内核加装安全甲，实现全方位保护

　　工信部已经在网络边界已经部署了大量的安全设备，但是效果仍有限。那么防护的重点在哪里呢? “考虑到该业务应用软件主要运行在服务器平台上，而服务器系统的安全很大程度上是由操作系统的安全性决定。经过我们多次评估和综合考察、测评，以及严格的产品攻防测试，最终采用了浪潮SSR主机操作系统安全增强系统作为服务器平台操作系统安全运行的保护神。”该工作人员表示。

　　工信部邮件系统过去采用传统的主机安全措施是通过手工加固的方式提高操作系统安全。通过修改操作系统或者应用软件自身的安全策略来提升系统的安全性，比如修改系统组策略，划分更细的权限，降低应用软件的运行权限等。手动安全加固虽然可以暂时消除系统的安全隐患，但这种加固方法却有着明显的弱点。比如：专业性强、费用高、周期长、时间局限明显等等，无法长期有效的解决系统的安全问题。值得注意的是，所有手工加固都是基于系统管理员的基础来配置的，这也就是说管理员可以自行加固也可以自行取消，安全策略的有效性得不到审计，一旦黑客获取系统管理员权限，所有的安全策略都会失效，因此达不到强制访问控制的功能。

　　现在，工信部邮件系统的主机安全与过去有了本质区别。通过浪潮SSR为服务器和操作系统成功实现“自动防御”、“主动免疫”的全方位防护。

　　具体来说，SSR解决方案帮助工信部邮件系统的操作系统实现了“自动”加固。原理是通过对文件、目录、进程、注册表和服务的强制访问控制，有效的制约和分散了原有系统管理员的权限，综合了对文件和服务的完整性检测、防缓冲区溢出等功能，能够把普通的操作系统从体系上升级，使其符合国家信息安全等级保护服务器操作系统安全的三级标准。而且，浪潮以SSR为核心的主机安全解决方案还可以和工信部邮件系统部署在网络层的防护产品形成“互补”，使得主机安全实现了“既防外网，又控内网”的全新保护框架。

　　【浪潮SSR在工信部的应用部署图】

　　系统实现主动免疫和永久自动防御

　　工信部在分析了关键业务运行环境之后，在邮件系统服务器和CDAP(多业务应急接管系统)备份系统上部署了浪潮SSR企业版，对主机上的邮件系统以及服务进程、注册表等进行安全防护，实现了病毒免疫，防止了各种因为补丁因素造成的应用停摆问题。

　　工信部信息中心相关专家表示：“工信部邮件系统承载着国内众多行业的标准沟通和下发，作为国家重点安全防护领域，具有极其重要的地位。所以我们必须要保证其安全性不受到丝毫的威胁。在我们遇到主机安全的困扰之时，浪潮SSR解决方案帮助我们实现了主动和永久自动的防御，实现了对病毒自动免疫，帮助我们实现了系统安全的巨大提升。”

　　责任编辑：余芯