為關鍵行業(yè)提供強力保護

近日，浪潮率先推出了基于可信計算技術的服務器產(chǎn)品。在國家大力倡導信息系統(tǒng)自主可控、安全可靠的當下，浪潮推出可信服務器的意義在哪里？可信服務器究竟是如何實現(xiàn)系統(tǒng)的安全防護的呢？

7月召開的可信云服務大會公布了國家首批通過可信云認證的云服務名單，浪潮榜上有名。9月，浪潮正式發(fā)布了業(yè)內(nèi)首款可信服務器，首批可信服務器包括2路與4路機型。

將可信計算的技術和理念加入到服務器的設計中，讓服務器變得更加安全，浪潮走在了前面。在國家大力倡導信息系統(tǒng)自主可控、安全可靠的當下，浪潮推出可信服務器的意義在哪里？可信服務器究竟是如何實現(xiàn)系統(tǒng)的安全防護的呢？近日，浪潮集團信息安全事業(yè)部的專家們接受了本報記者的采訪。

基于TPM2.0

據(jù)了解，浪潮推出的可信服務器基于TPM2.0（可信平臺模塊，Trusted Platform Module），包含安全主板、安全BIOS和安全軟件等技術，實現(xiàn)從關鍵部件的固件程序、虛擬化到基礎軟件系統(tǒng)的完整性度量和保護，有效防止了病毒、后門和木馬對系統(tǒng)運行環(huán)境的篡改攻擊；更可有效檢測硬件和基礎軟件層的APT攻擊，防止因固件和軟件漏洞導致的高級惡意代碼植入。浪潮在可信服務器的研發(fā)過程中聯(lián)合業(yè)內(nèi)著名IT公司和高校研發(fā)力量，如武漢大學、國民科技、中標軟、英特爾等，推動并實現(xiàn)了在TPM2.0標準版本上，中國商用密碼管理規(guī)范標準算法SM2、SM3和SM4在云計算中的實際應用，支持并滿足國內(nèi)可信計算應用需求。

浪潮集團信息安全事業(yè)部安全可信云主機產(chǎn)品經(jīng)理劉剛介紹，可信計算體系中有三個重要特性：建立信任鏈、標識平臺的身份、保護密鑰。浪潮可信服務器便是在浪潮最新的服務器平臺上置入可信安全模塊，打造了完整的可信計算體系?！袄顺笨尚欧掌鲗恼w上為用戶打造一個高安全性、高性能和高可靠性的服務器的基礎平臺?！眲傉f。

當前，有組織、有預謀，以竊取企業(yè)核心信息為目的的惡意攻擊已經(jīng)成為網(wǎng)絡攻擊的主流。企業(yè)應該在保障自己核心系統(tǒng)和數(shù)據(jù)安全，保障自己的數(shù)據(jù)中心安全方面增加投入。特別是云數(shù)據(jù)中心（IaaS）的日益普及，讓云數(shù)據(jù)中心安全性更加重要。浪潮率先推出可信服務器，正是希望以可信計算的思想，來解決當前云數(shù)據(jù)中心的安全隱憂。

“云數(shù)據(jù)中心作為信息資源的集中地和最頻繁的交換地，已經(jīng)成為了安全事件的多發(fā)地，而威脅防護上的任何疏漏都可能造成無法彌補的損失。在數(shù)據(jù)中心從以物理服務器為核心，向虛擬化和云計算演進，并正在進入由軟件定義的下一代數(shù)據(jù)中心的過程中，服務器作為云數(shù)據(jù)中心核心裝備的安全策略也需隨之更新?！崩顺奔瘓F信息安全事業(yè)部總經(jīng)理張東表示。

將信任鏈傳遞到應用層

事實上，浪潮可信服務器可以用作傳統(tǒng)主機和云主機，分別強化傳統(tǒng)數(shù)據(jù)中心和云數(shù)據(jù)中心 的安全?！翱尚欧掌魇强尚旁浦鳈C的根基，以可信服務器為基礎，浪潮已經(jīng)形成了完整的云主機安全可信解決方案?！睆垨|介紹，云主機的安全可信解決方案，融合了可信計算、操作系統(tǒng)加固、虛擬計算安全等技術，以可信芯片為根基，構建連接固件、VMM（虛擬監(jiān)控器）、Guest OS和上層應用的信任鏈，應對云主機所面臨的安全威脅。

在浪潮構建的完整的云主機安全可信解決方案中，浪潮SSR（操作系統(tǒng)安全增強系統(tǒng)）尤為重要。它介于可信服務器與上層應用之間，起到了云主機安全的紐帶作用。浪潮SSR其實是一款運行于主流商業(yè)操作系統(tǒng)中的內(nèi)核級安全軟件，它通過來自硬件層的信任鏈對其進行完整性度量和保護，可為應用提供完整的可信支撐與應用運行環(huán)境保護，防止惡意代碼入侵和黑客攻擊。此外，浪潮SSR可以對系統(tǒng)和程序完整性提供支撐，從而保證信任鏈可以傳遞到應用程序?qū)用?，同時可以攔截程序?qū)Σ僮飨到y(tǒng)內(nèi)核的調(diào)用，可監(jiān)測到應用程序運行的所有行為，可發(fā)現(xiàn)程序的異常行為。

劉剛介紹，浪潮的SSR能夠從根本上對服務器操作系統(tǒng)的惡意攻擊免疫，將木馬、后門、蠕蟲類病毒和內(nèi)外網(wǎng)的惡意攻擊拒之門外。而可信計算機制又保證了SSR不會被篡改，即使被篡改也能及時發(fā)現(xiàn)，從而增強了安全性。

三層安全可信體系

事實上，浪潮的云主機安全解決方案圍繞企業(yè)核心信息資產(chǎn)的保護，聚焦在金融、能源、交通等關鍵行業(yè)的云數(shù)據(jù)中心市場?！爱斍?，各個關鍵行業(yè)的信息化系統(tǒng)面臨著越來越多的安全挑戰(zhàn)。這些行業(yè)掌握的一些核心數(shù)據(jù)具備巨大的價值，如果被惡意攻擊，數(shù)據(jù)遭到竊取或篡改，后果不堪設想。”張東表示，浪潮可信服務器作為浪潮主機戰(zhàn)略的延續(xù)，強化了云數(shù)據(jù)中心核心數(shù)據(jù)資產(chǎn)的保護，并帶動了芯片、處理器、操作系統(tǒng)、應用軟件等整個信息安全產(chǎn)業(yè)鏈生態(tài)系統(tǒng)的發(fā)展進程。

其實，浪潮從2007年就開始專注于可信計算相關技術和工程應用工作。作為中關村可信計算聯(lián)盟的整機委員會副理事長單位，浪潮在深度整合用戶需求的基礎上，在業(yè)內(nèi)率先推出了SSR、SSM（應用監(jiān)管系統(tǒng)）和SSA（安全應用交付系統(tǒng)）。在浪潮的可信計算體系中，一方面以可信芯片為起點建立了覆蓋服務器體系的可信服務器，另一方面以SSR為起點建立了可以傳遞到上層應用的信任鏈。通過SSR的橋梁作用，可以實現(xiàn)從最低層可信芯片到最上層應用的信任鏈傳遞。

張東介紹，為了讓最終用戶用上“放心云”，浪潮將從云主機安全可信、軟件的健康上線、云服務的受控訪問、云數(shù)據(jù)的集中管控、云安全感知與服務、異地容災備份這六大目標幫助企業(yè)和云數(shù)據(jù)中心運營管理者達成目標。顯而易見的是，云主機安全的安全可信是整個安全目標的基礎。

浪潮2路和4路商用可信服務器產(chǎn)品的推出，在云數(shù)據(jù)中心基礎設施層面上實現(xiàn)了可信計算“零”的突破。浪潮方面也向記者透露，在10月下旬的“Inspur World”大會上，浪潮基于可信服務器的云主機安全可信解決方案將整體亮相，提供從硬件平臺、云操作系統(tǒng)到應用容器的三層安全可信防護體系，從源頭為云計算提供更好的安全可控防護，消除企業(yè)在部署云計算時的最大擔憂，為客戶構建“放心云”。