12月1日,国家标准化管理委员会和国家质量监督检验检疫总局联合发布的国标GB/T21028-2007《信息安全技术?服务器安全技术要求》开始正式实施。
这项信息安全国家标准体系,是我国第一个服务器安全标准,填补了国内在服务器安全技术领域的空白。该标准的实施,为国家信息安全等级保护制度的顺利推广和落实奠定了良好的基础,在大幅提高我国国家信息安全水平的同时,也标志着我国自主产业力量开始主导国家信息安全的未来。
服务器成攻击"标靶"
服务器是信息系统的重要组成部分,它以操作系统和硬件系统为基础,担负着对信息和数据存储、传输、处理和发布的重要任务,因而成为了众多黑客与木马程序争相攻击的对象。国家计算机网络安全应急技术处理协调中心发布的报告显示,仅2007 年上半年,就发现 8361个境外控制服务器对我国大陆地区的主机进行控制,频繁的网络攻击与入侵使我国的信息安全建设面临极大的考验。日前台湾间谍李芳荣控制大陆服务器窃取国家机密事件就揭示了网络安全对于国家信息安全的严峻挑战。
业内专家分析,造成这种情况的原因,一方面是病毒更新速度太快,各个变种、新病毒层出不穷;另一方面,安全意识有待加强,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患,从而导致数据库及系统管理权限的被盗,给信息系统造成难以想像的损害。此外,网络安全管理意识的薄弱也给了黑客可趁之机。
"老三篇"难防新问题
那么各单位不都花钱采购了杀毒软件、防火墙、隔离网闸等设备了么?浪潮安全事业部总经理黄涛认为,光凭这"老三篇"已经不足以应付新问题了。
现有的安全措施基本上都是从网络层和应用层对攻击者的行为过程进行阻断,例如防火墙屏蔽一些非法网络请求,杀毒软件查杀一些已知的病毒程序,然而在支撑整个业务体系的网络架构中,最重要和关键的无疑是其中的各类服务器,他们运行着业务系统的核心程序,保存着所有的机密数据信息。但是,这些承载着业务系统的操作系统的安全问题却是层出不穷,而传统的安全产品无法从操作系统的内核层对我们的业务和数据进行保护,导致在整个安全体系中,网络和应用层的防护非常臃肿和庞大,而处在核心位置的操作系统却未作任何的防护措施。
黄涛坦言,号称"一夫当关,万夫莫开"的防火墙,在一定程度上简化了网络的安全管理,但网络入侵者可能寻找到某些防火墙背后可能敞开的后门,对于这种入侵者可能在防火墙内的网络内部攻击基本无法防范。
要从根本上解决安全问题,必须通过强制访问控制、分权管理和强认证几个方面的安全措施,实现对操作系统管理员权限的合理分散,使系统中不再有权限至高无上的用户。即使管理员密码被窃取,或入侵者通过某种渠道获取了操作系统管理员权限,也无法修改或破坏系统中的诸如数据库、WEB页面等重要文件,不能通过注入线程、修改系统服务等方式制造系统后门,无法新增或感染系统文件进行蠕虫病毒的传播,控制了移动介质的使用,避免由于非可信U盘的接入而导致的信息泄露,篡改,从根本上"免疫"所有针对服务器操作系统的攻击。
服务器采购安全缺位
每年政府会采购数千台服务器,采购这些服务器的时候是否把安全考虑在内呢?
河北省政府采购中心IT采购负责人段向辉表示,由于没有具体的安全标准,所以无法在招标文件中体现对安全的需求,尽管有少数企业拥有服务器安全产品,但是不能把他们的技术标准写入招标文件。
今年10月进行的国税总局服务器采购中,招标文件仅仅要求投标产品关键部件有预警能力:CPU、内存、硬盘驱动器、电源及风扇等,故障前可提前报警;故障部件的快速诊断功能,提高维修速度;可远程开关机,重启,升级防火墙等;具有图形管理界面及其他高级管理功能,这距离安全服务器的标准还有很大差距。
有了安全标准的"国标"之后,政府采购能否以"国标"约束服务器厂商?似乎只有采购人有这种权力,如果采购人的敏感信息多,自然可以要求采购符合国家安全标准的服务器。如果采购人没有这种要求,采购中心也没有权力强迫执行。
上海市政府采购中心秦志龙认为,关键看安全标准的"国标"的强制力有多大。如果国家标准对安全有强制要求,政府采购的招标文件中才会要求所有服务器必须安全。