資訊安全不容「死角」

主機通常服務于企業的核心業務系統，如何保證關鍵資料不丟失、全年業務不中斷，是主機系統的終極使命，因此主機系統的安全至關重要。 正是意識到這一點，中國最大的水電上市公司——中國長江電力股份有限公司（簡稱「長江電力」）為保障葛洲壩、三峽工程等重點專案發電機組運行資料的安全，採用了浪潮SSR作業系統安全增強系統對AIX作業系統和Oracle RAC資料庫進行安全加固，從主機核心層構築安全，時刻保證長江電力生產管理系統（ePMS）等關鍵應用的順暢運行。

資訊安全不容「死角」

長江電力主要從事水力發電業務，是目前中國最大的水電上市公司，公司擁有葛洲壩電站及三峽電站全部發電機組，受託運行管理規模在世界前十大水電站之列的溪洛渡和向家壩電站。 截至2013年12月31日，公司總裝機容量為2527.7萬千瓦，為中國經濟發展做出了重要貢獻。 僅以長江電力下屬的三峽電站為例，三峽供電滿足了華南、西南、華中等地的大部分用電需求，供電區域GDP約占全國的54%，惠及人口達6.7億；而整個長江電力公司的供電區域和覆蓋人口更為龐大。 對於長江電力來說，如何保證電力生產和供應已經不僅關係著企業的經營收入，更關係著千萬家企業的工業用電和上億個家庭的生活用電保障，責任重於泰山。

為保障電力生產和運行，長江電力早在2002年開始電力資訊化建設，部署了電力生產執行資訊系統(ePMS)。 ePMS系統是一個集成的、分模組的系統，但模組之間是密切相關的，設備、維修、庫存、採購、分析等一環扣一環。 同時，ePMS系統作為一個閉環系統，又可分為三個層次：維修規劃、維修處理和維修分析。 ePMS系統在緊密圍繞電廠設備維修管理和設備運行管理的核心業務主線的基礎上，拓展到設備安全管理、可靠性管理、員工績效審查以及財務預算控制與財務成果分析。 因為其系統複雜度較高，且包含八大子系統，三個層次。 若其中一個子系統出現問題，給長江電力ePMS系統帶來的將是系統連動的停滯，甚至對整個公司業務產生較大的影響。 除ePMS系統以外，長江電力還部署了辦公自動化系統（EIIS）、全面預算執行資訊系統（CBMS）、大型企業B2B電子商務採購平臺，多平臺運行更是增加了安全防護的複雜度。

目前，面臨複雜、惡劣的網路環境，由於長江電力資訊系統複雜度較高，子系統眾多，且相互依賴性極高，若其中一個子系統出現病毒或駭客入侵問題，會給長江電力關鍵業務系統帶來聯動性停滯。

對此，長江電力資訊部門負責人表示：「我公司參與了國內許多重大科技創新專案和電力樞紐建設，這些專案中運轉的業務系統和資料關乎民生，因此其安全性等級相對於其他行業更高。 如果因外部人員竊取，或內部人員誤操作造成資料丟失、非法修改等問題，將會給公司甚至我國的電力行業造成無法彌補的損失。 因此，我們力求資訊安全架構的全面性、完整性和有效性，絕不能容忍‘死角’產生。 」

長江電力對資訊安全的擔憂並非空穴來風。 如今，由資訊系統實現自動化控制的電力行業，已成為「超級駭客」的攻擊目標。 2014年7月，上千家歐美電力和能源公司曾被一種名為「能源之熊」的電腦病毒侵襲，其結果是駭客掌握了對電廠進行遠端控制的能力。 這種病毒在入侵廠家的電腦控制系統後，既可讓駭客遠端監控各地的即時能源消費情況，又能輕鬆通過輸入命令代碼讓發電系統發生故障，甚至全面癱瘓。 過去18個月來，已有84個國家的1000多個發電站感染上述病毒。 而葛洲壩電站、三峽電站皆是我國極為重要的能源樞紐，負責連接東西、縱貫南北，一旦上述網路安全入侵事故，影響的絕非區域性停電的「小事」。

主機安全才是「治本」

資訊安全的最核心的地方在哪裡？ 「物必先腐也，而後蟲生之」，最堅固的堡壘往往是從內部被攻破的。 資訊系統安全同樣如此，長江電力ePMS等電力資訊化系統的資料都保存在主機系統中，主機安全至關重要。

長江電力過去採用傳統的主機安全措施是通過手工加固的方式提高作業系統安全。 通過修改作業系統或者應用軟體自身的安全性原則來提升系統的安全性，比如修改系統群組原則，劃分更細的許可權，降低應用軟體的運行許可權等。 手動安全加固雖然可以暫時消除系統的安全隱患，但這種加固方法卻有著明顯的弱點。 比如：專業性強、費用高、週期長、時間局限明顯等等，無法長期有效的解決系統的安全問題。 值得注意的是，所有手工加固都是基於系統管理員的基礎來配置的，這也就是說管理員可以自行加固也可以自行取消，安全性原則的有效性得不到審計，一旦駭客獲取系統管理員許可權，所有的安全性原則都會失效，因此達不到強制存取控制的功能。

那麼，能否為伺服器和作業系統加裝「防護罩」，實現「自動」、「主動」的防護，對駭客和病毒免疫，為ePMS等關鍵應用形成安全穩定的運行環境呢？

經過對長江電力IT系統的系統評估，浪潮資訊安全專家提供了長江電力主機安全解決方案。 該方案涵蓋了先進的SSR作業系統增強系統，並基於浪潮ROST（內核加固）技術對長江電力的作業系統「自動」進行加固。 SSR實現原理是通過對檔、目錄、進程、註冊表和服務的強制存取控制,有效的制約和分散了原有系統管理員的許可權，綜合了對檔和服務的完整性檢測、防緩衝區溢位等功能，能夠把普通的作業系統從體系上升級， 使其符合國家資訊安全等級保護伺服器作業系統安全的三級標準。 而針對Oracle資料庫和前臺Web主機中的檔、進程，浪潮SSR通過MD5和RC2演算法，確保了資料校驗結果的唯一性，堵住了非法使用者或惡意程式更改資料檔案內容的可能。

這一優勢能為長江電力帶來很大價值，能夠避免傳統手工防護所造成的人力、時間、財力等的大量消耗，顯著降低TCO。

而且，浪潮以SSR為核心的主機安全解決方案還可以和長江電力現有的網路層防護產品形成「互補」。 防火牆等傳統型防護產品屬於這些網路層的產品，主要通過阻斷埠或者協定包的方式來保護主機，其防護方向主要是來自外網的攻擊。 而浪潮SSR位於系統層，通過強制存取控制策略來保護系統，這使得長江電力的主機安全實現了「既防外網，又控內網」的全新保護框架。

自動、主動防護

長江電力在對關鍵業務運行環境調研後，在運行AIX作業系統的伺服器，以及Oracle RAC集群節點的主機上部署了浪潮SSR企業版，對主機上的ePMS系統以及Oracle服務進程、註冊表等進行安全防護，實現了病毒免疫， 防止了各種因為補丁因素造成的應用停擺問題。 同時，對其入口網站檔進行安全防護，通過SSR檔完整性校驗功能，以及即時監控功能，保證了網站系統的安全性、關鍵檔案的完整性。

長江電力資訊部門管理層表示：「作為國家重點安全防護的重要領域，長江電力所處行業的特殊性，決定著資訊部門需要發揮一切潛能，不僅需要分析出問題產生的原因，更需要找到解決問題的辦法。 因此，在修煉內功的同時，借助外力不可或缺。 在我方遇到手動作業系統加固技術瓶頸時，浪潮的主機安全解決方案説明我們實現了「自動」、「主動」防護，免疫了病毒、蠕蟲、駭客攻擊等針對主機的攻擊行為，在一定程度上促使長江電力完成資訊安全水準的進階和提升。 」