可靠高性能 浪潮可信服务器打造可信云

  "机遇总是留给有准备的人",浪潮可信计算体系发展历程再次印证了这个道理。棱镜门持续发酵,"没有网络安全就没有国家安全"已经上升为国家战略。近日,浪潮发布了可信云主机安全整体解决方案,这一由下而上整套"可信计算"体系的背后,是浪潮7年坚持的结晶,"七年一剑"是浪潮在"可信计算"领域千锤百炼的真实写照。

  七年一剑浪潮可信计算体系厚积薄发

  对于"可信计算",浪潮集团信息安全事业部安全可信云主机产品经理刘刚认为,目前普遍认可的思路是,先在计算机系统建立一个可信的"根",而这个可信的"根"就是通常所说的可信芯片(TPM安全芯片),可信芯片把"信任"通过BIOS、OS Loader等传递到操作系统,操作系统再把"信任"传递给应用层,最终把整个计算机系统的"信任链"建立起来。

  "信任链"的基础是TPM安全芯片,TPM安全芯片应遵循TPM协议规范,TPM1.2规范于2006年由国际可信计算组织TCG发布推广。浪潮集团信息安全事业部副总经理蔡一兵博士介绍说,浪潮在2007开始专注可信计算,并对相关技术进行了深入和长期的研究。在2008年的时候,浪潮加入了可信计算标准活动组,2009年编制完成可信服务器规范草案。

  今年4月份TCG正式发布TPM2.0的规范,TPM2.0对于虚拟化的支持也提出了重要的支撑点。紧随其后,浪潮采用的国民技术TPM2.0芯片也量产出来。与此同时,浪潮加入中关村可信计算联盟,任整机委员会的副理事长,主要牵头推进整机服务、可信服务器的标准和产业化的应用。

  8月份浪潮又完成了TPM2.0可信服务器样机研发,并在9月份正式发布了该系列的两路和四路可信服务器。10月在浪潮大会上,浪潮又发布了可信云主机安全整体解决方案。2014年对可信计算的布局,可以说是顺应时势、水到渠成,期间浪潮不但完成了从产品到体系的建设,也奠定了自己在可信计算领域的地位。

  可靠高性能 浪潮可信服务器建基于自主可信芯片

  浪潮集团信息安全事业部总经理张东透露说,TPM2.0规范达两百多页,其实它是一个很细的系统。相应的,开发支持TPM2.O规范的服务器主板BIOS,也不是一件容易的事情。但这些难题都被浪潮解决了,经过长时间的努力以及深厚的积累,浪潮可信服务器整机最终通过了各项复杂调试。

  浪潮可信服务器建基于TPM2.0可信芯片,该芯片获得了国家保密局的认证、算法方面符合国家的规定、由国民技术提供。采用了最新的英特尔双路和四路处理器服务器平台,在性能和扩展性等方面进行一个全面提升。为用户打造一个高安全性、高性能和高可靠性的一个服务器基础平台。

  在国家自主可控方面浪潮可信服务器有一个很好的根基,可以对服务器底层BIOS、OS Loarder,以及硬件里面的硬盘、PCI卡还有其他的一些硬件固件做完整性的校验,已经建立起了一个完善的信任链。配合浪潮产品寿命系统、等级保护系统等,浪潮可信服务器非常适合像能源、交通这些影响面比较大的基础系统。

  浪潮可信服务器打造可信云主机

  以可信服务器为根基,结合SSR等应用,浪潮建立起了一整套由下而上的可信计算体系,这就是"浪潮可信云主机安全解决方案"。该方案除了硬件层面的可信"根",还有操作系统安全、操作系统加固,虚拟化的安全可信技术等,可以防止云主机虚拟化平台被植入恶意代码。

  云主机引入了虚拟化的安全风险,TPM2.0对虚拟化的支持将"信任链"从底层可信服务器传递到虚拟化平台,再传递到虚拟化平台上的虚拟主机以及虚拟主机中的上层应用。在这个"信任"传递的过程中,可信服务器是整个云主机安全的根基。

  浪潮针对虚拟化平台环境开发了可信支持套件,能够实现对虚拟主机内核、虚拟主机镜像文件以及虚拟机里面运行的程序等进行完整性的度量。

  可信计算最终保护的还是上层的应用程序,浪潮集团信息安全事业部副总经理蔡一兵博士如是说,浪潮自主研发的SSR把底层平台可信价值和安全价值扩展到了应用层面,并最终校验和保护上层的应用程序。SSR在整个可信云主机安全体系里面是很重要的,起到一个纽带的作用。

  SSR运行在操作系统内核里面,通过可信计算平台能够保证SSR不会被篡改。并且SSR要先于其他程序启动,这样一来所有受SSR保护的程序,都有一个可靠的根基。另外,SSR还会拦截应用程序对OS的调用,应用程序无论是进程操作还是注册表操作SSR都可以进行控制。浪潮基于SSR实现了一个应用程序的安全运行环境。

  从可信服务器到可信虚拟化、安全虚拟化还有应用安全,整个可信云主机安全体系中,一方面浪潮建立了一个以可信芯片为起点的可信平台,对传统的操作系统还有虚拟化环境都有很好的支撑,这是一个应用程序或者说业务程序运行的一个基本平台。另一方面浪潮以SSR为起点建立了应用程序的"信任链",SSR是整个云主机安全体系的纽带,SSR把底层平台的安全特性传递到最上层的应用程序。

  浪潮可信云主机安全平台是完整的,这种平台的完整性是可以检测的。在整个可信云主机平台里,浪潮以可信服务器为根基,建立起了从底层硬件到操作系统,再到虚拟化平台,再到虚拟化应用的完善"信任链"。如果没有可信服务器做根基,就没有虚拟化的安全,云主机安全也无从谈起。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:趋势科技提醒:假冒热门购物网站APP盛行 双十一血拼请擦亮