Intel博锐平台 助力制造业安全IT维护

自从我国制定了全面建设小康社会的宏伟蓝图后,“十一五”就成为了中国经济承前启后的重要阶段,也是全面落实“以人为本”的科学发展观的关键时期。同时,“十一五”也是我国工业化进程的重要阶段,加速实现工业化需要加快推动信息化,用科学发展观作为指导思想,走新型工业化道路,使制造业与信息化更加紧密的结合是这个阶段的重要任务之一。

正是由于目前我国从上到下都在倡导要推行信息化在各行各业中的进程,而作为我国国民经济重要组成部分中的重要一环,制造业信息化的建设,起步早,也是相对来说要求最为广泛的。

企业是信息化中的主体

在目前我国的企业信息化的进程中,常常出现一些IT系统与企业的生产经营情况相抵触的情况,也常常听到CIO们抱怨说花了很多的钱上了各个系统,但是问题还是没有解决的情况:漏洞、安全攻击、当机甚至于不得不“逼着企业进行流程再造”,没有做好事前规划,从而浪费了时间、金钱。

所以,我国有信息化专家提出:企业作为信息化进程中的主体,要做好信息化的规划,把“提高效益”作为信息化的关键目标。而不同的企业,由于各自的规模不一,需求也要“因地制宜”。大型企业,主要考虑软件的行业适应性、开放性和体系架构的先进性。中型企业注重软件的柔性和厂商的服务、产品的性价比。小型企业选型则需要本着实用、够用的原则,重点解决业务系统的信息化问题。

在涉及到了制造业信息化的实施过程中,作为主体的本身企业来说,必须要注意发挥其“主体”的作用,将信息化过程中的选型、购买实施的过程与企业的实际需求结合起来,要在成为受益的主体的时候,还成为决策、投资和实施的主体。

而现在日新月异的技术发展和变革,也为制造业信息化提供了强大的技术制程。随着通信和互联网技术的发展,远程的、即时的、网络的、虚拟的、协同的信息化技术日新月异,进一步突破了时间、空间和思维极限。信息化技术正在深刻地影响着制造技术的发展:虚拟设计逐步采用,成形技术向精密成形发展,虚拟制造和网络制造、智能化、数字化成为先进制造技术的发展方向,绿色制造逐步得到广泛认同。所以,在制造业的信息化过程中,作为主体的企业本身,对于各种各样的新兴技术,应该充分的了解和辨识,为自身企业的信息化建设助力。

安全、安全、还是安全

所有行业一样,制造业的信息化建设,在其过程中也会碰到各种各样的问题。然而,在这之中,因为制造业中各自不同的行业划分,CIO们的关注点可能有所侧重,但是,究其通性,对于安全的关注,还是成为了各大重点中的焦点问题。

目前,有调查显示,在已经完成了基础信息化建设中的企业中,超过半数的CIO们最为关心问题还是:安全问题。由于我国的大部分的制造业企业已经结束或即将完成大规模的IT系统建设,走入了系统整合期或信息深度应用阶段,其组织的大部分或者全部业务都在IT系统上运作,因此信息系统一旦出现问题,组织的业务就难以开展。而特别是对于船舶、汽车制造等行业来说,系统的连续不间断作业,对于其生长来说具有重大的意义,所以安全问题自然成为CIO们关注的头等大事。

于是,让与中枢神经系统一样的IT系统安全而稳定地运行就成为了CIO们的基本职责。而制造业的普遍对信息化的普遍要求是:安全和稳定。这也就使得CIO们在选择技术的时候,考量的重点转移到了IT技术对于安全和可管理性上。

而与此同时,另一方面,CIO们对于安全的关注,还集中在了信息安全上。随着制造业信息化的发展,越来越多地企业信息被置放于企业内外部网络环境中,如何保护企业机密,保障企业信息安全,被越来越多地企业摆上了议事日程。企业信息安全建设作为制造业企业信息化发展过程中必然需要面临和解决得问题,成为当前制造业信息化发展中的一个焦点。

据有关资料统计,当前我国企业的信息安全管理才刚刚起步, 而80%企业以上的安全威胁来自于内部,如木马、内部人员有意、无意攻击、泄密、病毒传播、内部资源滥用等。在防火墙、入侵检测等传统网络安全产品占据信息安全市场半壁江山的同时,内部审计、信息安全监管类技术只是处于起步阶段,企业信息安全还有许多问题需要解决。IDC于2006 年3 月发布的一份报告显示,2005 年中国IT 安全市场总量为3.781 亿美元,比其在2005 年初预测的3.63 亿美元高出1510 万美元。

而在实际的工作中,通过防火墙、安全软件等并不能完全解决CIO们担心的所有安全问题。不少CIO表示,那些即插设备,如U盘、移动硬盘等正在极大地威胁着组织的信息安全;另外,电子邮件泄密也成为新的安全隐患。该如何制定有效的信息安全机制、及时跟踪网络用户恶意窃取信息,将是CIO 们长期关注的重点问题。

平台化的解决方案

显然,面对如此复杂的IT安全环境,光是通过软件层面的安全工具不足以对系统的安全做好保护。所以,对于如何更有效地解决IT系统的安全问题,有厂商提出了结合硬件、软件优势、并将其整合到一个统一平台中去的产品。

英特尔博锐技术就是这样结合了软硬件优势的平台技术。整合了英特尔最新双核处理器的高性能和低功耗的特性以及基于硬件层面的虚拟技术,再配备相应的软件产品,英特尔博锐技术使得企业台式机有了远程解决问题、更为强大的安全性等特点。

英特尔博锐技术为IT人员提供了两层基于硬件的全新安全能力,以防止恶意攻击。所以,采用了博锐技术以后,IT人员就可以拥有三层防护体系:对出入网络的流量进行硬件过滤、对第三方代理的“心跳”(heartbeat)存在检查、受保护的内存区域以及其它的一些能力。

采用了博锐技术的台式机,可以过滤威胁并隔离电脑。基于硬件的可编程过滤器会检查电脑网络流量来识别威胁。这些过滤器可检验进出操作系统的软件堆栈的数据包。电脑可以通过实施IT政策来过滤进出的操作系统流量,从而帮助遏制威胁。而过滤通过检查数据包标头内的来源、目的地和端口地址来进行。由于过滤器是可编程的,因为管理软件能够定义由被禁止的数据包行为(如记录告警、向IT人员发送告警、启动威胁遏制开关等)所引起的事件。

当硬件过滤器识别出未经授权的数据包行为后,采用博锐技术的电脑可断开其操作系统的网络通信,从而遏制威胁。电脑可在网络流量真正进入操作系统前,就在操作系统软件堆栈断开网络数据路径。系统还可以设置网络流量的速率限制,以帮助IT人员探查潜在的威胁。

即便威胁发生,IT人员仍可以通过基于硬件和固件的内建通信堆栈与电脑基础硬件进行通信。之后,IT人员可适用修复软件来纠正问题,使电脑重新回到企业网络中。

而基于硬件的能力,博锐可以提供电脑的远程可见性、安全代理的持续存在检查(“心跳”),以及预启动BIOS设置访问,即使安全代理出现故障、操作系统受损或崩溃也没有关系。以前,IT人员一般适用串行轮询来检查安全代理的运行状态。而适用博锐技术,电脑在管理引擎中内置了一个定期、可编程的“心跳”存在检查。“心跳”适用“看门狗”计时器,这样第三方安全软件(或其它关键业务应用)就可以在可编程的一秒中间隔内向管理引擎进行登记,确认其运行状态。

如果威胁已经渗透进了其它防护系统,IT人员在博锐技术的帮助下,可以访问用于保护关键信息的永久性内存。此外,IT人员还可以适用独立的专用虚拟环境来智能检验、隔离和管理用户操作系统中的应用和数据。而这些全新的防护层可以使IT人员更迅速、轻松地发现存在的威胁,并有效阻止其蔓延。

而博锐还可以帮助IT人员向远程关机的电脑安装更新程序。通过采用了博锐技术的电脑,IT人员可以通知系统启动或关机。无论系统是否通电或操作系统的状态如何,安装更新和补丁程序的操作均可远程安全进行。IT人员可以检查电脑的软件版本信息并查看是否需要更新,而这两项操作均不必唤醒电脑。而从IT控制台,IT人员还可以远程启动电脑,这样,在维护一开始,即可将更新程序安装至原本已关机的系统,从而避免了以前重新开机维护的过程中可能暴露的危险。由此,博锐就可以从硬件、软件各个层面保护IT系统安全。