服务器安全技术研究与成果推广

　　随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于基于服务器和终端机的计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，同时种类繁杂的各种应用程序自身的代码缺陷导致的漏洞致使网络整体易受黑客、怪客、恶意软件和其他不轨的攻击，而黑客的攻击行为也从单纯的能力炫耀转变为利益驱使的商业行为，所以网络中整体信息的安全和保密是一个至关重要的问题，其承载和处理信息的服务器安全和保密技术保障尤为重要。

　　因此，上述的服务器必须有足够强的安全措施，否则该服务器在网络中将是个巨大的安全隐患、甚至会危及社会秩序稳定与国家安全。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

　　我国在信息安全领域特别重视自主、可控的信息安全技术和设备的科研生产工作，同时在国内重大事件(例如奥运会、人大会议)的信息安全保障工作中也体现了国家对信息安全的重视程度，近日新华社电：“经胡锦涛主席批准，中央军委近日印发了《关于加强新形势下军队信息安全保障工作的意见》”，《意见》针对当前我军信息安全面临的突出问题，对加快构建具有我军特色的信息安全保障体系作出了总体部署。

　　在国家“十一五”“863计划”信息技术领域重大专项的科研工作中，浪潮承担高性能、高容错计算系统研制与应用推广，同时在服务器操作系统安全加固技术的科研推广中也荣获了工信部的鉴定，在此过程中积累的宝贵经验也都为浪潮在服务器安全领域的技术研究和成果推广奠定了坚实的基础。

　　2007年12月1日，浪潮联合国内主要服务器厂商起草GB/T 21028-2007《信息安全技术•服务器安全技术要求》国家标准并由国家标准化委员会公布，从此我国在安全服务器的设计制造上有了统一的标准依照，《信息安全技术服务器安全技术要求》规定：服务器的安全应包含硬件安全、运行安全、数据安全、数据库安全和应用安全五个层面。

　　硬件安全中的设备状态监控指标，它指的不仅仅是对CPU、内存和硬盘等方面的简单监控，还包括对机箱打开的情况、电源的温度、风扇的转速、机箱内部的温度等方面的监控;

　　运行安全又包括：主机安全监控、网络安全监控、安全审计、恶意代码防护、备份与故障恢复、可信计算支持、可信时间戳;

　　数据安全包括：身份鉴别、自主访问控制、标记、强制访问控制、数据完整性、数据保密性、数据流控制、可信路径等等。

　　浪潮集团有限公司结合多年来在服务器自主研发生产的宝贵经验，以浪潮信息安全事业部作为信息安全技术支撑单位的保障，推出填补国内空白的浪潮英信安全服务器。

　　即将发布的浪潮英信安全服务器主要功能特点如下：

　　1、从物理层到应用层的深度过滤

　　浪潮英信安全服务器硬件层面采用专利知识产权的高速安全芯片，在不影响服务器性能的情况下，对流经服务器的数据实现深度过滤和访问控制，即可以对进出安全服务器的数据进行数据包实时监控和深入分析，可有效防止来自网络层、应用层的攻击以及服务器上敏感信息的泄漏。

　　专用芯片支持两类查找方式，第一类方式：全包整流内容检测和第二类方式：基于MEMORY的内容查找，采用全包整流的检测机制，直接检查网络中底层和原始的信息，所以核心能够做到非常灵活，不受应用限制，用户需要检测的规则直接配置进来进行相关检测，将细粒度检测发挥到极致;对来自 CPU的数据进行检测，该数据既可以是软件发送来的单个的数据包，也可以是内存中的一片数据，该方式能给 CPU的查找提供加速功能，尤其是在大数据量，多规则的情况下，效果非常明显。在实际网络中，因为应用的多样性和复杂性，有时候需要分级来分析和处理网络上的应用，两类方式的级联使用，进行更深入准确的内容查找和处理

　　同时，由于网络安全处理芯片自身具有强大的运算分析功能，因此不会占用服务器自身CPU、内存等硬件处理资源，其安全功能不会影响服务器的业务处理性能。

　　2、操作系统内核加固

　　通过改造操作系统内核级访问控制模型，实现对系统资源细粒度的强制访问控制，通过合理的安全策略定制，能够完美的支持相应平台的各类应用系统，有效的保障了客户的业务连续性。

　　通过系统内核加固，实现对操作系统、应用程序的文件、进程、重要数据的强制访问控制替代原有的自主访问控制机制，基于“三权分立”的设计思想实现操作系统权限最小化原则。

　　3、多安全技术动态集成

　　集网络/数据/应用的强制访问控制、入侵防御、流量管理、操作系统内核加固、应用安全防护等技术于一身，直接保护企业关键数据和应用系统。

　　4、服务器安全可扩展性接口

　　为可信计算、VPN、防病毒、指纹识别、PKI认证、加密、应用防护、安全审计等安全产品和技术提供灵活的扩展接口。

　　5、基于IFA+智能计算架构的高可靠性硬件平台

　　浪潮英信安全服务器基于浪潮IFA+服务器硬件平台，支持英特尔至强高端处理器系列服务器产品，具有极高的全方位安全防护能力，极强劲的计算、存储和输入/输出性能，适用于对安全性要求高、处理速度、运算能力有较高要求的应用环境;同时兼具高可靠的系统设计，完全胜任关键业务7*24小时不间断运行的需求。

　　IFA+是浪潮以2005年推出的IFA(智能弹性架构)为基础、进行补充和增强后产生的新一代服务器应用技术平台架构，这一架构是由Bensley平台带来的上述新技术及浪潮自行开发的创新技术融汇而来，融合最新硬件高可靠性技术，具有可信、智能、弹性等特点，浪潮将IFA+的核心理念概括为“效能三角”，即以性能均衡提升为原则，以应对用户业务应变为目的，将计算、存储、I/O等服务器基础功能单元与可信、智能、弹性等客户应用技术整合于一体，最大限度释放双核计算性能，实现服务器在客户应用过程中的高效能新体验。

　　6、安全集中管理

　　安全集中管理平台专为浪潮英信安全服务器量身定做，为浪潮服务器的性能助力，提高了服务器操作的智能化。为客户提供可扩展、可集成的自动化服务器管理框架，关键管理任务自动化，以促使IT成本从日常运维转移到业务系统的优化、创新开发中，以及为用户数据的保护提供了有效的工具。

　　通过运营视图，可以便捷的对所管理的英信安全服务器的服务器管理信息、工作状态、策略配置、安全策略、告警时间、安全审计、安全管理等功能进行监控和管理。

　　浪潮集团信息安全