adyy
新新人类
帖子
8
精华
0
无忧币 38
积分 28
阅读权限 20
|
发表于:2008-4-16 13:55
标题:爱发牢骚的CIO对垒频频发难的Hacker(3)
<上一帖 |
下一帖>
CIO故事连载3:师兄出马
篡改网站事件后,老李增强了警剔性,并对手下的上网行为进行严加管理,但还是小事不断,要么是网页打开慢,要么无形中被挂了马。老李过得很不顺,有一次跟朋友聊天发牢骚时对方笑呵呵的,问为什么不找老张,忘了他的操作系统安全加固理论了?
原来,有一次老李去北京参加朋友聚会,酒酣耳热后大发牢骚,感叹自己系统免疫力咋那么弱。一帮人问明了情况后,竟发现很多人都出了这样的事。席间一朋友出建议说给系统安全加固,当时大家都觉得操作系统源代码在外国人手里,时不时地还出现系统漏洞,而且黑客手中掌握的可以用来利用的漏洞远比系统厂商公布于众的多,再加上系统漏洞补丁更新存在明显的真空期,因此操作系统的安全加固从何谈起?
那朋友姓张,跟老李在同一所大学读计算机系,是在学校的网络中心认识的,比老李高一届,毕业后一直在信息安全领域奋斗,目前是浪潮信息安全事业部的技术工程师。张工程师详细询问了老李的境遇后,当即说,你们服务器现在最需要的就是增强免疫力。
几天后,老张带了一帮浪潮的技术人员奔到信息中心机房。略叙寒暄后,老张他们即开始对服务器进行安全检测。查出的结果倒把老李吓了一跳,系统里仍然活跃着不少木马,其中的一些是嵌在常规的系统进程中运行的(难怪老李日也查、夜也查,就是揪不出眼皮底下的病毒),更有甚者,正在开着的端口与外界进行通讯。浪潮技术人员当即中止了该通讯,通过分析得知,黑客正试图通过这些端口下载文件系统数据库里的一些重要数据。
在清除掉系统里潜伏的木马之后,老张拿出了他的安全法宝——浪潮SSR(服务器操作系统安全加固系统)。这件法宝是在操作系统的内核(文件系统、过程控制、内存控制、硬件界面)外构建一道无形的安全屏障,拦截了病毒、黑客对系统的入侵行为,使得黑客或破坏性的恶意程序对服务器操作系统和数据没有任何自主能力,这无异于从最根本的地方增强了服务器的免疫力。
在部署浪潮SSR的过程中,老张运用类似于政治体制中“三权分立”的思想,将传统超级管理员(Administrator、Root)的权力分散成三部分:安全管理员由老李担任,负责制定完善的安全策略,通过SSR内置的强制访问规则列表Forced Access Control List(FACL)接管系统自身的ACL,实现Windows、*.UNIX平台下用户对系统资源访问的强制访问控制,同时采用USB-KEY和数字证书的认证方式加强操作的安全性,也就是说,这项权力实实在在地掌握在老李手中,非黑客技术所能抢夺;审计管理员是小罗的职责,对服务器上发生的安全事件进行统计分析,结合操作系统日志、数据库日志、防火墙及IDS等日志,以供老李及系统管理员制定出具有针对性的安全策略;系统管理员则是负责具体日常事务的管理,如编辑网站、安装软件、运行(或中止)应用程序、删除病毒等等,当然,他能做这些具体事务的前提是得到安全管理员即老李的许可,这样一来,即使黑客通过各种手段获得了操作系统管理员(Administrator、Root)的权力,也无法再像以前一样为所欲为了——这项权力归属于信息中心的副主任老刘。
通过浪潮服务器安全加固系统SSR,信息中心的人还能对来访的用户制定权限,即规定了什么人只能做什么事。老李说这一点很重要,07年的一些流行病毒如熊猫烧香等都具有关闭防火墙、杀毒软件的功能,使系统处于不设防状态。浪潮SSR强制访问控制的实现,使这类病毒等恶意程序连保证自身运行的基本权利都没有,更无从谈起其破坏的功能和目的了。同时可以使用SSR提供的完整性检测功能定期对系统文件、数据库文件、系统服务等进行完整性检测,从中可以发现任何细微的变更事件。考虑到保密性及使用的简易性,在这方面浪潮的工程师们只对信息中心的人进行了培训,具体制定访问控制列表的事由老李、老刘等亲自操刀。
CIO故事连载4:苦尽甘来
部署浪潮SSR以后,由服务器中招而导致的网站访问速度慢及信息泄露事件再也没发生过,关于网站被挂马的投诉也没有了。老李说他现在总算告别“午夜凶铃”的日子。
老李不怀好意地说最有成就感的是07灰鸽子爆发的时候,当时他的同行们因为服务器被人安了后门,各式各样的病毒乘虚而入,结果导致挂马、数据泄露等安全事件频发,那些同行们抱着笔记本到处“救火”。通过部署浪潮SSR服务器安全加固系统,信息中心的服务器对病毒的免疫能力大为增强,可以有效地防御对服务器具有破坏性的病毒和木马等程序
还有一件事也是老李所得意的,07年下半年全国开展重要信息系统等级保护工作,他们的服务器系统由于达到了相应的等级要求,不需要再进行繁琐的改建、扩建工作,更为单位节省了开支,得到了上级领导的认可和鼓励,老李也被评为节约型社会的技术标兵。
“可惜只是口头上的,没有具体的锦旗。”老李仍不忘“发牢骚”,不过这回是笑着说的。
[ 本帖最后由 adyy 于 2008-4-18 11:28 编辑 ]
|
网络工程师到底该不该去考CCIE认证? |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图