机房360首页
当前位置:首页 » 安全访谈 » 浪潮艾奇伟:SSR系统作信息安全的最后屏障

浪潮艾奇伟:SSR系统作信息安全的最后屏障

来源:机房360 作者:赵瑞蕊 更新时间:2010-6-3 17:15:38

摘要:浪潮是浪潮SSR服务器安全加固系统的诞生地,经过浪潮对SSR服务器安全加固系统的努力,人们加深了对信息安全的认识,服务器安全的理念深入人心,SSR产品在金融、税务、制造业等不同领域全面落地。

  在我们的印象中,服务器的安全往往是由上一层的软硬件防火墙来负责的,而浪潮SSR(ServerSystemReinforcement)服务器安全加固系统通过系统内核加固对服务器信息的保密性、完整性、可靠性进行有效保护从而实现与以往不同的、由内而外的保护是否是信息安全的一种新思路?是否成为服务器进行可信计算的关键环节?
  
  浪潮是浪潮SSR服务器安全加固系统的诞生地,经过浪潮对SSR服务器安全加固系统的努力,人们加深了对信息安全的认识,服务器安全的理念深入人心,SSR产品在金融、税务、制造业等不同领域全面落地。在2010年,浪潮集团的SSR产品又将有何新动作?SSR产品的发展形态将会向哪个方向延伸?信息化时代的安全理念又将有何新的变化?
  
  从2002年开始,浪潮集团信息安全事业部副总艾艾奇伟就开始从事SSR产品的研发工作,在这8年多的时间里,他见证了SSR产品的启蒙、诞生和发展,毫不夸张地说,他是SSR产品面市至今最有话语权的发言人之一。而他对SSR产品的规划和思考,以及对国内信息安全市场的发展,都有较为独特的观点,非常值得分享。
  
  黑客攻击考验自主安全研发
  
  对于浪潮SSR服务器安全加固系统的诞生背景,浪潮信息安全事业部的一位长期从事网络安全工作的工程师向记者表示,黑客攻击目标的升级对国家及地区的网络安全建设提出了严峻的挑战,从近年来发生的国际性黑客行为来看,网络虚拟空间逐渐成为国际竞争的另一重要战场。随着国际竞争的日益激烈,黑客攻击升级所考验的更多是一个国家在计算机安全领域的自主研发能力。
  
  安全产业由于木桶效应
  

  艾奇伟谈道,2002年他曾参与到中国《计算机信息系统安全保护等级》相关技术标准编写工作中。在此期间,他看到国内很多从事安全的厂商都从防火墙、杀毒软件这几个方向入手,利用所谓的“围、堵、截”来保障用户安全。诚然,这几类安全产品面向大众市场,一旦获得认同,就能很快得到推广,但在艾奇伟看来,仅仅依靠防火墙、杀毒软件这几类安全产品很难抵御真正黑客的攻击。“如同人们常说的木桶短板效应,要想桶内盛水多,就必须保证木桶木板平齐且无破损。但是在当时的安全市场,安全产业要解决的问题绝不仅仅是木板长短不一,而是根本就缺乏很多块木板来围成木桶。”
  
  正是基于这样的思索,艾奇伟开始思考最底层的安全,也就是最核心的安全所在。经过一番分析,他发现,随着用户应用方式的丰富,用户被攻击的手段也多种多样,在网关、入侵检测、网路安全等多种安全层面被开发的同时,很少有人去关注服务器安全。这是一个看似无足轻重其实却相当重要的安全隐患。“信息安全体系的建立绝不能仅仅依靠杀毒软件和防火墙,还需要有解决系统层面安全的软、硬件产品,特别是对于网络核心设备服务器的安全防护。”
  
  众所周知,要想实现操作系统的绝度安全可控,最理想的方法自然是使用国内自主研发的操作系统,但是就现状而言,国内的服务器操作系统软件多数由国外公司提供,国内用户缺乏对底层技术的了解,软件中是否存在有后门无从了解,这给国家安全埋下了相当严重的隐患,甚至可以说是直接威胁到了国家的安全。国内自主研发的操作系统要想真正实现普及,现在还远远看不到时刻表。
  
  正是国内产品缺乏自主应用和国外产品市场普及的双重矛盾,造就了操作系统加固产品SSR的落地。“在国外,操作系统加固并非空白,市场有成熟的模型,并有相应的标准支撑。而在国内,操作系统加固其实是个空白,SSR的诞生就是弥补了这个空白,这也是我们SSR安全产品最明显的技术优势。”用艾奇伟的话来说,“补齐了安全产品种类中最后一块木板。”
  
  “SSR技术上的难度非常高,最主要的就是产品稳定性,这现在也成了浪潮SSR产品的一大优势。”艾奇伟解释道,操作系统加固是一个逆向工程,当时国外厂商并不公开操作系统源代码,国内市场也全无外力可借鉴,但是他们仍然从零起步,完成了SSR的所有设计。
  
  来自核心的防护
  
  浪潮集团作为我国最大的服务器提供商,对服务器在整体安全中所处的地位和重要性有着更为深刻的认识,因此,从2003年开始就致力于服务器操作系统安全加固技术的研究,在2005年底开发出基于ROST技术的系列操作系统安全加固产品,并在2006年开始在市场上推广,获得了用户及相关国家测评机构的高度评价。这也是我国自主研发的第一款服务器系统安全加固产品,打破了其他国家在这一高端领域的技术垄断,经国家认定,浪潮服务器系统安全加固产品在技术及产品功能上均达到国际先进水平。
  
  基于ROST技术的浪潮SSR服务器安全加固系统从根本上免疫了针对服务器操作系统的一切恶意攻击,将木马、后门、冲击波、震荡波等蠕虫类病毒和黑客的攻击拒之门外。通过强制访问控制、分权管理和强认证几个方面的安全措施,实现了对操作系统管理员权限的合理分散,使系统中不再有权限至高无上的用户。即使管理员密码被窃取,或入侵者通过某种渠道获取了操作系统管理员权限,也无法修改或破坏系统的中诸如数据库、WEB页面等重要文件,不能通过注入线程、修改系统服务等方式制造系统后门,无法新增或感染系统文件进行蠕虫病毒的传播,从根本上免疫了所有针对服务器操作系统的攻击,运行占用资源少,不影响系统性能,确保系统能够安全可靠的运行。
  
  真正的安全服务器
  
  谈到SSR的未来发展,艾奇伟认为,SSR产品严格地说只是一个过渡产品,它是在国内操作系统不普及和国外服务器操作系统不公开的背景下产生的,未来的SSR产品的最终目标就是成为安全服务器中的一部分。
  
  相对于现在的安全服务器,未来的安全服务器对硬件和软件融合的要求可能会更高。在他看来,安全服务器不是指安装了各项杀毒系统的普通服务器,而是安全操作系统、安全的应用系统、服务器三者的有机融合。在管理层的管理下,统一配置策略、查询、审计等等,才是真正的安全服务器,也是SSR产品未来的用武之地。
  
  谈到融合,艾奇伟提出了另外一个安全发展观点,那就是将安全与实际应用相结合,在不牺牲性能的情况下保障安全。他认为,根据不同需求,网络可以划分不同级别,每个级别的数据都有各个级别的标记,不同级别之间的数据流动是受保护的。每个安全域里面的数据都带有敏感标记,比如三级域的数据就带有三级敏感标记,二级域就带有二级敏感标记,当数据在不同级别安全域之间互联互通的时候,敏感标记是携带的,也就是说低可信等级的安全域对高可信等级安全域的数据是受一定访问限制的,除非被授权。服务器也是分为硬件层、系统层、应用层,那么它必然也存在互联、互通、互操作的问题,“没有互联、互通、互操作,就无法实现安全与应用的结合,这肯定不是安全的发展方向。因此一个出色的服务器安全方案中就是一个平台,在互联、互通、互操作的前提下,提供高等级的安全标准。”
  
  通过几年的发展,浪潮SSR服务器安全加固系统从无到有,从简单到完善的发展起来,而最近北京地税案例的成功实施,更让浪潮信息安全事业部充满信心,他说“尽管与一些金融机构拥有较为深入的合作关系,但安全加固系统这条市场大路没有捷径可走,只能靠实力逐步前进。”

  责任编辑:Cat蕊

本文地址:http://www.jifang360.com/news/201063/n07986904.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
更多
推荐图片