近日，浪潮率先推出了基于可信計(jì)算技術(shù)的服務(wù)器產(chǎn)品。在國(guó)家大力倡導(dǎo)信息系統(tǒng)自主可控、安全可靠的當(dāng)下，浪潮推出可信服務(wù)器的意義在哪里？可信服務(wù)器究竟是如何實(shí)現(xiàn)系統(tǒng)的安全防護(hù)的呢？

7月召開(kāi)的可信云服務(wù)大會(huì)公布了國(guó)家首批通過(guò)可信云認(rèn)證的云服務(wù)名單，浪潮榜上有名。9月，浪潮正式發(fā)布了業(yè)內(nèi)首款可信服務(wù)器，首批可信服務(wù)器包括2路與4路機(jī)型。

將可信計(jì)算的技術(shù)和理念加入到服務(wù)器的設(shè)計(jì)中，讓服務(wù)器變得更加安全，浪潮走在了前面。在國(guó)家大力倡導(dǎo)信息系統(tǒng)自主可控、安全可靠的當(dāng)下，浪潮推出可信服務(wù)器的意義在哪里？可信服務(wù)器究竟是如何實(shí)現(xiàn)系統(tǒng)的安全防護(hù)的呢？近日，浪潮集團(tuán)信息安全事業(yè)部的專家們接受了本報(bào)記者的采訪。

基于TPM2.0

據(jù)了解，浪潮推出的可信服務(wù)器基于TPM2.0（可信平臺(tái)模塊，Trusted Platform Module），包含安全主板、安全BIOS和安全軟件等技術(shù)，實(shí)現(xiàn)從關(guān)鍵部件的固件程序、虛擬化到基礎(chǔ)軟件系統(tǒng)的完整性度量和保護(hù)，有效防止了病毒、后門(mén)和木馬對(duì)系統(tǒng)運(yùn)行環(huán)境的篡改攻擊；更可有效檢測(cè)硬件和基礎(chǔ)軟件層的APT攻擊，防止因固件和軟件漏洞導(dǎo)致的高級(jí)惡意代碼植入。浪潮在可信服務(wù)器的研發(fā)過(guò)程中聯(lián)合業(yè)內(nèi)著名IT公司和高校研發(fā)力量，如武漢大學(xué)、國(guó)民科技、中標(biāo)軟、英特爾等，推動(dòng)并實(shí)現(xiàn)了在TPM2.0標(biāo)準(zhǔn)版本上，中國(guó)商用密碼管理規(guī)范標(biāo)準(zhǔn)算法SM2、SM3和SM4在云計(jì)算中的實(shí)際應(yīng)用，支持并滿足國(guó)內(nèi)可信計(jì)算應(yīng)用需求。

浪潮集團(tuán)信息安全事業(yè)部安全可信云主機(jī)產(chǎn)品經(jīng)理劉剛介紹，可信計(jì)算體系中有三個(gè)重要特性：建立信任鏈、標(biāo)識(shí)平臺(tái)的身份、保護(hù)密鑰。浪潮可信服務(wù)器便是在浪潮最新的服務(wù)器平臺(tái)上置入可信安全模塊，打造了完整的可信計(jì)算體系。“浪潮可信服務(wù)器將從整體上為用戶打造一個(gè)高安全性、高性能和高可靠性的服務(wù)器的基礎(chǔ)平臺(tái)。”劉剛說(shuō)。

當(dāng)前，有組織、有預(yù)謀，以竊取企業(yè)核心信息為目的的惡意攻擊已經(jīng)成為網(wǎng)絡(luò)攻擊的主流。企業(yè)應(yīng)該在保障自己核心系統(tǒng)和數(shù)據(jù)安全，保障自己的數(shù)據(jù)中心安全方面增加投入。特別是云數(shù)據(jù)中心（IaaS）的日益普及，讓云數(shù)據(jù)中心安全性更加重要。浪潮率先推出可信服務(wù)器，正是希望以可信計(jì)算的思想，來(lái)解決當(dāng)前云數(shù)據(jù)中心的安全隱憂。

“云數(shù)據(jù)中心作為信息資源的集中地和最頻繁的交換地，已經(jīng)成為了安全事件的多發(fā)地，而威脅防護(hù)上的任何疏漏都可能造成無(wú)法彌補(bǔ)的損失。在數(shù)據(jù)中心從以物理服務(wù)器為核心，向虛擬化和云計(jì)算演進(jìn)，并正在進(jìn)入由軟件定義的下一代數(shù)據(jù)中心的過(guò)程中，服務(wù)器作為云數(shù)據(jù)中心核心裝備的安全策略也需隨之更新?！崩顺奔瘓F(tuán)信息安全事業(yè)部總經(jīng)理張東表示。

將信任鏈傳遞到應(yīng)用層

事實(shí)上，浪潮可信服務(wù)器可以用作傳統(tǒng)主機(jī)和云主機(jī)，分別強(qiáng)化傳統(tǒng)數(shù)據(jù)中心和云數(shù)據(jù)中心 的安全?！翱尚欧?wù)器是可信云主機(jī)的根基，以可信服務(wù)器為基礎(chǔ)，浪潮已經(jīng)形成了完整的云主機(jī)安全可信解決方案?！睆垨|介紹，云主機(jī)的安全可信解決方案，融合了可信計(jì)算、操作系統(tǒng)加固、虛擬計(jì)算安全等技術(shù)，以可信芯片為根基，構(gòu)建連接固件、VMM（虛擬監(jiān)控器）、Guest OS和上層應(yīng)用的信任鏈，應(yīng)對(duì)云主機(jī)所面臨的安全威脅。

在浪潮構(gòu)建的完整的云主機(jī)安全可信解決方案中，浪潮SSR（操作系統(tǒng)安全增強(qiáng)系統(tǒng)）尤為重要。它介于可信服務(wù)器與上層應(yīng)用之間，起到了云主機(jī)安全的紐帶作用。浪潮SSR其實(shí)是一款運(yùn)行于主流商業(yè)操作系統(tǒng)中的內(nèi)核級(jí)安全軟件，它通過(guò)來(lái)自硬件層的信任鏈對(duì)其進(jìn)行完整性度量和保護(hù)，可為應(yīng)用提供完整的可信支撐與應(yīng)用運(yùn)行環(huán)境保護(hù)，防止惡意代碼入侵和黑客攻擊。此外，浪潮SSR可以對(duì)系統(tǒng)和程序完整性提供支撐，從而保證信任鏈可以傳遞到應(yīng)用程序?qū)用?，同時(shí)可以攔截程序?qū)Σ僮飨到y(tǒng)內(nèi)核的調(diào)用，可監(jiān)測(cè)到應(yīng)用程序運(yùn)行的所有行為，可發(fā)現(xiàn)程序的異常行為。

劉剛介紹，浪潮的SSR能夠從根本上對(duì)服務(wù)器操作系統(tǒng)的惡意攻擊免疫，將木馬、后門(mén)、蠕蟲(chóng)類病毒和內(nèi)外網(wǎng)的惡意攻擊拒之門(mén)外。而可信計(jì)算機(jī)制又保證了SSR不會(huì)被篡改，即使被篡改也能及時(shí)發(fā)現(xiàn)，從而增強(qiáng)了安全性。

三層安全可信體系

事實(shí)上，浪潮的云主機(jī)安全解決方案圍繞企業(yè)核心信息資產(chǎn)的保護(hù)，聚焦在金融、能源、交通等關(guān)鍵行業(yè)的云數(shù)據(jù)中心市場(chǎng)。“當(dāng)前，各個(gè)關(guān)鍵行業(yè)的信息化系統(tǒng)面臨著越來(lái)越多的安全挑戰(zhàn)。這些行業(yè)掌握的一些核心數(shù)據(jù)具備巨大的價(jià)值，如果被惡意攻擊，數(shù)據(jù)遭到竊取或篡改，后果不堪設(shè)想?！睆垨|表示，浪潮可信服務(wù)器作為浪潮主機(jī)戰(zhàn)略的延續(xù)，強(qiáng)化了云數(shù)據(jù)中心核心數(shù)據(jù)資產(chǎn)的保護(hù)，并帶動(dòng)了芯片、處理器、操作系統(tǒng)、應(yīng)用軟件等整個(gè)信息安全產(chǎn)業(yè)鏈生態(tài)系統(tǒng)的發(fā)展進(jìn)程。

其實(shí)，浪潮從2007年就開(kāi)始專注于可信計(jì)算相關(guān)技術(shù)和工程應(yīng)用工作。作為中關(guān)村可信計(jì)算聯(lián)盟的整機(jī)委員會(huì)副理事長(zhǎng)單位，浪潮在深度整合用戶需求的基礎(chǔ)上，在業(yè)內(nèi)率先推出了SSR、SSM（應(yīng)用監(jiān)管系統(tǒng)）和SSA（安全應(yīng)用交付系統(tǒng)）。在浪潮的可信計(jì)算體系中，一方面以可信芯片為起點(diǎn)建立了覆蓋服務(wù)器體系的可信服務(wù)器，另一方面以SSR為起點(diǎn)建立了可以傳遞到上層應(yīng)用的信任鏈。通過(guò)SSR的橋梁作用，可以實(shí)現(xiàn)從最低層可信芯片到最上層應(yīng)用的信任鏈傳遞。

張東介紹，為了讓最終用戶用上“放心云”，浪潮將從云主機(jī)安全可信、軟件的健康上線、云服務(wù)的受控訪問(wèn)、云數(shù)據(jù)的集中管控、云安全感知與服務(wù)、異地容災(zāi)備份這六大目標(biāo)幫助企業(yè)和云數(shù)據(jù)中心運(yùn)營(yíng)管理者達(dá)成目標(biāo)。顯而易見(jiàn)的是，云主機(jī)安全的安全可信是整個(gè)安全目標(biāo)的基礎(chǔ)。

浪潮2路和4路商用可信服務(wù)器產(chǎn)品的推出，在云數(shù)據(jù)中心基礎(chǔ)設(shè)施層面上實(shí)現(xiàn)了可信計(jì)算“零”的突破。浪潮方面也向記者透露，在10月下旬的“Inspur World”大會(huì)上，浪潮基于可信服務(wù)器的云主機(jī)安全可信解決方案將整體亮相，提供從硬件平臺(tái)、云操作系統(tǒng)到應(yīng)用容器的三層安全可信防護(hù)體系，從源頭為云計(jì)算提供更好的安全可控防護(hù)，消除企業(yè)在部署云計(jì)算時(shí)的最大擔(dān)憂，為客戶構(gòu)建“放心云”。