小編語(yǔ):今天還和一個(gè)用過(guò)龍芯的工程師聊起來(lái),作為當(dāng)初國(guó)產(chǎn)CPU明星“漢芯”、“龍芯”中的碩果僅存者,中科院一直堅(jiān)持龍芯的態(tài)度是“有備無(wú)患”……
近日,國(guó)內(nèi)首款全自主可控的堡壘主機(jī)問(wèn)世。由曙光公司推出的這一堡壘主機(jī)搭載國(guó)產(chǎn)第四代龍芯機(jī)處理器,配備曙光自主研發(fā)的安全操作系統(tǒng)及應(yīng)用軟件,是國(guó)內(nèi)首款自主可控、完全解決運(yùn)維操作安全審計(jì)的一體化平臺(tái)。
曙光堡壘主機(jī)是一個(gè)前端機(jī)器,也叫做操作風(fēng)險(xiǎn)管理機(jī),保護(hù)的是后端的服務(wù)器系統(tǒng),能對(duì)所有登錄的用戶(hù)和操作進(jìn)行監(jiān)控。打個(gè)比方,如果信息以及服務(wù)器、主機(jī)都存放在一個(gè)大堡壘中,堡壘主機(jī)就相當(dāng)于是一個(gè)守門(mén)的衛(wèi)兵。實(shí)現(xiàn)國(guó)產(chǎn)全自主意味著這是一個(gè)有著中國(guó)心的衛(wèi)兵,絕對(duì)忠誠(chéng)。此前,這類(lèi)對(duì)接入人員、操作行為和所有信息進(jìn)行分析的安全產(chǎn)品大多是國(guó)外研發(fā),有很大的“后門(mén)”風(fēng)險(xiǎn),相當(dāng)于雖然鎖了門(mén),但是鑰匙卻還在別人手里。
據(jù)曙光公司副總裁沙超群介紹,堡壘主機(jī)主要適用于兩種用戶(hù),一種是超過(guò)50臺(tái)服務(wù)器的單位,另一種是有大量使用者進(jìn)入系統(tǒng)平臺(tái)的單位,比如說(shuō)云計(jì)算中心,每天有成千上萬(wàn)用戶(hù)涌進(jìn),進(jìn)行各種各樣的操作。這些用戶(hù)是不是正常用戶(hù)?他們的操作是否符合權(quán)限?堡壘主機(jī)會(huì)對(duì)所有進(jìn)入系統(tǒng)的賬號(hào)進(jìn)行認(rèn)證、監(jiān)控和規(guī)范。
發(fā)揮衛(wèi)兵作用,這款堡壘主機(jī)的做法體現(xiàn)在三個(gè)層面——
防御階段中采取單點(diǎn)登錄的方式,所有進(jìn)入到操作系統(tǒng)級(jí)別的操作都需要登錄到堡壘主機(jī)的界面,“只有這一個(gè)門(mén),沒(méi)有別的窗”,工作人員介紹說(shuō),這意味著登錄用戶(hù)必須接受堡壘主機(jī)的檢驗(yàn)。除了登錄密碼外,還搭配了實(shí)物驗(yàn)證,任何人登錄,需要插上一個(gè)秘鑰進(jìn)行身份驗(yàn)證,如果黑客僅攻破賬號(hào)仍然無(wú)法進(jìn)入系統(tǒng)。
事中防范階段中,系統(tǒng)用戶(hù)如果進(jìn)行超過(guò)賬戶(hù)授權(quán)的操作,那么操作會(huì)被堡壘主機(jī)拒絕。比如軍方的一些數(shù)據(jù)不允許任何人拷貝,通過(guò)設(shè)置堡壘主機(jī)權(quán)限,一旦有拷貝操作立馬報(bào)警并斷掉連接。
事后解決分析階段依靠的是記錄功能。登錄系統(tǒng)用戶(hù)的所有操作行為都會(huì)被記錄。就像這個(gè)“衛(wèi)兵”經(jīng)過(guò)身份驗(yàn)證讓用戶(hù)進(jìn)了堡壘,還要進(jìn)行全程跟拍,發(fā)生違規(guī)操作時(shí)進(jìn)行阻止,也相當(dāng)于是系統(tǒng)的“貼身保鏢”。同時(shí)這些記錄都會(huì)被保存下來(lái),可以回放用于事后追查,比如這個(gè)賬號(hào)什么時(shí)間以什么IP地址登錄,做了什么事,被阻止的違規(guī)操作是什么。
作為安全產(chǎn)品體系中重要的一環(huán),通過(guò)三個(gè)階段的“守衛(wèi)”,堡壘主機(jī)至少可以排除80%的安全問(wèn)題。
中國(guó)工程院院士李國(guó)杰認(rèn)為,全自主可控的曙光堡壘主機(jī)可從源頭上消除安全隱患,采用國(guó)產(chǎn)CPU的信息安全產(chǎn)品將全面消解我國(guó)電子政務(wù)、金融、國(guó)防等方面的安全困惑,改變?cè)谛畔踩I(lǐng)域的被動(dòng)局面,保障國(guó)家信息產(chǎn)業(yè)體系的安全。