长江电力:从主机入手 保障安全核心
2014-12-02张苗苗
张苗苗
主机通常服务于企业的核心业务系统,如何保证关键数据不丢失、全年业务不中断,是主机系统的终极使命,因此主机系统的安全至关重要。正是意识到这一点,中国最大的水电上市公司——中国长江电力股份有限公司(简称“长江电力”)为保障葛洲坝、三峡工程等重点项目发电机组运行数据的安全,采用了操作系统安全增强系统对AIX操作系统和Oracle RAC数据库进行安全加固,从主机核心层构筑安全,时刻保证长江电力生产管理系统(ePMS)等关键应用的顺畅运行。
信息安全不容“死角”
长江电力主要从事水力发电业务,是目前中国最大的水电上市公司,公司拥有葛洲坝电站及三峡电站全部发电机组,受托运行管理规模在世界前十大水电站之列的溪洛渡和向家坝电站。仅以长江电力下属的三峡电站为例,三峡供电满足了华南、西南、华中等地的大部分用电需求,供电区域GDP约占全国的54%,惠及人口达6.7亿;而整个长江电力公司的供电区域和覆盖人口更为庞大。对于长江电力来说,如何保证电力生产和供应已经不仅关系着企业的经营收入,更关系着千万家企业的工业用电和上亿个家庭的生活用电保障,责任重于泰山。
为保障电力生产和运行,长江电力早在2002年开始电力信息化建设,部署了电力生产管理信息系统(ePMS)。ePMS系统是一个集成的、分模块的系统,但模块之间是密切相关的,设备、维修、库存、采购、分析等一环扣一环。同时,ePMS系统作为一个闭环系统,又可分为三个层次:维修规划、维修处理和维修分析。ePMS系统在紧密围绕电厂设备维修管理和设备运行管理的核心业务主线的基础上,拓展到设备安全管理、可靠性管理、员工绩效考核以及财务预算控制与财务成果分析。因为其系统复杂度较高,且包含八大子系统,三个层次。若其中一个子系统出现问题,给长江电力ePMS系统带来的将是系统连动的停滞,甚至对整个公司业务产生较大的影响。除ePMS系统以外,长江电力还部署了办公自动化系统(EIIS)、全面预算管理信息系统(CBMS)、大型企业B2B电子商务采购平台,多平台运行更是增加了安全防护的复杂度。
目前,面临复杂、恶劣的网络环境,由于长江电力信息系统复杂度较高,子系统众多,且相互依赖性极高,若其中一个子系统出现病毒或黑客入侵问题,会给长江电力关键业务系统带来联动性停滞。
对此,长江电力信息部门负责人表示:“我公司参与了国内许多重大科技创新项目和电力枢纽建设,这些项目中运转的业务系统和数据关乎民生,因此其安全性等级相对于其他行业更高。如果因外部人员窃取,或内部人员误操作造成数据丢失、非法修改等问题,将会给公司甚至我国的电力行业造成无法弥补的损失。因此,我们力求信息安全架构的全面性、完整性和有效性,绝不能容忍‘死角产生。”
长江电力对信息安全的担忧并非空穴来风。如今,由信息系统实现自动化控制的电力行业,已成为“超级黑客”的攻击目标。2014年7月,上千家欧美电力和能源公司曾被一种名为“能源之熊”的电脑病毒侵袭,其结果是黑客掌握了对电厂进行远程控制的能力。这种病毒在入侵厂家的电脑控制系统后,既可让黑客远程监控各地的实时能源消费情况,又能轻松通过输入命令代码让发电系统发生故障,甚至全面瘫痪。过去18个月来,已有84个国家的1000多个发电站感染上述病毒。而葛洲坝电站、三峡电站皆是我国极为重要的能源枢纽,负责连接东西、纵贯南北,一旦上述网络安全入侵事故,影响的绝非区域性停电的“小事”。
主机安全才是“治本”
信息安全最核心的地方在哪里?“物必先腐也,而后虫生之”,最坚固的堡垒往往是从内部被攻破的。信息系统安全同样如此,长江电力ePMS等电力信息化系统的数据都保存在主机系统中,主机安全至关重要。
长江电力过去采用传统的主机安全措施是通过手工加固的方式提高操作系统安全。通过修改操作系统或者应用软件自身的安全策略来提升系统的安全性,比如修改系统组策略,划分更细的权限,降低应用软件的运行权限等。手动安全加固虽然可以暂时消除系统的安全隐患,但这种加固方法却有着明显的弱点。比如:专业性强、费用高、周期长、时间局限明显等等,无法长期有效的解决系统的安全问题。值得注意的是,所有手工加固都是基于系统管理员的基础来配置的,这也就是说管理员可以自行加固也可以自行取消,安全策略的有效性得不到审计,一旦黑客获取系统管理员权限,所有的安全策略都会失效,因此达不到强制访问控制的功能。
那么,能否为服务器和操作系统加装“防护罩”,实现“自动”、“主动”的防护,对黑客和病毒免疫,为ePMS等关键应用形成安全稳定的运行环境呢?
经过对长江电力IT系统的系统评估,长江电力信息化负责人制定了完备的主机安全解决方案。该方案涵盖了先进的SSR操作系统增强系统,并基于ROST(内核加固)技术对长江电力的操作系统“自动”进行加固。据悉,此次的安全防护实现原理是通过对文件、目录、进程、注册表和服务的强制访问控制,有效的制约和分散了原有系统管理员的权限,综合了对文件和服务的完整性检测、防缓冲区溢出等功能,能够把普通的操作系统从体系上升级,使其符合国家信息安全等级保护服务器操作系统安全的三级标准。而针对Oracle数据库和前台Web主机中的文件、进程,信息中心采用通过MD5和RC2算法,确保了数据校验结果的唯一性,堵住了非法用户或恶意程序更改数据文件内容的可能。这一优势能为长江电力带来很大价值,能够避免传统手工防护所造成的人力、时间、财力等的大量消耗,显著降低TCO。
而且,此次主机安全解决方案还可以和长江电力现有的网络层防护产品形成“互补”。防火墙等传统型防护产品属于这些网络层的产品,主要通过阻断端口或者协议包的方式来保护主机,其防护方向主要是来自外网的攻击。而防护部署位于系统层,通过强制访问控制策略来保护系统,这使得长江电力的主机安全完全实现了“既防外网,又控内网”的全新保护框架。
自动、主动防护
长江电力在对关键业务运行环境调研后,在运行AIX操作系统的服务器,以及Oracle RAC集群节点的主机上部署了安全防护企业版,对主机上的ePMS系统以及Oracle服务进程、注册表等进行安全防护,实现了病毒免疫,防止了各种因为补丁因素造成的应用停摆问题。同时,对其门户网站文件进行安全防护,通过SSR文件完整性校验功能,以及实时监控功能,保证了网站系统的安全性、关键文件的完整性。
长江电力信息部门管理层表示:“作为国家重点安全防护的重要领域,长江电力所处行业的特殊性,决定着信息部门需要发挥一切潜能,不仅需要分析出问题产生的原因,更需要找到解决问题的办法。因此,在修炼内功的同时,借助外力不可或缺。在我方遇到手动操作系统加固技术瓶颈时,此次制定的主机安全解决方案实现了“自动”、“主动”防护,免疫了病毒、蠕虫、黑客攻击等针对主机的攻击行为,在一定程度上促使长江电力完成信息安全水平的提升。”endprint