近日,由浪潮信息安全承接的XX省考试院信息系统安全加固项目不久将顺利完工,该项目实施完成后将保障该省考试院业务信息系统的连续性、安全性及可用性,避免业务系统因病毒、黑客攻击而导致的网站页面及后台数据信息被恶意篡改、系统服务中断等事故的发生;从技术角度完善了该省考试院信息制度管理体系,实现对考试院各部门系统操作人员的“最小授权”,最大程度上避免了因为内部人员的误操作或恶意行为导致的安全事件。
该省教育考试院(简称考试院)是教育厅直属厅级事业单位,在省委、省政府和省教育厅的领导下,主管全省高、中等教育考试、招生工作。
近年来,随着全国院校积极响应高校扩招的号召,该省考试院的相关工作量也随之大幅增加,考生报名信息的采集、机读评卷及登分、统计和打印名册、网上录取等一系列相关工作全部依靠电脑进行联网处理,考试院信息系统的安全性与可靠性就成为网络维护过程中的重点,一旦出现服务器被黑客渗透,窃取试题,篡改分数等恶性事故,将对全省考生的正常录取及升学造成难以弥补的影响。然而随着考试院信息系统服务器数量和业务系统的不断增加,在为广大考生提供便捷服务的同时,由于考试院信息系统承载业务的特殊性,也必然会引来不法分子的窥视,信息系统面临着来自互联网黑客渗透、病毒等威胁。
据了解,为了改善以上的安全威胁,此次项目使用的浪潮SSR服务器安全加固系统通过增强资源访问控制,合理分配各部门间的权责关系等几个方面加强了该省考试院信息系统的安全性,主要内容包括:
l 构建业务系统底层安全环境,抵御病毒、木马
目前,考试院普遍采用的是WINDOWS系统服务器,众所周知,WINDOWS系统本身的安全性比较低,由于系统安全问题而造成的信息泄密,业务被破坏等事故经常见于报端。本项目通过实施浪潮SSR实现对所有系统资源的强制访问控制,规避病毒、木马通过操作系统漏洞破坏系统,进而影响整个业务系统的稳定运行的风险,能够改善现有操作系统的安全状况。增强操作系统对病毒、木马等恶意操作的主动防御能力。提升业务系统建设的初始阶段的安全高度。
l 实现相关部门的职责合理分配
加强对运维人员行为的管理,实现对不同厂商的运维人员的“最小授权”,通过技术和制度手段对ROOT账号的权力加以分散,也就是说今后不论信息中心、厂家等运维人员,甚至是最高明的黑客,即使用系统最高权限账号登录也只能做其职能范围内的操作,例如查看日志、定期备份、软件维护等,如果需要访问业务系统内部的数据库、支撑进程等,就必须取得相关业务部门的授权,否则对所有业务系统资源都没有任何访问权限。通过合理的权力划分,不仅可以规避来自运维人员和入侵者对业务数据非授权访问带来的风险,而且在对数据等敏感信息的安全责任划分上,也更加单位的实际情况。
记者进一步了解到,作为国内先进的信息安全解决方案及服务提供商,浪潮信息安全已经为教育行业提供了包括防火墙、VPN 系统、安全隔离网闸、网络安全监控管理平台等多种安全产品及系统集成、安全咨询等服务。在未来的合作中,浪潮信息安全在为考试院提供优质产品和解决方案的同时,还将提供全方位的技术支持以及培训服务,为该省教育行业信息化建设工作做出贡献。”
