從內核入手 浪潮別出心裁推安全服務器

新年伊始，在浪潮集團信息安全事業部組織的媒體活動上，CIOAge記者獲悉了浪潮即將推出的“第二代”安全服務器產品的最新消息。
作爲一類定義與定位頗具特色的服務器產品，浪潮推出安全服務器的着眼點在於服務器受***導致數據被破壞的情況已相當嚴重，但以防火牆爲代表的網絡安全解決方案實現的是“禦敵於國門之外”，不僅對“禍起蕭牆之內”的問題無能爲力，而且執行的效率和防護的準確度都隨着網絡流量的加劇和應用的複雜多樣化日趨捉襟見肘。有鑑於此，浪潮認爲在服務器上嵌入安全芯片，配合操作系統內核加固等技術和集中管理的機制，可以實現更有效也更高效的安全保護。
通過現場交流，CIOAge獲悉這款安全服務器仍基於去年年中發佈的“IFA+智能彈性架構”，也就是說在硬件平臺上是標準的IA架構。有專家告訴CIOAge記者，待正式發佈時，浪潮安全服務器可能不僅是成套的服務器產品，也會包括支持其它IA架構服務器的“安全升級”方案——通過加裝特製的網卡即可實現一定程度的內核安全防護。由於產品仍在大規模用戶測試階段，具體的產品和測試的結果均未發佈，筆者先將現場獲悉的一些技術要點與“午飯”（51CTO網友）分享。
1.通過內嵌在網卡上的高速安全芯片，根據策略對進出服務器的數據流進行實時檢測與監控，在完全不影響性能的前提下實現1-7層的深度過濾和訪問控制，徹底防止網絡數據的***。
2.通過給操作系統主客體添加安全標記，實現對系統數據和文件的強制訪問控制，通過“三權分立”原則重新劃分系統帳號權限。系統具有文件和服務完整性檢測功能，可以防止惡意代碼***。
3.以統一的界面集網絡/數據/應用的強制訪問控制、***防禦、流量管理、操作系統內核加固、應用安全防護等技術於一身，直接保護企業關鍵數據和應用系統。同時爲可信計算、***、防病毒、OTP、指紋、PKI認證、加密、應用防護、安全審計等安全產品和技術提供靈活的擴展接口。
從當前的市場環境來看，浪潮的安全服務器頗具創新意義，可以說是在IA服務器日趨同質化的情況下，針對具體應用另闢蹊徑。據悉，對信息安全有較高要求的政務、財稅、公安等典型行業用戶在試用後已給予了浪潮非常積極的反饋。這也使得不僅信息安全事業部，而且整個浪潮集團對產品在上半年面市都充滿了信心。
筆者認爲，與上一代初試鶯啼的浪潮***服務器產品相比，新產品最大的特點不是在操作系統內核加固的基礎上增加了特製的網卡，而是系統地提出了一套分層次的安全技術架構並逐一落實。但筆者對該產品以5U高度定型也略有疑惑——雖然也是符合工業標準，但畢竟不像2U/4U服務器那樣易於普及；而且選擇5U機架的用戶勢必對性能、本地存儲容量、擴展空間、是否支持虛擬化等諸多細節有所關注，但筆者在與浪潮技術人員的交流中未悉詳情。
它算安全產品還是服務器？這個問題看似簡單，但卻折射出這款新產品未來市場策略的不確定性。據悉，浪潮對安全服務器的銷售方式仍在探討中，CIOAge也會緊跟其進展做進一步的報道。