全面解析浪潮云主機(jī)安全產(chǎn)品解決方案

　　企業(yè)在云計(jì)算、大數(shù)據(jù)、BYOD等新一代IT技術(shù)的驅(qū)動(dòng)下，業(yè)務(wù)發(fā)展更加高效智能，但信息安全問(wèn)題卻日益嚴(yán)重。承載著大型關(guān)鍵業(yè)務(wù)系統(tǒng)的云數(shù)據(jù)中心，缺乏可信、安全、可控的生態(tài)環(huán)境亟需改變。這一現(xiàn)象也反映在IDC的全球調(diào)查報(bào)告中，數(shù)據(jù)表明，70%以上的用戶對(duì)云計(jì)算安全、可靠性等抱有懷疑態(tài)度。

　　今年十月，浪潮針對(duì)云數(shù)據(jù)中心的安全特點(diǎn)和需求，推出了國(guó)內(nèi)首個(gè)云主機(jī)安全產(chǎn)品解決方案。方案以云數(shù)據(jù)中心物理主機(jī)安全、虛擬主機(jī)安全、軟件定義的計(jì)算和存儲(chǔ)服務(wù)安全為重點(diǎn)，把可信計(jì)算體系與主動(dòng)防御體系進(jìn)行了有效的結(jié)合，以可信服務(wù)器為根基，構(gòu)建從底層硬件到上層業(yè)務(wù)系統(tǒng)的完整信任鏈，保障云主機(jī)在數(shù)據(jù)處理和業(yè)務(wù)運(yùn)行中的完整性、保密性和可用性。

　　云主機(jī)安全決定云計(jì)算“金字塔”的穩(wěn)固

　　黑客團(tuán)體已經(jīng)把攻擊目標(biāo)鎖定在利益豐厚的云數(shù)據(jù)中心上，以“Guest OS鏡像篡改”、“主機(jī)租戶攻擊”、“虛擬機(jī)蔓延”和“API接口濫用”等為代表的新型威脅開(kāi)始廣泛出現(xiàn)。以封堵查殺為主的消極被動(dòng)的防護(hù)措施，在新的信息安全形勢(shì)面前防不勝防， 傳統(tǒng)的網(wǎng)絡(luò)安全、終端安全、邊界安全解決方案已無(wú)法適應(yīng)云數(shù)據(jù)中心的安全需求。

　　云主機(jī)作為云基礎(chǔ)設(shè)施的核心，由服務(wù)器、虛擬化、操作系統(tǒng)構(gòu)成，承載著重要數(shù)據(jù)和應(yīng)用處理，其安全與否決定著云計(jì)算“金字塔”的穩(wěn)固。浪潮推出的云主機(jī)安全產(chǎn)品整體解決方案，其目標(biāo)是幫助各類云計(jì)算用戶保護(hù)核心信息資產(chǎn)，并為軟件定義數(shù)據(jù)中心等遠(yuǎn)景規(guī)劃提供安全可信的大環(huán)境。

　　對(duì)于云主機(jī)用戶，此方案通過(guò)感知技術(shù)自動(dòng)甄別環(huán)境的變化，防止針對(duì)服務(wù)器硬件、虛擬化軟件、Guest OS及其他基礎(chǔ)設(shè)施的惡意代碼植入，進(jìn)而提升用戶自我防御能力；對(duì)于云數(shù)據(jù)中心運(yùn)營(yíng)者，安全可信的計(jì)算環(huán)境將會(huì)吸引更多租戶加入，并在縱橫交錯(cuò)的可信鏈條上提升云服務(wù)的質(zhì)量和可靠性；對(duì)于特定行業(yè)中的高安全等級(jí)服務(wù)器，該方案能為關(guān)鍵的業(yè)務(wù)程序提供安全可信的計(jì)算環(huán)境，防止因服務(wù)器基礎(chǔ)軟硬件被植入高級(jí)惡意代碼，從而避免設(shè)備被控、數(shù)據(jù)被盜的情況發(fā)生。

　　五大安全模塊構(gòu)建安全可信的計(jì)算環(huán)境，應(yīng)對(duì)云主機(jī)威脅

　　浪潮在主機(jī)安全領(lǐng)域已有十余年的歷史，在可信計(jì)算方面的研究和實(shí)踐也超過(guò)了五年，技術(shù)上的長(zhǎng)期積累，以及研發(fā)環(huán)節(jié)的大幅投入，讓浪潮的信息安全產(chǎn)品在云計(jì)算時(shí)代取得了攻堅(jiān)突破。為了幫助用戶從容應(yīng)對(duì)云數(shù)據(jù)中心的安全挑戰(zhàn)，浪潮云主機(jī)安全產(chǎn)品解決方案融合了可信計(jì)算、操作系統(tǒng)加固、虛擬計(jì)算安全等技術(shù)，從縱向和橫向兩個(gè)維度解決云主機(jī)面臨的安全威脅。浪潮云主機(jī)安全產(chǎn)品解決方案通過(guò)五大關(guān)鍵模塊構(gòu)建云數(shù)據(jù)中心安全可信計(jì)算環(huán)境。

　　以可信服務(wù)器為根基的浪潮云主機(jī)安全產(chǎn)品解決方案

　　模塊一：浪潮可信服務(wù)器

　　浪潮可信服務(wù)器以可信安全模塊為可信根，構(gòu)建從硬件到軟件的完整信任鏈，并對(duì)服務(wù)器硬件和軟件的完整性進(jìn)行可信度量和動(dòng)態(tài)完整性監(jiān)控，可有效發(fā)現(xiàn)服務(wù)器上運(yùn)行的非法硬件、固件、軟件，從而抵御針對(duì)服務(wù)器基礎(chǔ)軟硬件平臺(tái)的高級(jí)攻擊，以及其他惡意軟件、Rootkit攻擊和類似惡意活動(dòng)。

　　模塊二：浪潮虛擬機(jī)安全套件

　　浪潮虛擬機(jī)安全套件包含了能夠與云數(shù)據(jù)中心進(jìn)化同步的虛擬化安全套件，確保虛擬機(jī)可信執(zhí)行、虛擬化軟件可信啟動(dòng)，并對(duì)Guest OS鏡像文件提供完整性保護(hù)，可防止VMM和VM被篡改。同時(shí)，通過(guò)強(qiáng)制訪問(wèn)控制技術(shù)，實(shí)現(xiàn)VMM的安全加固，防止虛擬機(jī)監(jiān)控器被黑客攻擊；虛擬網(wǎng)絡(luò)安全模塊網(wǎng)絡(luò)解決同一物理設(shè)備網(wǎng)絡(luò)流量不可見(jiàn)的問(wèn)題。

　　模塊三：浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)

　　浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)提供了針對(duì)服務(wù)器操作系統(tǒng)內(nèi)核層面的安全加固，基于先進(jìn)的ROST（內(nèi)核加固）技術(shù)，可以從系統(tǒng)層對(duì)操作系統(tǒng)進(jìn)行“主動(dòng)”加固。其主要原理是通過(guò)對(duì)文件、目錄、進(jìn)程、注冊(cè)表和服務(wù)的強(qiáng)制訪問(wèn)控制。通過(guò)三權(quán)分立思想，有效的制約和分散了原有系統(tǒng)管理員的權(quán)限。

　　浪潮SSR通過(guò)對(duì)可信計(jì)算的支持，可對(duì)上層應(yīng)用程序提供可信啟動(dòng)、動(dòng)態(tài)監(jiān)控等功能。并且與傳統(tǒng)的信息安全產(chǎn)品形成了良好的互補(bǔ)，完善了當(dāng)前國(guó)內(nèi)用戶整體安全解決方案中最為重要的環(huán)節(jié)，填補(bǔ)了國(guó)內(nèi)長(zhǎng)期在操作系統(tǒng)層面安全產(chǎn)品的空白，符合國(guó)家等級(jí)保護(hù)、分級(jí)保護(hù)以及軍工、軍隊(duì)、電力等多個(gè)行業(yè)的信息安全建設(shè)要求。

　　模塊四：浪潮安全容器套件

　　浪潮安全容器套件是運(yùn)行于浪潮SSR之上的一款安全軟件。對(duì)GestOS的防護(hù)方面，該套件與浪潮SSR形成完美的互補(bǔ)。其中，浪潮SSR主要為操作系統(tǒng)及重要的服務(wù)、程序等提供安全保護(hù)，安全容器為客戶業(yè)務(wù)系統(tǒng)提供快捷的、安全的保護(hù)。可防止來(lái)由黑客控制操作系統(tǒng)后，對(duì)業(yè)務(wù)系統(tǒng)帶來(lái)破壞和攻擊，同時(shí)也可防止業(yè)務(wù)系統(tǒng)被攻擊后，對(duì)操作系統(tǒng)平臺(tái)和其他業(yè)務(wù)程序的攻擊。

　　模塊五：浪潮云主機(jī)安全管理平臺(tái)

　　浪潮云主機(jī)安全管理平臺(tái)是一款基于B/S架構(gòu)的安全軟件系統(tǒng)，主要為云數(shù)據(jù)中心可信計(jì)算、虛擬化安全、操作系統(tǒng)安全、應(yīng)用安全等提供統(tǒng)一的集中的安全管理。

　　浪潮云主機(jī)安全產(chǎn)品解決方案聚焦云數(shù)據(jù)中心基礎(chǔ)計(jì)算設(shè)施服務(wù)，針對(duì)其安全防護(hù)的重點(diǎn)，利用可信服務(wù)器、虛擬化安全套件、SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)、SSR安全容器套件、云主機(jī)安全管理平臺(tái)這五大核心產(chǎn)品作為支撐，浪潮將幫助用戶消除在云計(jì)算應(yīng)用環(huán)境中的各項(xiàng)安全隱患。

　　與此同時(shí)，在浪潮的主機(jī)安全戰(zhàn)略藍(lán)圖上，也已經(jīng)確定了軟件定義云主機(jī)安全架構(gòu)為未來(lái)方向，利用安全資源按需自動(dòng)化調(diào)配，以及基于大數(shù)據(jù)的安全感知，引領(lǐng)信息安全技術(shù)的發(fā)展，用軟件定義安全共筑下一代數(shù)據(jù)中心。