洞成“蚁穴”
“虽然信息安全的宣传力度在不断加大,但我们几乎每天还能看到数据泄露事件的发生。社保信息系统牵涉到广大群众的切身利益,个人身份证、社保参保信息、房屋产权、个人联系方式等一旦泄露、或者是被黑客贩卖、利用,影响面就更大了。千里之堤,毁于蚁穴的道理大家都懂,因此要把信息安全工作放在首位,容不得半点马虎。”针对互联网上报道的泄密事件,泸州人社局领导在工作会议上反复强调了信息安全的重要性。
在提高自身网络安全防护水平的同时,人社局主动寻求外界专家团队的支持,其中,浪潮安全工程师的专业性给他们留下了极深的印象。领导最终决定,邀请浪潮的专业技术人员,对信息系统进行一次彻底的“补漏补差”。
内外一致“大排查”
人社局的网络分为发布信息的外网和内部专网,两张网络的业务不同、访问者不同,所遇到的安全风险也不一样。而安全风险评估工作也是从外网先开始的。
外网业务主要是指针对政务公开和公众信息查阅的Web服务器,以及承载泸州市各区县的所有资料数据库服务器。首先,Web服务器挂载了红头文件网站,一旦遭遇攻击后出现被篡改的事件,就可能导致网站部分重要信息和文件被恶意删除和替换,不仅影响了政府的形象,更可能导致政府决策无法有效的贯彻。其次,数据库服务器更是黑客攻击的重要目标,但由于缺少相关的安全加固,系统管理员权限过大,如果稍不留神造成误操作,或者是被其他人盗用权限后,就很有可能对数据造成不可挽回的损失。再有,就是内部人员时常会在数据库服务器上通过移动介质来拷贝或上传相关资料和数据,这增大了数据库被感染病毒的可能性。
在内网安全方面,最大的就是统一管理问题。技术人员反映,与外网隔离之后,内网安全防护的工作量并没有减轻,补丁安装和安全策略的加固还必须靠手工完成,而且对业务的数据访问也无法实现分权访问和审计。所以,一旦出现新的漏洞,IT管理人员会十分担心。当然还有“升级外联”、“补丁安装”,这些工作可能对业务和关键信息产生的二次威胁。
结合上述分析,人社局的内外网安全大排查工作迅速展开。在浪潮工程师的协助下,扫描出大量安全漏洞,有个别漏洞的安全风险级别达到了3级。而风险3级表示一个恶意用户或(黑客)可以利用这些漏洞对后台主机进行修改或窃取重要数据,甚至控制服务器。
安全也能“整齐划一”
要消除这些安全威胁,重点在于对主机进行全面加固,并对安全进行统一管理。
在浪潮安全工程师的建议下,人社局信息中心决定试用SSR对红头网站、数据库、虚拟化服务器和内网主机进行了主机加固部署。
针对外网的情况,浪潮SSR在操作系统安全技术领域引入内核增强的全新理念,采用ROST技术和“三权分立”思想,重构主机操作系统,使安全技术应用由“治标”转为“治本”。另外,浪潮SSR还使用了强制访问控制规则库,当未经授权的非法用户通过各种手段突破了防火墙等网络安全产品进入了内部主机,甚至窃取了操作系统管理员最高权限后,SSR内核加固技术仍然能够确保红头网站的安全。其次,SSR对数据库服务器上的全市(含区县)人社数据和资料进行保护,防止了非法使用、非法修改、非法拷贝文件数据的事件发生,其完善的对比检测机制,可以让非法人员“进不来、拿不走、改不了、赖不掉”。
之前,内网中的服务器管理各自为战,往往只有事件发生后,才去“亡羊补牢”,无法真正的做到事前防御、事中检查、杜绝危险蔓延。而通过浪潮SSR的集中展现平台,管理员能够针对运行Windows操作系统的内外网主机实现统一的资源监控、部门管理、策略分发、日志收集、风险分析,并将统一化安全模板批量分发,用于安全管理策略的一致性。在加固技术上,SSR采用内核加固方式,管理员不再需要频繁升级、打补丁或手工加固,避免了外联升级中的风险。
浪潮SSR试用产生了立竿见影的效果,泸州市人社局因此决定采购多套系统,全面提升主机安全管理水平。相关领导表示:“浪潮SSR对web服务器和数据库服务器以及虚拟化环境提供了有效保护,极大提高了各主机的安全防护级别,能有效帮助我们预防安全漏洞所导致的泄密事件发生,重新定义了安全层面和级别。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者