立体安全 让高性能计算机固若金汤

      Internet互联网信息技术的发展,使得计算机的应用范围已经遍及世界各个角落。众多的企业纷纷依靠IT技术构建企业自身的信息系统和业务运营平台,通过一台或几台服务器为很多客户提供服务,这种方式给人们带来了很多便利,但这种开放式环境也提高了信息安全的风险性、容易造成信息丢失,给心怀叵测者可乘之机。对公司不满的员工、黑客、行业间谍、疯狂的电脑技术爱好者能通过各种方式截获网络传输数据、入侵数据库,对信息安全造成严重的威胁。因此,如何全方位的保护信息安全成为企业信息化建设的关键一环。
  
      安全需求,催生防护新向
  
      对于企业来讲,运算、存放核心数据的高性能计算机或者服务器的信息安全就更为关键。随着高性能计算需求的不断增加,已建或新建的高性能计算机群为了方便用户使用、扩大用户的使用范围,逐渐由原来的客户端/服务器模式(C/S)转向浏览器/服务器模式(B/S),并直接面向局域网乃至互联网用户,这使得原来与局域网或互联网物理隔离的高性能计算网面临着严重的安全问题。因此在公司网络建设,尤其是计高性能计算机群中特别需要考虑安全问题。
  
      曙光技术专家高琦表示:“科学计算系统不但对内部提供各种服务,越来越多的高性能计算也提供到商业用户中,高性能计算对外的情况屡见不鲜。一方面内部安全是安全的主要问题,据统计,内部攻击和内部人员的误用造成70%的安全问题;另一方面,对外需要加强访问控制、非法入侵、安全过滤等边界安全。另外,用户还有海量存储、后备磁带库灾难容错需求。”
  
      四重防护,让安全面面俱到
  
      知己知彼,百战不殆,只有对高性能计算机运行、通讯程序非常了解,才能让安全防范措施做到“滴水不漏”。曙光技术专家高琦讲道,高性能计算(HPC)是一个综合系统,涉及网络系统、主机系统两个层次。网络系统的模型是一个分层次的拓扑结构,通常采用五层模型,即物理层、数据链路层、网络层、传输层、应用层。主机系统也可以分为两个层次:操作系统、应用服务。因此高性能计算(HPC)的安全防护也需采用分层次的拓扑防护措施,即一个完整的高性能计算(HPC)安全解决方案应该覆盖网络与主机的各个层次,并且与安全管理相结合。
  
      以该思想为出发点,曙光公司推出了兼具专用防火墙、网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)、VPN(虚拟专用网络)功能、机群综合管理的全方位“立体安全”解决方案。将曙光立体安全解决方案部署于局域网与互联网、或局域网中某个特定区域,就能为局域网或局域网中的特定区域提供多方面的立体安全保护。



   
                                         (立体安全方案架构图)
  
      层层递进,构建立体安全
  
      以前,在安全领域主要是以禁用主机上没用的服务端口、设置杀毒软件、软件版本的防火墙等以实现抵御外部产生的威胁,而目前网络的安全措施主要是独立的硬件防火墙。它可以实现用户信息的访问控制和安全防范、实现对网络不同安全区域的隔离,达到可控访问的目的。例如入侵者如果打开了主机上某些被禁止的端口,由于防火墙并未开放该端口,因此入侵者仍然不可以使用该端口进行内外网之间的通讯,防止了内部资源或数据的外泄。如曙光天罗防火墙可以通过访问控制、安全过滤、抗攻击、流量带宽管理、防止非法入侵等功能提高安全等级。当其检测到危险信息时,系统可以根据管理员的设置断开连接,实现入侵主动防护。另外使用防火墙还可以有效地降低安全管理的工作强度,提高计算机群系统安全的可管理性。



      防火墙为高性能机群提供了基本的安全防范,然而防火墙只能提供被动的、静态的保护,所提供的安全级别较低,如果与网络入侵检测系统(NIDS)、主机入侵检测系统(HIDS)、数据安全、机群安全管理4个层面互相配合,则可以提供动态的安全防护,全面提升计算机群的安全等级。



   
                                             (立体安全解决方案网络拓扑图)
  
      第一级防护:网络安全
  
      处在互联网中的计算机首先要面对的就是网络安全。一般情况下,防火墙对于对被允许的主机和应用的攻击无能为力,因为这些攻击会伪装成对这些合法主机和应用服务的访问,从而骗过防火墙,进入到受防火墙保护的区域之内。因此对于安全要求较高的局域网、或者局域网中部署有关键应用的,应该在使用防火墙保护的基础上,采用入侵检测系统(NIDS)提高相关区域的安全防护水平。
      网络入侵检测系统(NIDS)能监视网络流量,通过侦听特定网段的数据包,实现对该网段实时监视、发现可疑连接和非法访问的闯入等,防范网络层至应用层的各种恶意攻击和误操作。网络入侵检测系统通过与防火墙联动,对网络数据包的过滤和访问控制,将访问限制在网络被允许的主机(IP地址)和应用服务(端口),从而极大地缩小所需管理的安全范,实现针对网络入侵的安全防护。
  
      第二级防护:主机系统安全
  
      虽然网络入侵检测可以对各种应用服务,如Web、SMTP、POP3等提供保护,然而这些更多是对网络数据包的检查,而且防御手段通常会滞后于攻击手段的发展,因此也就存在由于这种滞后而造成网络的威胁,而使受保护网络被侵入,如网络中的某台主机受到了攻击并成为攻击的中转站,入侵者通过对被攻破的主机系统进行修改,掩藏自己并对网络中其它主机发动攻击。这些行为是网络入侵检测系统无法解决的,这时就需要完善的主机防护系统。



      曙光主机入侵检测系统(HIDS)能防范对主机系统文件的恶意纂改和误操作,实时监视可疑连接、定期检查系统日志,扫描用户行为,发现非法访问闯入等。因此主机入侵检测系统可以很好地弥补网络入侵检测系统的盲区,二者形成互补,对绕过防火墙的攻击行为进行细粒度的检测和防御,实现从网络到主机的全面防护。
  
      除HIDS保护以外,曙光天目立体监控系统为服务器主机安全提供了更完善的保障,她支持在系统开机时启动并捕获BIOS对服务器的检测信息,并把它们转化为汉字显示在服务器前面板液晶屏上,使系统管理员能非常直观有效地定位服务器系统故障;并能实现基于主机和操作系统的监控,同时提供服务器运行检测月报告,不但可以对服务器的软件和硬件资源进行监控,同时对局域网内的二级服务器运行状况也了如指掌。
  
      第三级防护:数据安全
  
      高性能计算机群多数都是用于科学研究或重要数据处理,因此其原始资料、计算结果等都属于安全敏感数据,可以说服务器中所存储的数据价值远远超过了它本身的价值,因此,这些数据的安全存储和安全备份显得格外重要,基于Cluster机群技术的双机备份解决方案,基于用于对双服务器实行监控的容错软件和作为数据存储设备的系列磁盘阵列柜,通过软硬件两部分的紧密配合,为数据安全提供了双重的保护。
  
      除此之外,这些敏感数据在局域网、互联网中传输时极易被窃取、篡改,因此在设计高性能计算机群的安全问题时,数据传输中的安全问题也必须要考虑。
  
      而利用防火墙的虚拟专用网络(VPN-Virtual Private Network)功能实现互联网用户和局域网用户、HPC用户接口之间的安全通讯成为一种极为必要的手段。VPN是指在公众网络上所建立的企业网络,此网络拥有与专用网络相同的安全、管理及功能等特点,它替代了传统的拨号访问,利用 INTERNET 公网资源作为企业专网的延续。它能通过加密、认证、数字签名等保证数据的安全性、完整性。VPN在立体安全中的应用为关键数据的传输建起了一个高安全的专用数据传输通道,成为立体安全极为重要的一部分。
  
      综合管理:机群安全管理
  
      作为立体安全,一个高效便捷的管理系统十分重要。曙光机群安全管理系统可实现网络的全域资源管理,实行集中管理,统一配置。防火墙、IDS、VPN与机群安全管理紧密结合,为机群服务器提供更高的安全、更强的管理,从而实现了曙光公司所倡导的“立体安全”理念,为用户的信息系统提供全方位的深度的“立体安全”防护。