全面解析浪潮云主机安全产品解决方案

　　企业在云计算、大数据、BYOD等新一代IT技术的驱动下，业务发展更加高效智能，但信息安全问题却日益严重。承载着大型关键业务系统的云数据中心，缺乏可信、安全、可控的生态环境亟需改变。这一现象也反映在IDC的全球调查报告中，数据表明，70%以上的用户对云计算安全、可靠性等抱有怀疑态度。

　　今年十月，浪潮针对云数据中心的安全特点和需求，推出了国内首个云主机安全产品解决方案。方案以云数据中心物理主机安全、虚拟主机安全、软件定义的计算和存储服务安全为重点，把可信计算体系与主动防御体系进行了有效的结合，以可信服务器为根基，构建从底层硬件到上层业务系统的完整信任链，保障云主机在数据处理和业务运行中的完整性、保密性和可用性。

　　云主机安全决定云计算“金字塔”的稳固

　　黑客团体已经把攻击目标锁定在利益丰厚的云数据中心上，以“Guest OS镜像篡改”、“主机租户攻击”、“虚拟机蔓延”和“API接口滥用”等为代表的新型威胁开始广泛出现。以封堵查杀为主的消极被动的防护措施，在新的信息安全形势面前防不胜防， 传统的网络安全、终端安全、边界安全解决方案已无法适应云数据中心的安全需求。

　　云主机作为云基础设施的核心，由服务器、虚拟化、操作系统构成，承载着重要数据和应用处理，其安全与否决定着云计算“金字塔”的稳固。浪潮推出的云主机安全产品整体解决方案，其目标是帮助各类云计算用户保护核心信息资产，并为软件定义数据中心等远景规划提供安全可信的大环境。

　　对于云主机用户，此方案通过感知技术自动甄别环境的变化，防止针对服务器硬件、虚拟化软件、Guest OS及其他基础设施的恶意代码植入，进而提升用户自我防御能力；对于云数据中心运营者，安全可信的计算环境将会吸引更多租户加入，并在纵横交错的可信链条上提升云服务的质量和可靠性；对于特定行业中的高安全等级服务器，该方案能为关键的业务程序提供安全可信的计算环境，防止因服务器基础软硬件被植入高级恶意代码，从而避免设备被控、数据被盗的情况发生。

　　五大安全模块构建安全可信的计算环境，应对云主机威胁

　　浪潮在主机安全领域已有十余年的历史，在可信计算方面的研究和实践也超过了五年，技术上的长期积累，以及研发环节的大幅投入，让浪潮的信息安全产品在云计算时代取得了攻坚突破。为了帮助用户从容应对云数据中心的安全挑战，浪潮云主机安全产品解决方案融合了可信计算、操作系统加固、虚拟计算安全等技术，从纵向和横向两个维度解决云主机面临的安全威胁。浪潮云主机安全产品解决方案通过五大关键模块构建云数据中心安全可信计算环境。

　　以可信服务器为根基的浪潮云主机安全产品解决方案

　　模块一：浪潮可信服务器

　　浪潮可信服务器以可信安全模块为可信根，构建从硬件到软件的完整信任链，并对服务器硬件和软件的完整性进行可信度量和动态完整性监控，可有效发现服务器上运行的非法硬件、固件、软件，从而抵御针对服务器基础软硬件平台的高级攻击，以及其他恶意软件、Rootkit攻击和类似恶意活动。

　　模块二：浪潮虚拟机安全套件

　　浪潮虚拟机安全套件包含了能够与云数据中心进化同步的虚拟化安全套件，确保虚拟机可信执行、虚拟化软件可信启动，并对Guest OS镜像文件提供完整性保护，可防止VMM和VM被篡改。同时，通过强制访问控制技术，实现VMM的安全加固，防止虚拟机监控器被黑客攻击；虚拟网络安全模块网络解决同一物理设备网络流量不可见的问题。

　　模块三：浪潮SSR操作系统安全增强系统

　　浪潮SSR操作系统安全增强系统提供了针对服务器操作系统内核层面的安全加固，基于先进的ROST（内核加固）技术，可以从系统层对操作系统进行“主动”加固。其主要原理是通过对文件、目录、进程、注册表和服务的强制访问控制。通过三权分立思想，有效的制约和分散了原有系统管理员的权限。

　　浪潮SSR通过对可信计算的支持，可对上层应用程序提供可信启动、动态监控等功能。并且与传统的信息安全产品形成了良好的互补，完善了当前国内用户整体安全解决方案中最为重要的环节，填补了国内长期在操作系统层面安全产品的空白，符合国家等级保护、分级保护以及军工、军队、电力等多个行业的信息安全建设要求。

　　模块四：浪潮安全容器套件

　　浪潮安全容器套件是运行于浪潮SSR之上的一款安全软件。对GestOS的防护方面，该套件与浪潮SSR形成完美的互补。其中，浪潮SSR主要为操作系统及重要的服务、程序等提供安全保护，安全容器为客户业务系统提供快捷的、安全的保护。可防止来由黑客控制操作系统后，对业务系统带来破坏和攻击，同时也可防止业务系统被攻击后，对操作系统平台和其他业务程序的攻击。

　　模块五：浪潮云主机安全管理平台

　　浪潮云主机安全管理平台是一款基于B/S架构的安全软件系统，主要为云数据中心可信计算、虚拟化安全、操作系统安全、应用安全等提供统一的集中的安全管理。

　　浪潮云主机安全产品解决方案聚焦云数据中心基础计算设施服务，针对其安全防护的重点，利用可信服务器、虚拟化安全套件、SSR操作系统安全增强系统、SSR安全容器套件、云主机安全管理平台这五大核心产品作为支撑，浪潮将帮助用户消除在云计算应用环境中的各项安全隐患。

　　与此同时，在浪潮的主机安全战略蓝图上，也已经确定了软件定义云主机安全架构为未来方向，利用安全资源按需自动化调配，以及基于大数据的安全感知，引领信息安全技术的发展，用软件定义安全共筑下一代数据中心。