北京2021年8月20日 /美通社/ -- 當(dāng)下��,互聯(lián)網(wǎng)已經(jīng)滲透到世界的每個角落��,與我們的學(xué)習(xí)���、工作��、生活等各個領(lǐng)域密切結(jié)合���,帶來便利的同時��,也給信息安全帶來嚴(yán)重的挑戰(zhàn)���。服務(wù)器作為信息化的基石���,關(guān)系到信息安全的根本��。
過去2年���,80%企業(yè)遭受固件攻擊
網(wǎng)絡(luò)攻擊從來都不是一件新鮮事,無論是IT企業(yè)還是其他傳統(tǒng)企業(yè)���,對于信息安全的投入都在逐年增加��,然而安全問題卻仍然嚴(yán)重��。網(wǎng)絡(luò)黑客不斷尋找規(guī)避安全措施的新手段��,一項全新的攻擊向量是通過固件���,在操作系統(tǒng)和應(yīng)用程序的數(shù)據(jù)平面之下潛入,給很多用戶造成了許多無法挽回的損失��。Microsoft 在2021年3月發(fā)布的《安全信號》報告中顯示���,在過去的兩年中��,至少80%的企業(yè)遭受了一次固件攻擊��。
盡管許多企業(yè)在數(shù)據(jù)安全領(lǐng)域的投資十分重視���,但卻往往卻忽略了服務(wù)器硬件和固件級別的安全性,在防范軟件入侵的同時��,硬件方面的安全也相當(dāng)重要��。浪潮在今年4月份發(fā)布M6系列服務(wù)器就秉承安全設(shè)計理念���,憑借多年來在基礎(chǔ)架構(gòu)和解決方案研發(fā)過程中積累的經(jīng)驗���,通過多種保障來強化服務(wù)器自身的安全性��,構(gòu)建現(xiàn)代數(shù)據(jù)中心的可靠基礎(chǔ)��,幫助用戶安全地運行其各類應(yīng)用負(fù)載���。
創(chuàng)新模塊 保障關(guān)鍵業(yè)務(wù)安全運行
服務(wù)器固件可能會受到攻擊,黑客通過篡改固件程序(如植入惡意代碼)���,來對設(shè)備造成永久性破壞或者獲取更高的訪問權(quán)限��。浪潮M6系列服務(wù)器通過PFR(Platform Firmware Resilience��,平臺固件恢復(fù))技術(shù)���,提供了固件檢測、保護(hù)和恢復(fù)功能���。在運行過程中如果檢測到固件遭受了攻擊���,可以在數(shù)分鐘內(nèi)將固件恢復(fù)到一個正常狀態(tài),增強了服務(wù)器應(yīng)對固件層攻擊的恢復(fù)能力���。該過程無需用戶參與��,非常適合大規(guī)模數(shù)據(jù)中心���。另外���,為了保證供應(yīng)鏈安全���,PFR提供了一種可選的運輸途中保護(hù)功能(PIT)��,保護(hù)固件在運輸中免遭篡改��。
與此同時��,浪潮M6系列服務(wù)器還支持TPM/TCM安全可信模塊���、BMC安全啟動、BIOS Boot Guard功能���、UEFI安全引導(dǎo)功能等��,保障從設(shè)備加電到操作系統(tǒng)啟動的整個過程的軟硬件的完整性��,切實保障客戶數(shù)據(jù)安全及資產(chǎn)安全��,為其業(yè)務(wù)安全穩(wěn)定運行保駕護(hù)航��。
雙芯雙待 保障遠(yuǎn)程固件安全升級
當(dāng)前云邊端大趨勢下��,企業(yè)數(shù)據(jù)中心不再只建在一處��,服務(wù)器可能部署在全球各地���。像很多電信公司���,通信基站建在全球各地,IT設(shè)備自然隨著基站走���,對于那些部署在偏遠(yuǎn)地區(qū)���,或地勢險要或環(huán)境惡劣、人煙稀少��,現(xiàn)場運維難度很大��。
遠(yuǎn)程固件升級已經(jīng)成為常態(tài)��,一般來說,單臺服務(wù)器三年內(nèi)平均需要進(jìn)行13.5次固件升級��,BIOS作為底層系統(tǒng)啟動的核心模塊��,若受到損壞��,將會造成系統(tǒng)無法開機(jī)���;同樣BMC作為唯一的帶外接口當(dāng)故障發(fā)生時將無法遠(yuǎn)程進(jìn)行管理操作��,因此保障底層芯片及系統(tǒng)遠(yuǎn)程訪問通道的絕對安全顯得尤為重要。
過去服務(wù)器僅僅能保證BMC或BIOS在一顆芯片中實現(xiàn)雙鏡像���,若芯片發(fā)生損壞將無法自動恢復(fù)���,只能人為、手動���、現(xiàn)場更換���,這種方式顯然已無法適應(yīng)大規(guī)模數(shù)據(jù)中心及設(shè)備部署地多樣的發(fā)展趨勢。浪潮M6系列服務(wù)器采用雙Flash設(shè)計��,具備獨有的BMC和BIOS芯片級冗余機(jī)制。當(dāng)主Flash芯片損壞導(dǎo)致啟動失敗時��,系統(tǒng)將啟動自救機(jī)制���,自啟動并切換至備用芯片中的鏡像��,從而保障底層芯片及系統(tǒng)帶外管理通道的高可用性��。
自主研發(fā) 對威脅時刻保持警惕
浪潮M6系列服務(wù)器采用浪潮自主研發(fā)的服務(wù)器遠(yuǎn)程管理系統(tǒng)ISBMC4���,可提供硬件狀態(tài)監(jiān)控、故障定位��、部署���、節(jié)能��、安全等系列管理功能��,以標(biāo)準(zhǔn)化接口構(gòu)建更加完善的服務(wù)器管理生態(tài)系統(tǒng)��,確保服務(wù)器底層硬件和固件的安全���。
ISBMC4支持靈活的BMC訪問控制策略��,以減少弱口令��、暴力破解���、非授權(quán)訪問等風(fēng)險;支持基于數(shù)字簽名的固件更新機(jī)制��,防止惡意固件的寫入加載��;支持機(jī)箱入侵檢測��,防止物理層面的攻擊���;支持操作日志記錄,以便審計惡意攻擊行為等等��。
浪潮致力于將安全擴(kuò)展到服務(wù)器的每個方面���,包括嵌入式服務(wù)器固件��,存儲介質(zhì)中的數(shù)據(jù)���,操作系統(tǒng)���,外圍設(shè)備,以及管理操作��,從而打造服務(wù)器強大的安全底座���,讓用戶可以放心無憂地在服務(wù)器上運行業(yè)務(wù)���。
本文作者浪潮信息服務(wù)器產(chǎn)品線副總經(jīng)理 陳彥靈
