(立體安全方案架構圖)
  
      層層遞進,構建立體安全
  
      以前,在安全領域主要是以禁用主機上沒用的服務端口、設置殺毒軟件、軟件版本的防火墻等以實現抵御外部產生的威脅,而目前網絡的安全措施主要是獨立的硬件防火墻。它可以實現用戶信息的訪問控制和安全防范、實現對網絡不同安全區(qū)域的隔離,達到可控訪問的目的。例如入侵者如果打開了主機上某些被禁止的端口,由于防火墻并未開放該端口,因此入侵者仍然不可以使用該端口進行內外網之間的通訊,防止了內部資源或數據的外泄。如曙光天羅防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級。當其檢測到危險信息時,系統可以根據管理員的設置斷開連接,實現入侵主動防護。另外使用防火墻還可以有效地降低安全管理的工作強度,提高計算機群系統安全的可管理性。



      防火墻為高性能機群提供了基本的安全防范,然而防火墻只能提供被動的、靜態(tài)的保護,所提供的安全級別較低,如果與網絡入侵檢測系統(NIDS)、主機入侵檢測系統(HIDS)、數據安全、機群安全管理4個層面互相配合,則可以提供動態(tài)的安全防護,全面提升計算機群的安全等級。



   
  (立體安全解決方案網絡拓撲圖)
  
      第一級防護:網絡安全
  
      處在互聯網中的計算機首先要面對的就是網絡安全。一般情況下,防火墻對于對被允許的主機和應用的攻擊無能為力,因為這些攻擊會偽裝成對這些合法主機和應用服務的訪問,從而騙過防火墻,進入到受防火墻保護的區(qū)域之內。因此對于安全要求較高的局域網、或者局域網中部署有關鍵應用的,應該在使用防火墻保護的基礎上,采用入侵檢測系統(NIDS)提高相關區(qū)域的安全防護水平。
  
      網絡入侵檢測系統(NIDS)能監(jiān)視網絡流量,通過偵聽特定網段的數據包,實現對該網段實時監(jiān)視、發(fā)現可疑連接和非法訪問的闖入等,防范網絡層至應用層的各種惡意攻擊和誤操作。網絡入侵檢測系統通過與防火墻聯動,對網絡數據包的過濾和訪問控制,將訪問限制在網絡被允許的主機(IP地址)和應用服務(端口),從而極大地縮小所需管理的安全范,實現針對網絡入侵的安全防護。
  
      第二級防護:主機系統安全
  
      雖然網絡入侵檢測可以對各種應用服務,如Web、SMTP、POP3等提供保護,然而這些更多是對網絡數據包的檢查,而且防御手段通常會滯后于攻擊手段的發(fā)展,因此也就存在由于這種滯后而造成網絡的威脅,而使受保護網絡被侵入,如網絡中的某臺主機受到了攻擊并成為攻擊的中轉站,入侵者通過對被攻破的主機系統進行修改,掩藏自己并對網絡中其它主機發(fā)動攻擊。這些行為是網絡入侵檢測系統無法解決的,這時就需要完善的主機防護系統。



      曙光主機入侵檢測系統(HIDS)能防范對主機系統文件的惡意纂改和誤操作,實時監(jiān)視可疑連接、定期檢查系統日志,掃描用戶行為,發(fā)現非法訪問闖入等。因此主機入侵檢測系統可以很好地彌補網絡入侵檢測系統的盲區(qū),二者形成互補,對繞過防火墻的攻擊行為進行細粒度的檢測和防御,實現從網絡到主機的全面防護。
  
      除HIDS保護以外,曙光天目立體監(jiān)控系統為服務器主機安全提供了更完善的保障,她支持在系統開機時啟動并捕獲BIOS對服務器的檢測信息,并把它們轉化為漢字顯示在服務器前面板液晶屏上,使系統管理員能非常直觀有效地定位服務器系統故障;并能實現基于主機和操作系統的監(jiān)控,同時提供服務器運行檢測月報告,不但可以對服務器的軟件和硬件資源進行監(jiān)控,同時對局域網內的二級服務器運行狀況也了如指掌。
  
      第三級防護:數據安全
  
      高性能計算機群多數都是用于科學研究或重要數據處理,因此其原始資料、計算結果等都屬于安全敏感數據,可以說服務器中所存儲的數據價值遠遠超過了它本身的價值,因此,這些數據的安全存儲和安全備份顯得格外重要,基于Cluster機群技術的雙機備份解決方案,基于用于對雙服務器實行監(jiān)控的容錯軟件和作為數據存儲設備的系列磁盤陣列柜,通過軟硬件兩部分的緊密配合,為數據安全提供了雙重的保護。
  
      除此之外,這些敏感數據在局域網、互聯網中傳輸時極易被竊取、篡改,因此在設計高性能計算機群的安全問題時,數據傳輸中的安全問題也必須要考慮。
  
      而利用防火墻的虛擬專用網絡(VPN-Virtual Private Network)功能實現互聯網用戶和局域網用戶、HPC用戶接口之間的安全通訊成為一種極為必要的手段。VPN是指在公眾網絡上所建立的企業(yè)網絡,此網絡擁有與專用網絡相同的安全、管理及功能等特點,它替代了傳統的撥號訪問,利用 INTERNET 公網資源作為企業(yè)專網的延續(xù)。它能通過加密、認證、數字簽名等保證數據的安全性、完整性。VPN在立體安全中的應用為關鍵數據的傳輸建起了一個高安全的專用數據傳輸通道,成為立體安全極為重要的一部分。
  
      綜合管理:機群安全管理
  
      作為立體安全,一個高效便捷的管理系統十分重要。曙光機群安全管理系統可實現網絡的全域資源管理,實行集中管理,統一配置。防火墻、IDS、VPN與機群安全管理緊密結合,為機群服務器提供更高的安全、更強的管理,從而實現了曙光公司所倡導的“立體安全”理念,為用戶的信息系統提供全方位的深度的“立體安全”防護。
  

分享到

多易

相關推薦