近日,从浪潮安全信息传来消息,该公司承接的XX烟草信息系统安全加固项目不久将顺利完工,该项目实施完成后将保障XX烟草业务信息系统的连续性、安全性及可用性,避免业务系统因病毒、黑客攻击而导致的恶意操纵、系统中断等事故的发生;从技术角度完善XX烟草信息制度管理体系,实现对各部门系统操作人员的"最小授权",最大程度上避免了因为内部人员的误操作或恶意行为导致的安全事件。
在XX烟草业务系统普遍使用的IBM AIX服务器操作系统,这个操作系统在TECSE标准中,都属于C2级操作系统,本身不具备完善安全防护功能,在传统的安全意识中,应用系统的底层安全往往是给服务器安装补丁以及进行一些手工加固,没有对系统本身保护的产品和措施,如果服务器操作系统由于病毒、黑客的攻击而崩溃,那么整个业务体系也会随之瘫痪。
此外,烟草信息系统各个部门之间合理的职能划分,是实现信息系统高效、安全运行的制度保障。在现有的烟草系统职能划分中,业务信息系统的安全运维工作是由在信息中心指导下的厂商现场专人维护完成,因此出现了业务部门、信息中心、服务器厂商、数据库厂商、应用系统厂商多方共同维护的问题,各部门从分清责任考虑都仅对自己责任范围内负责,然而各部门在划分自身责任的同时,却并没有规范各自的权限,很多维护人员都拥有着系统账号,除了执行责任内的运维、升级等行为外,对服务器中的业务数据、业务支撑集成也有着完全的访问权限。
因此,维护人员的误操作、恶意窃取等行为有可能威胁财务系统的数据和业务,给企业的财务安全造成严重的影响。而且,一旦业务系统出现安全问题,由于各部门存在权限重叠,无法及时定位故障点,也在事故后的责任划分时,给企业审计部门做出正确判断造成了很大阻碍。
据了解,为了改善以上这些XX烟草长期以来面临的安全威胁,此次项目使用的浪潮SSR服务器安全加固系统通过增强资源访问控制,合理分配各部门间的权责关系等几个方面加强了XX烟草信息系统的安全性,主要内容包括:
构建业务系统底层安全环境
在网络的技术论坛中,经常能够见到有黑客发布IBM AIX等操作系统的系统漏洞,这就说明作为业务系统支点的操作系统,并不想通常认为的那样固若金汤。通过实施安全产品实现对所有系统资源的强制访问控制,规避黑客通过操作系统漏洞破坏系统,进而影响整个业务系统的稳定运行的风险,能够改善现有操作系统的安全状况。增强操作系统对来自黑客、病毒等恶意操作的主动防御能力。提升业务系统建设的初始阶段的安全高度。
实现相关部门的职责合理分配
加强对运维人员行为的管理,实现对不同厂商的运维人员的"最小授权",通过技术和制度手段对ROOT账号的权力加以分散,也就是说今后信息中心、厂家等运维人员,即使用系统最高权限账号登录也只能做其职能范围内的操作,例如查看日志、定期备份、软件维护等,如果需要访问业务系统内部的数据库、支撑进程等,就必须取得相关业务部门的授权,否则对所有业务系统资源都没有任何访问权限。通过合理的权力划分,不仅可以规避来自运维人员对业务数据非授权访问带来的风险,而且在对数据等敏感信息的安全责任划分上,也更加符合企业的实际情况。
增强业务系统的唯一性
任何软件的安装,都可能由于其兼容性或安全性问题给系统带来威胁。在服务器配制完成并上线服务后,使用浪潮SSR加以安全防护,默认拒绝任何软件的安装,避免由于软件安装的随意性给系统带来的兼容性、系统资源不足等隐患。只有在进行了兼容性、稳定性、系统资源压力测试等必要步骤,并取得了业务部门的授权后,才能将该程序安装到业务系统服务器中。
"业务信息系统的安全与稳定是烟草行业最基本也是最重要的需求,"来自XX烟草的负责人表示,"通过本次业务信息系统安全加固项目,满足了我们对操作系统攻击、病毒的抵御需求、对业务唯一性的需求、各职能部门权限合理化的需求等,为我们的业务信息系统提供更为强大的安全保障".
记者进一步了解到,作为国内先进的信息安全解决方案及服务提供商,浪潮信息安全已经为烟草行业提供了包括防火墙、VPN 系统、安全隔离网闸、网络安全监控管理平台等多种安全产品及系统集成、安全咨询等服务。在未来的合作中,浪潮信息安全在为烟草XX提供优质产品和解决方案的同时,还将提供全方位的技术支持以及培训服务,为烟草行业信息化建设工作做出贡献。"
