(立體安全方案架構(gòu)圖)
層層遞進(jìn),構(gòu)建立體安全
以前,在安全領(lǐng)域主要是以禁用主機(jī)上沒用的服務(wù)端口、設(shè)置殺毒軟件、軟件版本的防火墻等以實(shí)現(xiàn)抵御外部產(chǎn)生的威脅,而目前網(wǎng)絡(luò)的安全措施主要是獨(dú)立的硬件防火墻。它可以實(shí)現(xiàn)用戶信息的訪問控制和安全防范、實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)不同安全區(qū)域的隔離,達(dá)到可控訪問的目的。例如入侵者如果打開了主機(jī)上某些被禁止的端口,由于防火墻并未開放該端口,因此入侵者仍然不可以使用該端口進(jìn)行內(nèi)外網(wǎng)之間的通訊,防止了內(nèi)部資源或數(shù)據(jù)的外泄。如曙光天羅防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級(jí)。當(dāng)其檢測(cè)到危險(xiǎn)信息時(shí),系統(tǒng)可以根據(jù)管理員的設(shè)置斷開連接,實(shí)現(xiàn)入侵主動(dòng)防護(hù)。另外使用防火墻還可以有效地降低安全管理的工作強(qiáng)度,提高計(jì)算機(jī)群系統(tǒng)安全的可管理性。
防火墻為高性能機(jī)群提供了基本的安全防范,然而防火墻只能提供被動(dòng)的、靜態(tài)的保護(hù),所提供的安全級(jí)別較低,如果與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)、主機(jī)入侵檢測(cè)系統(tǒng)(HIDS)、數(shù)據(jù)安全、機(jī)群安全管理4個(gè)層面互相配合,則可以提供動(dòng)態(tài)的安全防護(hù),全面提升計(jì)算機(jī)群的安全等級(jí)。
(立體安全解決方案網(wǎng)絡(luò)拓?fù)鋱D)
第一級(jí)防護(hù):網(wǎng)絡(luò)安全
處在互聯(lián)網(wǎng)中的計(jì)算機(jī)首先要面對(duì)的就是網(wǎng)絡(luò)安全。一般情況下,防火墻對(duì)于對(duì)被允許的主機(jī)和應(yīng)用的攻擊無能為力,因?yàn)檫@些攻擊會(huì)偽裝成對(duì)這些合法主機(jī)和應(yīng)用服務(wù)的訪問,從而騙過防火墻,進(jìn)入到受防火墻保護(hù)的區(qū)域之內(nèi)。因此對(duì)于安全要求較高的局域網(wǎng)、或者局域網(wǎng)中部署有關(guān)鍵應(yīng)用的,應(yīng)該在使用防火墻保護(hù)的基礎(chǔ)上,采用入侵檢測(cè)系統(tǒng)(NIDS)提高相關(guān)區(qū)域的安全防護(hù)水平。
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)能監(jiān)視網(wǎng)絡(luò)流量,通過偵聽特定網(wǎng)段的數(shù)據(jù)包,實(shí)現(xiàn)對(duì)該網(wǎng)段實(shí)時(shí)監(jiān)視、發(fā)現(xiàn)可疑連接和非法訪問的闖入等,防范網(wǎng)絡(luò)層至應(yīng)用層的各種惡意攻擊和誤操作。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過與防火墻聯(lián)動(dòng),對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的過濾和訪問控制,將訪問限制在網(wǎng)絡(luò)被允許的主機(jī)(IP地址)和應(yīng)用服務(wù)(端口),從而極大地縮小所需管理的安全范,實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)入侵的安全防護(hù)。
第二級(jí)防護(hù):主機(jī)系統(tǒng)安全
雖然網(wǎng)絡(luò)入侵檢測(cè)可以對(duì)各種應(yīng)用服務(wù),如Web、SMTP、POP3等提供保護(hù),然而這些更多是對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的檢查,而且防御手段通常會(huì)滯后于攻擊手段的發(fā)展,因此也就存在由于這種滯后而造成網(wǎng)絡(luò)的威脅,而使受保護(hù)網(wǎng)絡(luò)被侵入,如網(wǎng)絡(luò)中的某臺(tái)主機(jī)受到了攻擊并成為攻擊的中轉(zhuǎn)站,入侵者通過對(duì)被攻破的主機(jī)系統(tǒng)進(jìn)行修改,掩藏自己并對(duì)網(wǎng)絡(luò)中其它主機(jī)發(fā)動(dòng)攻擊。這些行為是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)無法解決的,這時(shí)就需要完善的主機(jī)防護(hù)系統(tǒng)。
曙光主機(jī)入侵檢測(cè)系統(tǒng)(HIDS)能防范對(duì)主機(jī)系統(tǒng)文件的惡意纂改和誤操作,實(shí)時(shí)監(jiān)視可疑連接、定期檢查系統(tǒng)日志,掃描用戶行為,發(fā)現(xiàn)非法訪問闖入等。因此主機(jī)入侵檢測(cè)系統(tǒng)可以很好地彌補(bǔ)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的盲區(qū),二者形成互補(bǔ),對(duì)繞過防火墻的攻擊行為進(jìn)行細(xì)粒度的檢測(cè)和防御,實(shí)現(xiàn)從網(wǎng)絡(luò)到主機(jī)的全面防護(hù)。
除HIDS保護(hù)以外,曙光天目立體監(jiān)控系統(tǒng)為服務(wù)器主機(jī)安全提供了更完善的保障,她支持在系統(tǒng)開機(jī)時(shí)啟動(dòng)并捕獲BIOS對(duì)服務(wù)器的檢測(cè)信息,并把它們轉(zhuǎn)化為漢字顯示在服務(wù)器前面板液晶屏上,使系統(tǒng)管理員能非常直觀有效地定位服務(wù)器系統(tǒng)故障;并能實(shí)現(xiàn)基于主機(jī)和操作系統(tǒng)的監(jiān)控,同時(shí)提供服務(wù)器運(yùn)行檢測(cè)月報(bào)告,不但可以對(duì)服務(wù)器的軟件和硬件資源進(jìn)行監(jiān)控,同時(shí)對(duì)局域網(wǎng)內(nèi)的二級(jí)服務(wù)器運(yùn)行狀況也了如指掌。
第三級(jí)防護(hù):數(shù)據(jù)安全
高性能計(jì)算機(jī)群多數(shù)都是用于科學(xué)研究或重要數(shù)據(jù)處理,因此其原始資料、計(jì)算結(jié)果等都屬于安全敏感數(shù)據(jù),可以說服務(wù)器中所存儲(chǔ)的數(shù)據(jù)價(jià)值遠(yuǎn)遠(yuǎn)超過了它本身的價(jià)值,因此,這些數(shù)據(jù)的安全存儲(chǔ)和安全備份顯得格外重要,基于Cluster機(jī)群技術(shù)的雙機(jī)備份解決方案,基于用于對(duì)雙服務(wù)器實(shí)行監(jiān)控的容錯(cuò)軟件和作為數(shù)據(jù)存儲(chǔ)設(shè)備的系列磁盤陣列柜,通過軟硬件兩部分的緊密配合,為數(shù)據(jù)安全提供了雙重的保護(hù)。
除此之外,這些敏感數(shù)據(jù)在局域網(wǎng)、互聯(lián)網(wǎng)中傳輸時(shí)極易被竊取、篡改,因此在設(shè)計(jì)高性能計(jì)算機(jī)群的安全問題時(shí),數(shù)據(jù)傳輸中的安全問題也必須要考慮。
而利用防火墻的虛擬專用網(wǎng)絡(luò)(VPN-Virtual Private Network)功能實(shí)現(xiàn)互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶、HPC用戶接口之間的安全通訊成為一種極為必要的手段。VPN是指在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò),此網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理及功能等特點(diǎn),它替代了傳統(tǒng)的撥號(hào)訪問,利用 INTERNET 公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)。它能通過加密、認(rèn)證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。VPN在立體安全中的應(yīng)用為關(guān)鍵數(shù)據(jù)的傳輸建起了一個(gè)高安全的專用數(shù)據(jù)傳輸通道,成為立體安全極為重要的一部分。
綜合管理:機(jī)群安全管理
作為立體安全,一個(gè)高效便捷的管理系統(tǒng)十分重要。曙光機(jī)群安全管理系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)的全域資源管理,實(shí)行集中管理,統(tǒng)一配置。防火墻、IDS、VPN與機(jī)群安全管理緊密結(jié)合,為機(jī)群服務(wù)器提供更高的安全、更強(qiáng)的管理,從而實(shí)現(xiàn)了曙光公司所倡導(dǎo)的“立體安全”理念,為用戶的信息系統(tǒng)提供全方位的深度的“立體安全”防護(hù)。