浪潮主机安全解决方案助力长江电力实现自动、主动防护

中国最大的水电上市公司——中国长江电力股份有限公司(简称“长江电力”)为保障葛洲坝、三峡工程等重点项目发电机组运行数据的安全,采用了浪潮SSR操作系统安全增强系统对AIX操作系统和Oracle RAC数据库进行安全加固,从主机核心层构筑安全,时刻保证长江电力生产管理系统(ePMS)等关键应用的顺畅运行。

信息安全不容“死角”

长江电力主要从事水力发电业务,是目前中国最大的水电上市公司,公司拥有葛洲坝电站及三峡电站全部发电机组,受托运行管理规模在世界前十大水电站之列的溪洛渡和向家坝电站。截至2013年12月31日,公司总装机容量为2527.7万千瓦,为中国经济发展做出了重要贡献。仅以长江电力下属的三峡电站为例,三峡供电满足了华南、西南、华中等地的大部分用电需求,供电区域GDP约占全国的54%,惠及人口达6.7亿;而整个长江电力公司的供电区域和覆盖人口更为庞大。对于长江电力来说,如何保证电力生产和供应已经不仅关系着企业的经营收入,更关系着千万家企业的工业用电和上亿个家庭的生活用电保障,责任重于泰山。

为保障电力生产和运行,长江电力早在2002年开始电力信息化建设,部署了电力生产管理信息系统(ePMS)。ePMS系统是一个集成的、分模块的系统,但模块之间是密切相关的,设备、维修、库存、采购、分析等一环扣一环。同时,ePMS系统作为一个闭环系统,又可分为三个层次:维修规划、维修处理和维修分析。ePMS系统在紧密围绕电厂设备维修管理和设备运行管理的核心业务主线的基础上,拓展到设备安全管理、可靠性管理、员工绩效考核以及财务预算控制与财务成果分析。因为其系统复杂度较高,且包含八大子系统,三个层次。若其中一个子系统出现问题,给长江电力ePMS系统带来的将是系统连动的停滞,甚至对整个公司业务产生较大的影响。除ePMS系统以外,长江电力还部署了办公自动化系统(EIIS)、全面预算管理信息系统(CBMS)、大型企业B2B电子商务采购平台,多平台运行更是增加了安全防护的复杂度。

目前,面临复杂、恶劣的网络环境,由于长江电力信息系统复杂度较高,子系统众多,且相互依赖性极高,若其中一个子系统出现病毒或黑客入侵问题,会给长江电力关键业务系统带来联动性停滞。

对此,长江电力信息部门负责人表示:“我公司参与了国内许多重大科技创新项目和电力枢纽建设,这些项目中运转的业务系统和数据关乎民生,因此其安全性等级相对于其他行业更高。如果因外部人员窃取,或内部人员误操作造成数据丢失、非法修改等问题,将会给公司甚至我国的电力行业造成无法弥补的损失。因此,我们力求信息安全架构的全面性、完整性和有效性,绝不能容忍‘死角’产生。”

长江电力对信息安全的担忧并非空穴来风。如今,由信息系统实现自动化控制的电力行业,已成为“超级黑客”的攻击目标。2014年7月,上千家欧美电力和能源公司曾被一种名为“能源之熊”的电脑病毒侵袭,其结果是黑客掌握了对电厂进行远程控制的能力。这种病毒在入侵厂家的电脑控制系统后,既可让黑客远程监控各地的实时能源消费情况,又能轻松通过输入命令代码让发电系统发生故障,甚至全面瘫痪。过去18个月来,已有84个国家的1000多个发电站感染上述病毒。而葛洲坝电站、三峡电站皆是我国极为重要的能源枢纽,负责连接东西、纵贯南北,一旦上述网络安全入侵事故,影响的绝非区域性停电的“小事”。

主机安全才是“治本”

信息安全的最核心的地方在哪里?“物必先腐也,而后虫生之”,最坚固的堡垒往往是从内部被攻破的。信息系统安全同样如此,长江电力ePMS等电力信息化系统的数据都保存在主机系统中,主机安全至关重要。

长江电力过去采用传统的主机安全措施是通过手工加固的方式提高操作系统安全。通过修改操作系统或者应用软件自身的安全策略来提升系统的安全性,比如修改系统组策略,划分更细的权限,降低应用软件的运行权限等。手动安全加固虽然可以暂时消除系统的安全隐患,但这种加固方法却有着明显的弱点。比如:专业性强、费用高、周期长、时间局限明显等等,无法长期有效的解决系统的安全问题。值得注意的是,所有手工加固都是基于系统管理员的基础来配置的,这也就是说管理员可以自行加固也可以自行取消,安全策略的有效性得不到审计,一旦黑客获取系统管理员权限,所有的安全策略都会失效,因此达不到强制访问控制的功能。

那么,能否为服务器和操作系统加装“防护罩”,实现“自动”、“主动”的防护,对黑客和病毒免疫,为ePMS等关键应用形成安全稳定的运行环境呢?

经过对长江电力IT系统的系统评估,浪潮信息安全专家提供了长江电力主机安全解决方案。该方案涵盖了先进的SSR操作系统增强系统,并基于浪潮ROST(内核加固)技术对长江电力的操作系统“自动”进行加固。SSR实现原理是通过对文件、目录、进程、注册表和服务的强制访问控制,有效的制约和分散了原有系统管理员的权限,综合了对文件和服务的完整性检测、防缓冲区溢出等功能,能够把普通的操作系统从体系上升级,使其符合国家信息安全等级保护服务器操作系统安全的三级标准。而针对Oracle数据库和前台Web主机中的文件、进程,浪潮SSR通过MD5和RC2算法,确保了数据校验结果的唯一性,堵住了非法用户或恶意程序更改数据文件内容的可能。

这一优势能为长江电力带来很大价值,能够避免传统手工防护所造成的人力、时间、财力等的大量消耗,显著降低TCO。

而且,浪潮以SSR为核心的主机安全解决方案还可以和长江电力现有的网络层防护产品形成“互补”。防火墙等传统型防护产品属于这些网络层的产品,主要通过阻断端口或者协议包的方式来保护主机,其防护方向主要是来自外网的攻击。而浪潮SSR位于系统层,通过强制访问控制策略来保护系统,这使得长江电力的主机安全实现了“既防外网,又控内网”的全新保护框架。

自动、主动防护

长江电力在对关键业务运行环境调研后,在运行AIX操作系统的服务器,以及Oracle RAC集群节点的主机上部署了浪潮SSR企业版,对主机上的ePMS系统以及Oracle服务进程、注册表等进行安全防护,实现了病毒免疫,防止了各种因为补丁因素造成的应用停摆问题。同时,对其门户网站文件进行安全防护,通过SSR文件完整性校验功能,以及实时监控功能,保证了网站系统的安全性、关键文件的完整性。

长江电力信息部门管理层表示:“作为国家重点安全防护的重要领域,长江电力所处行业的特殊性,决定着信息部门需要发挥一切潜能,不仅需要分析出问题产生的原因,更需要找到解决问题的办法。因此,在修炼内功的同时,借助外力不可或缺。在我方遇到手动操作系统加固技术瓶颈时,浪潮的主机安全解决方案帮助我们实现了“自动”、“主动”防护,免疫了病毒、蠕虫、黑客攻击等针对主机的攻击行为,在一定程度上促使长江电力完成信息安全水平的进阶和提升。”

10月23日消息,北京市海淀区建成中国首个统一的综合性政务云平台。该平台由阿里云计算提供云计算和大数据处理、浪潮提供服务器和存储器、华为提供数据通信设备,将成为海淀建设智慧城市的基础性平台,政务、医疗、教育等信息系统都将在该平台上运行。
 
政务云平台上线后,海淀区将逐步把所有面向企业的审批审核事项以及面向市民的服务事项的智慧政务综合服务平台迁移到云平台上,实现网上统一办理,为群众提供智能、高效、便捷的服务。未来群众在海淀区办理人口计生、民政、残联、社保等事项,不必跑去办事大厅,可以直接在网上或者就近的社区服务中心办理。
 
此外,整合了市政设施管理、公共安全管理、社区便民服务、视频监控、消防监管以及应急管理等功能的,面向城市管理和市民服务的海淀区网格化社会服务管理信息系统,模块化的全区办公自动化(OA)系统,南沙河流域水务和汛期管理信息系统,房屋全生命周期管理信息系统等智慧海淀系统都将逐步迁移到云平台上。
 
除政务系统外,实现全区电子病历、电子健康档案、电子影像、检验检测、公共卫生等数据区域共享,三甲医院和二级及社区医院结合形成医疗共同体、方便辖区内380万百姓就近享受高质量医疗服务的海淀区智慧卫生信息系统;以及为40万中小学生和老师提供均衡化、高质量教育教学服务的海淀区智慧教育信息系统等新业务系统都将基于政务云平台。
 
北京市海淀区经信办主任何建吾表示,不自建数据中心、而采用政府购买服务方式构建政务云平台,是基于四点考虑:首先,能够以较低的综合成本获取计算、存储与网络传输资源;其次,能够统一管理计算、存储和传输资源,实现对各委局所需资源的按需实时供给;第三,能够统一管理存储的数据,实现来自不同政府部门大数据的深入挖掘和快速智能分析;第四,能够提高计算和数据存储的安全性。
 
何建吾进一步指出,海淀区政务云平台采购的云计算资源基准价格跟阿里云官网公布的价格一致,公开透明,避免可能存在的不规范行为,而未来几年云计算单位价格每年还将可能降低30%以上,这将大大降低原来政府部门自建数据机房的资金投入,同时也将大幅节省原来每年近400万元的运维费用。
 
北京市海淀区是全国著名的科教文化区,区内高新企业、高等院校、科研院所等高度聚集。2013年海淀区有软件和信息服务业企业1767家,占全市2751家企业的64%,有28家企业入选全国软件收入百强企业。2013年软件信息服务业收入达3051亿元,约占全市的62.8%,约占全国的七分之一。海淀区政务云平台的落地,以及后续部署其上的更多高质量的云应用系统,将对云计算产业生态具有积极引导和示范作用,有望向全北京乃至全国推广。
 
阿里云计算总裁王文彬认为,海淀区的理念很先进,这种政府采购云服务的模式对全国各地政府而言都具有示范意义,也给智能化的未来城市发展带来无限可能。阿里云希望通过在各个领域普及云计算服务,把大数据能力输送给每一个需要互联网化的政府、机构和企业,为中国新经济的发展提供强大的“互联网新能源”。
 
今年以来,阿里巴巴相继与海南、浙江、贵州、广西、宁夏、河南、河北达成了云计算和大数据方面的合作。率先采用阿里云计算服务的政府部门,还包括中国气象局、浙江省水利厅、浙江省交通厅等。