小編語:今天還和一個用過龍芯的工程師聊起來,作為當初國產CPU明星“漢芯”、“龍芯”中的碩果僅存者,中科院一直堅持龍芯的態(tài)度是“有備無患”……
近日,國內首款全自主可控的堡壘主機問世。由曙光公司推出的這一堡壘主機搭載國產第四代龍芯機處理器,配備曙光自主研發(fā)的安全操作系統(tǒng)及應用軟件,是國內首款自主可控、完全解決運維操作安全審計的一體化平臺。
曙光堡壘主機是一個前端機器,也叫做操作風險管理機,保護的是后端的服務器系統(tǒng),能對所有登錄的用戶和操作進行監(jiān)控。打個比方,如果信息以及服務器、主機都存放在一個大堡壘中,堡壘主機就相當于是一個守門的衛(wèi)兵。實現國產全自主意味著這是一個有著中國心的衛(wèi)兵,絕對忠誠。此前,這類對接入人員、操作行為和所有信息進行分析的安全產品大多是國外研發(fā),有很大的“后門”風險,相當于雖然鎖了門,但是鑰匙卻還在別人手里。
據曙光公司副總裁沙超群介紹,堡壘主機主要適用于兩種用戶,一種是超過50臺服務器的單位,另一種是有大量使用者進入系統(tǒng)平臺的單位,比如說云計算中心,每天有成千上萬用戶涌進,進行各種各樣的操作。這些用戶是不是正常用戶?他們的操作是否符合權限?堡壘主機會對所有進入系統(tǒng)的賬號進行認證、監(jiān)控和規(guī)范。
發(fā)揮衛(wèi)兵作用,這款堡壘主機的做法體現在三個層面——
防御階段中采取單點登錄的方式,所有進入到操作系統(tǒng)級別的操作都需要登錄到堡壘主機的界面,“只有這一個門,沒有別的窗”,工作人員介紹說,這意味著登錄用戶必須接受堡壘主機的檢驗。除了登錄密碼外,還搭配了實物驗證,任何人登錄,需要插上一個秘鑰進行身份驗證,如果黑客僅攻破賬號仍然無法進入系統(tǒng)。
事中防范階段中,系統(tǒng)用戶如果進行超過賬戶授權的操作,那么操作會被堡壘主機拒絕。比如軍方的一些數據不允許任何人拷貝,通過設置堡壘主機權限,一旦有拷貝操作立馬報警并斷掉連接。
事后解決分析階段依靠的是記錄功能。登錄系統(tǒng)用戶的所有操作行為都會被記錄。就像這個“衛(wèi)兵”經過身份驗證讓用戶進了堡壘,還要進行全程跟拍,發(fā)生違規(guī)操作時進行阻止,也相當于是系統(tǒng)的“貼身保鏢”。同時這些記錄都會被保存下來,可以回放用于事后追查,比如這個賬號什么時間以什么IP地址登錄,做了什么事,被阻止的違規(guī)操作是什么。
作為安全產品體系中重要的一環(huán),通過三個階段的“守衛(wèi)”,堡壘主機至少可以排除80%的安全問題。
中國工程院院士李國杰認為,全自主可控的曙光堡壘主機可從源頭上消除安全隱患,采用國產CPU的信息安全產品將全面消解我國電子政務、金融、國防等方面的安全困惑,改變在信息安全領域的被動局面,保障國家信息產業(yè)體系的安全。