论文部分内容阅读
近日,浪潮率先推出了基于可信计算技术的服务器产品。在国家大力倡导信息系统自主可控、安全可靠的当下,浪潮推出可信服务器的意义在哪里?可信服务器究竟是如何实现系统的安全防护的呢?
7月召开的可信云服务大会公布了国家首批通过可信云认证的云服务名单,浪潮榜上有名。9月,浪潮正式发布了业内首款可信服务器,首批可信服务器包括2路与4路机型。
将可信计算的技术和理念加入到服务器的设计中,让服务器变得更加安全,浪潮走在了前面。在国家大力倡导信息系统自主可控、安全可靠的当下,浪潮推出可信服务器的意义在哪里?可信服务器究竟是如何实现系统的安全防护的呢?近日,浪潮集团信息安全事业部的专家们接受了本报记者的采访。
基于TPM2.0
据了解,浪潮推出的可信服务器基于TPM2.0(可信平台模块,Trusted Platform Module),包含安全主板、安全BIOS和安全软件等技术,实现从关键部件的固件程序、虚拟化到基础软件系统的完整性度量和保护,有效防止了病毒、后门和木马对系统运行环境的篡改攻击;更可有效检测硬件和基础软件层的APT攻击,防止因固件和软件漏洞导致的高级恶意代码植入。浪潮在可信服务器的研发过程中联合业内著名IT公司和高校研发力量,如武汉大学、国民科技、中标软、英特尔等,推动并实现了在TPM2.0标准版本上,中国商用密码管理规范标准算法SM2、SM3和SM4在云计算中的实际应用,支持并满足国内可信计算应用需求。
浪潮集团信息安全事业部安全可信云主机产品经理刘刚介绍,可信计算体系中有三个重要特性:建立信任链、标识平台的身份、保护密钥。浪潮可信服务器便是在浪潮最新的服务器平台上置入可信安全模块,打造了完整的可信计算体系。“浪潮可信服务器将从整体上为用户打造一个高安全性、高性能和高可靠性的服务器的基础平台。”刘刚说。
当前,有组织、有预谋,以窃取企业核心信息为目的的恶意攻击已经成为网络攻击的主流。企业应该在保障自己核心系统和数据安全,保障自己的数据中心安全方面增加投入。特别是云数据中心(IaaS)的日益普及,让云数据中心安全性更加重要。浪潮率先推出可信服务器,正是希望以可信计算的思想,来解决当前云数据中心的安全隐忧。
“云数据中心作为信息资源的集中地和最频繁的交换地,已经成为了安全事件的多发地,而威胁防护上的任何疏漏都可能造成无法弥补的损失。在数据中心从以物理服务器为核心,向虚拟化和云计算演进,并正在进入由软件定义的下一代数据中心的过程中,服务器作为云数据中心核心装备的安全策略也需随之更新。”浪潮集团信息安全事业部总经理张东表示。
将信任链传递到应用层
事实上,浪潮可信服务器可以用作传统主机和云主机,分别强化传统数据中心和云数据中心 的安全。“可信服务器是可信云主机的根基,以可信服务器为基础,浪潮已经形成了完整的云主机安全可信解决方案。”张东介绍,云主机的安全可信解决方案,融合了可信计算、操作系统加固、虚拟计算安全等技术,以可信芯片为根基,构建连接固件、VMM(虚拟监控器)、Guest OS和上层应用的信任链,应对云主机所面临的安全威胁。
在浪潮构建的完整的云主机安全可信解决方案中,浪潮SSR(操作系统安全增强系统)尤为重要。它介于可信服务器与上层应用之间,起到了云主机安全的纽带作用。浪潮SSR其实是一款运行于主流商业操作系统中的内核级安全软件,它通过来自硬件层的信任链对其进行完整性度量和保护,可为应用提供完整的可信支撑与应用运行环境保护,防止恶意代码入侵和黑客攻击。此外,浪潮SSR可以对系统和程序完整性提供支撑,从而保证信任链可以传递到应用程序层面,同时可以拦截程序对操作系统内核的调用,可监测到应用程序运行的所有行为,可发现程序的异常行为。
刘刚介绍,浪潮的SSR能够从根本上对服务器操作系统的恶意攻击免疫,将木马、后门、蠕虫类病毒和内外网的恶意攻击拒之门外。而可信计算机制又保证了SSR不会被篡改,即使被篡改也能及时发现,从而增强了安全性。
三层安全可信体系
事实上,浪潮的云主机安全解决方案围绕企业核心信息资产的保护,聚焦在金融、能源、交通等关键行业的云数据中心市场。“当前,各个关键行业的信息化系统面临着越来越多的安全挑战。这些行业掌握的一些核心数据具备巨大的价值,如果被恶意攻击,数据遭到窃取或篡改,后果不堪设想。”张东表示,浪潮可信服务器作为浪潮主机战略的延续,强化了云数据中心核心数据资产的保护,并带动了芯片、处理器、操作系统、应用软件等整个信息安全产业链生态系统的发展进程。
其实,浪潮从2007年就开始专注于可信计算相关技术和工程应用工作。作为中关村可信计算联盟的整机委员会副理事长单位,浪潮在深度整合用户需求的基础上,在业内率先推出了SSR、SSM(应用监管系统)和SSA(安全应用交付系统)。在浪潮的可信计算体系中,一方面以可信芯片为起点建立了覆盖服务器体系的可信服务器,另一方面以SSR为起点建立了可以传递到上层应用的信任链。通过SSR的桥梁作用,可以实现从最低层可信芯片到最上层应用的信任链传递。
张东介绍,为了让最终用户用上“放心云”,浪潮将从云主机安全可信、软件的健康上线、云服务的受控访问、云数据的集中管控、云安全感知与服务、异地容灾备份这六大目标帮助企业和云数据中心运营管理者达成目标。显而易见的是,云主机安全的安全可信是整个安全目标的基础。
浪潮2路和4路商用可信服务器产品的推出,在云数据中心基础设施层面上实现了可信计算“零”的突破。浪潮方面也向记者透露,在10月下旬的“Inspur World”大会上,浪潮基于可信服务器的云主机安全可信解决方案将整体亮相,提供从硬件平台、云操作系统到应用容器的三层安全可信防护体系,从源头为云计算提供更好的安全可控防护,消除企业在部署云计算时的最大担忧,为客户构建“放心云”。
7月召开的可信云服务大会公布了国家首批通过可信云认证的云服务名单,浪潮榜上有名。9月,浪潮正式发布了业内首款可信服务器,首批可信服务器包括2路与4路机型。
将可信计算的技术和理念加入到服务器的设计中,让服务器变得更加安全,浪潮走在了前面。在国家大力倡导信息系统自主可控、安全可靠的当下,浪潮推出可信服务器的意义在哪里?可信服务器究竟是如何实现系统的安全防护的呢?近日,浪潮集团信息安全事业部的专家们接受了本报记者的采访。
基于TPM2.0
据了解,浪潮推出的可信服务器基于TPM2.0(可信平台模块,Trusted Platform Module),包含安全主板、安全BIOS和安全软件等技术,实现从关键部件的固件程序、虚拟化到基础软件系统的完整性度量和保护,有效防止了病毒、后门和木马对系统运行环境的篡改攻击;更可有效检测硬件和基础软件层的APT攻击,防止因固件和软件漏洞导致的高级恶意代码植入。浪潮在可信服务器的研发过程中联合业内著名IT公司和高校研发力量,如武汉大学、国民科技、中标软、英特尔等,推动并实现了在TPM2.0标准版本上,中国商用密码管理规范标准算法SM2、SM3和SM4在云计算中的实际应用,支持并满足国内可信计算应用需求。
浪潮集团信息安全事业部安全可信云主机产品经理刘刚介绍,可信计算体系中有三个重要特性:建立信任链、标识平台的身份、保护密钥。浪潮可信服务器便是在浪潮最新的服务器平台上置入可信安全模块,打造了完整的可信计算体系。“浪潮可信服务器将从整体上为用户打造一个高安全性、高性能和高可靠性的服务器的基础平台。”刘刚说。
当前,有组织、有预谋,以窃取企业核心信息为目的的恶意攻击已经成为网络攻击的主流。企业应该在保障自己核心系统和数据安全,保障自己的数据中心安全方面增加投入。特别是云数据中心(IaaS)的日益普及,让云数据中心安全性更加重要。浪潮率先推出可信服务器,正是希望以可信计算的思想,来解决当前云数据中心的安全隐忧。
“云数据中心作为信息资源的集中地和最频繁的交换地,已经成为了安全事件的多发地,而威胁防护上的任何疏漏都可能造成无法弥补的损失。在数据中心从以物理服务器为核心,向虚拟化和云计算演进,并正在进入由软件定义的下一代数据中心的过程中,服务器作为云数据中心核心装备的安全策略也需随之更新。”浪潮集团信息安全事业部总经理张东表示。
将信任链传递到应用层
事实上,浪潮可信服务器可以用作传统主机和云主机,分别强化传统数据中心和云数据中心 的安全。“可信服务器是可信云主机的根基,以可信服务器为基础,浪潮已经形成了完整的云主机安全可信解决方案。”张东介绍,云主机的安全可信解决方案,融合了可信计算、操作系统加固、虚拟计算安全等技术,以可信芯片为根基,构建连接固件、VMM(虚拟监控器)、Guest OS和上层应用的信任链,应对云主机所面临的安全威胁。
在浪潮构建的完整的云主机安全可信解决方案中,浪潮SSR(操作系统安全增强系统)尤为重要。它介于可信服务器与上层应用之间,起到了云主机安全的纽带作用。浪潮SSR其实是一款运行于主流商业操作系统中的内核级安全软件,它通过来自硬件层的信任链对其进行完整性度量和保护,可为应用提供完整的可信支撑与应用运行环境保护,防止恶意代码入侵和黑客攻击。此外,浪潮SSR可以对系统和程序完整性提供支撑,从而保证信任链可以传递到应用程序层面,同时可以拦截程序对操作系统内核的调用,可监测到应用程序运行的所有行为,可发现程序的异常行为。
刘刚介绍,浪潮的SSR能够从根本上对服务器操作系统的恶意攻击免疫,将木马、后门、蠕虫类病毒和内外网的恶意攻击拒之门外。而可信计算机制又保证了SSR不会被篡改,即使被篡改也能及时发现,从而增强了安全性。
三层安全可信体系
事实上,浪潮的云主机安全解决方案围绕企业核心信息资产的保护,聚焦在金融、能源、交通等关键行业的云数据中心市场。“当前,各个关键行业的信息化系统面临着越来越多的安全挑战。这些行业掌握的一些核心数据具备巨大的价值,如果被恶意攻击,数据遭到窃取或篡改,后果不堪设想。”张东表示,浪潮可信服务器作为浪潮主机战略的延续,强化了云数据中心核心数据资产的保护,并带动了芯片、处理器、操作系统、应用软件等整个信息安全产业链生态系统的发展进程。
其实,浪潮从2007年就开始专注于可信计算相关技术和工程应用工作。作为中关村可信计算联盟的整机委员会副理事长单位,浪潮在深度整合用户需求的基础上,在业内率先推出了SSR、SSM(应用监管系统)和SSA(安全应用交付系统)。在浪潮的可信计算体系中,一方面以可信芯片为起点建立了覆盖服务器体系的可信服务器,另一方面以SSR为起点建立了可以传递到上层应用的信任链。通过SSR的桥梁作用,可以实现从最低层可信芯片到最上层应用的信任链传递。
张东介绍,为了让最终用户用上“放心云”,浪潮将从云主机安全可信、软件的健康上线、云服务的受控访问、云数据的集中管控、云安全感知与服务、异地容灾备份这六大目标帮助企业和云数据中心运营管理者达成目标。显而易见的是,云主机安全的安全可信是整个安全目标的基础。
浪潮2路和4路商用可信服务器产品的推出,在云数据中心基础设施层面上实现了可信计算“零”的突破。浪潮方面也向记者透露,在10月下旬的“Inspur World”大会上,浪潮基于可信服务器的云主机安全可信解决方案将整体亮相,提供从硬件平台、云操作系统到应用容器的三层安全可信防护体系,从源头为云计算提供更好的安全可控防护,消除企业在部署云计算时的最大担忧,为客户构建“放心云”。