安全需求，催生防護新向

    對于企業(yè)來講，運算、存放核心數(shù)據(jù)的高性能計算機或者服務器的信息安全就更為關(guān)鍵。隨著高性能計算需求的不斷增加，已建或新建的高性能計算機群為了方便用戶使用、擴大用戶的使用范圍，逐漸由原來的客戶端/服務器模式（C/S）轉(zhuǎn)向瀏覽器/服務器模式（B/S），并直接面向局域網(wǎng)乃至互聯(lián)網(wǎng)用戶，這使得原來與局域網(wǎng)或互聯(lián)網(wǎng)物理隔離的高性能計算網(wǎng)面臨著嚴重的安全問題。因此在公司網(wǎng)絡建設，尤其是計高性能計算機群中特別需要考慮安全問題。

    曙光技術(shù)專家高琦表示：“科學計算系統(tǒng)不但對內(nèi)部提供各種服務，越來越多的高性能計算也提供到商業(yè)用戶中，高性能計算對外的情況屢見不鮮。一方面內(nèi)部安全是安全的主要問題，據(jù)統(tǒng)計，內(nèi)部攻擊和內(nèi)部人員的誤用造成70%的安全問題；另一方面，對外需要加強訪問控制、非法入侵、安全過濾等邊界安全。另外，用戶還有海量存儲、后備磁帶庫災難容錯需求。”

    四重防護，讓安全面面俱到

    知己知彼，百戰(zhàn)不殆，只有對高性能計算機運行、通訊程序非常了解，才能讓安全防范措施做到“滴水不漏”。曙光技術(shù)專家高琦講道，高性能計算（HPC）是一個綜合系統(tǒng)，涉及網(wǎng)絡系統(tǒng)、主機系統(tǒng)兩個層次。網(wǎng)絡系統(tǒng)的模型是一個分層次的拓撲結(jié)構(gòu)，通常采用五層模型，即物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、應用層。主機系統(tǒng)也可以分為兩個層次：操作系統(tǒng)、應用服務。因此高性能計算（HPC）的安全防護也需采用分層次的拓撲防護措施，即一個完整的高性能計算（HPC）安全解決方案應該覆蓋網(wǎng)絡與主機的各個層次，并且與安全管理相結(jié)合。

    以該思想為出發(fā)點，曙光公司推出了兼具專用防火墻、網(wǎng)絡入侵檢測系統(tǒng)（NIDS）和主機入侵檢測系統(tǒng)（HIDS）、VPN（虛擬專用網(wǎng)絡）功能、機群綜合管理的全方位“立體安全”解決方案。將曙光立體安全解決方案部署于局域網(wǎng)與互聯(lián)網(wǎng)、或局域網(wǎng)中某個特定區(qū)域，就能為局域網(wǎng)或局域網(wǎng)中的特定區(qū)域提供多方面的立體安全保護。

立體安全方案架構(gòu)圖

    層層遞進，構(gòu)建立體安全

    以前，在安全領域主要是以禁用主機上沒用的服務端口、設置殺毒軟件、軟件版本的防火墻等以實現(xiàn)抵御外部產(chǎn)生的威脅，而目前網(wǎng)絡的安全措施主要是獨立的硬件防火墻。它可以實現(xiàn)用戶信息的訪問控制和安全防范、實現(xiàn)對網(wǎng)絡不同安全區(qū)域的隔離，達到可控訪問的目的。例如入侵者如果打開了主機上某些被禁止的端口，由于防火墻并未開放該端口，因此入侵者仍然不可以使用該端口進行內(nèi)外網(wǎng)之間的通訊，防止了內(nèi)部資源或數(shù)據(jù)的外泄。如曙光天羅防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級。當其檢測到危險信息時，系統(tǒng)可以根據(jù)管理員的設置斷開連接，實現(xiàn)入侵主動防護。另外使用防火墻還可以有效地降低安全管理的工作強度，提高計算機群系統(tǒng)安全的可管理性。

    防火墻為高性能機群提供了基本的安全防范，然而防火墻只能提供被動的、靜態(tài)的保護，所提供的安全級別較低，如果與網(wǎng)絡入侵檢測系統(tǒng)（NIDS）、主機入侵檢測系統(tǒng)（HIDS）、數(shù)據(jù)安全、機群安全管理4個層面互相配合，則可以提供動態(tài)的安全防護，全面提升計算機群的安全等級。
  

立體安全解決方案網(wǎng)絡拓撲圖

    第一級防護：網(wǎng)絡安全
  處在互聯(lián)網(wǎng)中的計算機首先要面對的就是網(wǎng)絡安全。一般情況下，防火墻對于對被允許的主機和應用的攻擊無能為力，因為這些攻擊會偽裝成對這些合法主機和應用服務的訪問，從而騙過防火墻，進入到受防火墻保護的區(qū)域之內(nèi)。因此對于安全要求較高的局域網(wǎng)、或者局域網(wǎng)中部署有關(guān)鍵應用的，應該在使用防火墻保護的基礎上，采用入侵檢測系統(tǒng)（NIDS）提高相關(guān)區(qū)域的安全防護水平。

    網(wǎng)絡入侵檢測系統(tǒng)（NIDS）能監(jiān)視網(wǎng)絡流量，通過偵聽特定網(wǎng)段的數(shù)據(jù)包，實現(xiàn)對該網(wǎng)段實時監(jiān)視、發(fā)現(xiàn)可疑連接和非法訪問的闖入等，防范網(wǎng)絡層至應用層的各種惡意攻擊和誤操作。網(wǎng)絡入侵檢測系統(tǒng)通過與防火墻聯(lián)動，對網(wǎng)絡數(shù)據(jù)包的過濾和訪問控制，將訪問限制在網(wǎng)絡被允許的主機（IP地址）和應用服務（端口），從而極大地縮小所需管理的安全范，實現(xiàn)針對網(wǎng)絡入侵的安全防護。

    第二級防護：主機系統(tǒng)安全

    雖然網(wǎng)絡入侵檢測可以對各種應用服務，如Web、SMTP、POP3等提供保護，然而這些更多是對網(wǎng)絡數(shù)據(jù)包的檢查，而且防御手段通常會滯后于攻擊手段的發(fā)展，因此也就存在由于這種滯后而造成網(wǎng)絡的威脅，而使受保護網(wǎng)絡被侵入，如網(wǎng)絡中的某臺主機受到了攻擊并成為攻擊的中轉(zhuǎn)站，入侵者通過對被攻破的主機系統(tǒng)進行修改，掩藏自己并對網(wǎng)絡中其它主機發(fā)動攻擊。這些行為是網(wǎng)絡入侵檢測系統(tǒng)無法解決的，這時就需要完善的主機防護系統(tǒng)。

    曙光主機入侵檢測系統(tǒng)（HIDS）能防范對主機系統(tǒng)文件的惡意纂改和誤操作，實時監(jiān)視可疑連接、定期檢查系統(tǒng)日志，掃描用戶行為，發(fā)現(xiàn)非法訪問闖入等。因此主機入侵檢測系統(tǒng)可以很好地彌補網(wǎng)絡入侵檢測系統(tǒng)的盲區(qū)，二者形成互補，對繞過防火墻的攻擊行為進行細粒度的檢測和防御，實現(xiàn)從網(wǎng)絡到主機的全面防護。

    除HIDS保護以外，曙光天目立體監(jiān)控系統(tǒng)為服務器主機安全提供了更完善的保障，她支持在系統(tǒng)開機時啟動并捕獲BIOS對服務器的檢測信息，并把它們轉(zhuǎn)化為漢字顯示在服務器前面板液晶屏上，使系統(tǒng)管理員能非常直觀有效地定位服務器系統(tǒng)故障；并能實現(xiàn)基于主機和操作系統(tǒng)的監(jiān)控，同時提供服務器運行檢測月報告，不但可以對服務器的軟件和硬件資源進行監(jiān)控，同時對局域網(wǎng)內(nèi)的二級服務器運行狀況也了如指掌。

    第三級防護：數(shù)據(jù)安全

    高性能計算機群多數(shù)都是用于科學研究或重要數(shù)據(jù)處理，因此其原始資料、計算結(jié)果等都屬于安全敏感數(shù)據(jù)，可以說服務器中所存儲的數(shù)據(jù)價值遠遠超過了它本身的價值，因此，這些數(shù)據(jù)的安全存儲和安全備份顯得格外重要，基于Cluster機群技術(shù)的雙機備份解決方案，基于用于對雙服務器實行監(jiān)控的容錯軟件和作為數(shù)據(jù)存儲設備的系列磁盤陣列柜，通過軟硬件兩部分的緊密配合，為數(shù)據(jù)安全提供了雙重的保護。

    除此之外，這些敏感數(shù)據(jù)在局域網(wǎng)、互聯(lián)網(wǎng)中傳輸時極易被竊取、篡改，因此在設計高性能計算機群的安全問題時，數(shù)據(jù)傳輸中的安全問題也必須要考慮。

    而利用防火墻的虛擬專用網(wǎng)絡（VPN－Virtual Private Network）功能實現(xiàn)互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶、HPC用戶接口之間的安全通訊成為一種極為必要的手段。VPN是指在公眾網(wǎng)絡上所建立的企業(yè)網(wǎng)絡，此網(wǎng)絡擁有與專用網(wǎng)絡相同的安全、管理及功能等特點，它替代了傳統(tǒng)的撥號訪問，利用 INTERNET 公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)。它能通過加密、認證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。VPN在立體安全中的應用為關(guān)鍵數(shù)據(jù)的傳輸建起了一個高安全的專用數(shù)據(jù)傳輸通道，成為立體安全極為重要的一部分。

    綜合管理：機群安全管理

    作為立體安全，一個高效便捷的管理系統(tǒng)十分重要。曙光機群安全管理系統(tǒng)可實現(xiàn)網(wǎng)絡的全域資源管理，實行集中管理，統(tǒng)一配置。防火墻、IDS、VPN與機群安全管理緊密結(jié)合，為機群服務器提供更高的安全、更強的管理，從而實現(xiàn)了曙光公司所倡導的“立體安全”理念，為用戶的信息系統(tǒng)提供全方位的深度的“立體安全”防護。

多易