全面解析浪潮雲主機安全產品解決方案

企業在雲計算、大數據、BYOD等新一代IT技術的驅動下，雲計算數據中心正成為企業工作負載的新選擇。但是承載着大型關鍵業務系統的雲數據中心正在成為信息安全的重點，以Guest OS鏡像篡改、主機租户攻擊、虛擬機蔓延和API接口濫用等為代表的新型威脅開始廣泛出現。傳統的網絡安全、終端安全、邊界安全解決方案已無法適應雲數據中心的安全需求。

雲主機作為雲基礎設施的核心，由服務器、虛擬化、操作系統構成，承載着重要數據和應用處理，其安全與否決定着雲計算數據中心的穩固。浪潮推出的雲主機安全產品整體解決方案，其目標是幫助各類雲計算用户保護核心信息資產，併為軟件定義數據中心等遠景規劃提供安全可信的大環境。

對於雲主機用户，此方案通過感知技術自動甄別環境的變化，防止針對服務器硬件、虛擬化軟件、Guest OS及其他基礎設施的惡意代碼植入，進而提升用户自我防禦能力;對於雲數據中心運營者，安全可信的計算環境將會吸引更多租户加入，並在縱橫交錯的可信鏈條上提升雲服務的質量和可靠性;對於特定行業中的高安全等級服務器，該方案能為關鍵的業務程序提供安全可信的計算環境，防止因服務器基礎軟硬件被植入高級惡意代碼，從而避免設備被控、數據被盜的情況發生。

為了幫助企業從容應對雲數據中心的安全挑戰，浪潮雲主機安全產品解決方案融合了可信計算、操作系統加固、虛擬計算安全等技術，從縱向和橫向兩個維度解決雲主機面臨的安全威脅。浪潮雲主機安全產品解決方案通過五大關鍵模塊構建雲數據中心安全可信計算環境。

模塊一：浪潮可信服務器

浪潮可信服務器

浪潮可信服務器以可信安全模塊為可信根，構建從硬件到軟件的完整信任鏈，並對服務器硬件和軟件的完整性進行可信度量和動態完整性監控，可有效發現服務器上運行的非法硬件、固件、軟件，從而抵禦針對服務器基礎軟硬件平台的高級攻擊，以及其他惡意軟件、Rootkit攻擊和類似惡意活動。

模塊二：浪潮虛擬機安全套件

浪潮虛擬機安全套件包含了能夠與雲數據中心進化同步的虛擬化安全套件，確保虛擬機可信執行、虛擬化軟件可信啓動，並對Guest OS鏡像文件提供完整性保護，可防止VMM和VM被篡改。同時，通過強制訪問控制技術，實現VMM的安全加固，防止虛擬機監控器被黑客攻擊;虛擬網絡安全模塊網絡解決同一物理設備網絡流量不可見的問題。

模塊三：浪潮SSR操作系統安全增強系統

浪潮SSR操作系統安全增強系統提供了針對服務器操作系統內核層面的安全加固，基於先進的ROST（內核加固）技術，可以從系統層對操作系統進行“主動”加固。其主要原理是通過對文件、目錄、進程、註冊表和服務的強制訪問控制。通過三權分立思想，有效的制約和分散了原有系統管理員的權限。

浪潮SSR通過對可信計算的支持，可對上層應用程序提供可信啓動、動態監控等功能。並且與傳統的信息安全產品形成了良好的互補，完善了當前國內用户整體安全解決方案中最為重要的環節，填補了國內長期在操作系統層面安全產品的空白，符合國家等級保護、分級保護以及軍工、軍隊、電力等多個行業的信息安全建設要求。

模塊四：浪潮安全容器套件

浪潮安全容器套件是運行於浪潮SSR之上的一款安全軟件。對GestOS的防護方面，該套件與浪潮SSR形成完美的互補。其中，浪潮SSR主要為操作系統及重要的服務、程序等提供安全保護，安全容器為客户業務系統提供快捷的、安全的保護。可防止來由黑客控制操作系統後，對業務系統帶來破壞和攻擊，同時也可防止業務系統被攻擊後，對操作系統平台和其他業務程序的攻擊。

模塊五：浪潮雲主機安全管理平台

浪潮雲主機安全管理平台是一款基於BS架構的安全軟件系統，主要為雲數據中心可信計算、虛擬化安全、操作系統安全、應用安全等提供統一的集中的安全管理。

浪潮雲主機安全產品解決方案聚焦雲數據中心基礎計算設施服務，針對其安全防護的重點，利用可信服務器、虛擬化安全套件、SSR操作系統安全增強系統、SSR安全容器套件、雲主機安全管理平台這五大核心產品作為支撐，浪潮將幫助用户消除在雲計算應用環境中的各項安全隱患。

與此同時，在浪潮的主機安全戰略藍圖上，也已經確定了軟件定義雲主機安全架構為未來方向，利用安全資源按需自動化調配，以及基於大數據的安全感知，引領信息安全技術的發展，用軟件定義安全共築下一代數據中心。