第一页
门口、电梯、楼道、走廊、停车场……室外,成千个红外线夜间摄像头不停地窥伺着不轨行径的发生。围墙、门锁、摄像头、监控屏、监控室、保安、电缆、安全制度一系列防护措施维系着现实生活的安全。然而黑客帝国三部曲是否让你在过足戏瘾的同时,也意识到了危机四伏早已不仅属于现实世界?拿什么来保护网络虚拟空间?抵御黑客的最后一道防线又将是什么?
在北京科技大学网格实验环境建设项目中,用户在选择曙光TC4000L机群服务器构建网格应用试验平台的同时,还利用曙光GodEye-HIDS主机入侵检测系统布防,作为网格机群系统的终极防御。
“小家伙”充当“狠角色”
为满足网格计算及其应用研究模拟实验要求,以便能够方便灵活地进行网格模拟实验,北京科技大学网格实验环境建设采用了曙光TC4000L高性能机群系统作为核心应用。在完成了系统建设的主体工程后,高效稳定运行所需的安全因素成为了不亚于系统性能的重点所在,由于北京科技大学既有自己的校园网又与互联网相连,访问人员相对比较复杂,系统很容易受到攻击。而且作为一个网格试验平台,系统难免会受到校内外好奇心切的计算机爱好者的“攻击”。
经过对多方面情况进行分析之后,北京科技大学决定进一步采用曙光公司的GodEye-HIDS主机入侵检测系统为系统打造一个终极防护平台。曙光主机型IDS虽然并不打眼,但却是一个绝对的“狠角色”。它能够有效地防止内部人员的越权行为、误操作、恶意攻击等内部安全问题,从确保了系统的安全稳定运行。值得一提的是,曙光主机型IDS入侵监测系统的引入在维护系统治安的同时还成为了该校计算机专业学生一个了解和学习入侵监测系统的实验平台,使计算机专业教学真正做到贴近实践。
系统安全的“守门员”
对于网络系统来说,所面临的入侵和安全问题极为复杂:黑客入侵、病毒、系统漏洞、内部隐患、误操作……网络安全体系是由路由器、防火墙、网络型IDS、主机型IDS、IPS、杀毒软件等共同构成的。借用足球来打一个形象的比喻,当系统面临网络入侵的时候,路由器充当了足球队中“前卫”的角色,防火墙相当于“中后卫”,网络型IDS象是“边后卫”,而主机型IDS则是最后一道防线——“守门员”,其结构图如下所示:
网络入侵检测IDS(Intrusion Detection System)是一种动态安全防护技术,是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它通过监视网络或系统资源,寻找违反安全策略的行为和攻击迹象,并发出报警,为网络系统提供安全保护。根据采集数据源的不同,IDS可分为主机型IDS(Host-based IDS)和网络型IDS(Network-based IDS)两种。NIDS直接从网络上采集原始的数据包,进行检测;HIDS从主机/服务器上采集数据,包括操作系统日志、系统进程、文件访问和注册表访问等信息。
众所周知,在网络安全的攻防对峙中,离被防护信息点越近,保护的作用就会越有效。由于部署在主机上,曙光HIDS从空间上满足了网络安全的先决条件,同时,由于监控的是用户的整个访问行为,曙光HIDS可以有效利用操作系统本身提供的功能,结合异常分析,准确报告攻击行为,在时间上保证了网络安全进程实现的过程。曙光主机型IDS在系统运行时既可以防范已知攻击,又可获知不明攻击;可通过在线侦测非恶意的越权操作,有效防范内网用户的恶意越权操作,并通过监测到主机核心进程和被保护目标或文件,有效防止植入木马类程序的延时破坏。凭借在网络安全防护时空上的优势,曙光GodEye-HIDS主机入侵检测系统有效地弥补网络型IDS的不足,在网络安全体系中起到了至关重要的作用。
此外,作为“守门员”,曙光HIDS能够与“中后卫”——网络中的防火墙实现联动响应,对整个网络进行实时防御操作。支持业界通用的联动协议,如Topsec、NAP等等。当HIDS发现攻击企图后,它能够及时通知防火墙,通过防火墙进行联合防御操作,确保整个网络和主机的安全。
未完,请翻页
第二页
管理、监控和安全一体化
如果说曙光DCMM机群监控系统是对机群硬件提供监控服务,曙光DCMS机群管理系统是对机群软件和网络提供管理服务,那么,曙光主机型IDS入侵监测系统则是为了确保系统的安全应用。软件管理、硬件监控和应用安全构成了一个完整的机群解决方案。
随着系统规模的扩大,机群系统的安装、升级和管理问题也会随之呈线性增加,并最终会导致系统实际不可用。曙光DCMS机群管理系统是一套用于大型机群软件系统的机群管理工具。曙光DCMS的引入能有效地解决系统管理的问题。DCMS通过分布式管理服务器为机群中每个节点提供永久信息库,保持每个节点的状态,通过丰富的管理工具集对机群系统、网络等方面进行统一管理和配置,通过分布式资源监控管理器监控许多资源,包括节点、适配器、文件系统和进程,监控系统采用分布式组织方式,有效降低了单点故障对整个机群监控的影响。
曙光DCMM机群监控系统监控着机柜系统环境、每节点硬件配置情况、每节点直流电压、各部件温度、风扇转速等硬件状态、系统CPU、内存、网络使用情况等,可指定节点,也可以图形方式对各节点的单项数据进行对比。
在硬件监控和软件管理的基础上,基于主机的分布式入侵检测系统曙光GodEye-HIDS,能够防范对系统文件的恶意纂改和误操作,实时监视可疑连接、定期检查系统日志,发现非法访问的闯入等,并且提供对典型应用的保护,如Web服务器、SMTP、POP3服务器等等,GodEye-HIDS能够发现多达1200种的网络攻击、误操作以及可疑事件,有效地实现了对服务器系统的信息安全防护。其引擎端采用了三种检测方式(文件完整性检查、系统日志分析、系统漏洞扫描),同时,结合系统实时监控(系统资源、系统服务、日志文件、网络流量、用户登录等等)对服务器进行不间断检测和监视。通过对服务器各种资源和运行状态的实时监控,达到洞悉系统状况的效果,确保用户能够对服务器的状态进行完全掌握,就好像是服务器的“闭路监视系统”。
网格安全的探索
网格是构筑在因特网上的一组新兴技术,它使人们可以动态地共享分布在网上不同地方的各种资源,如大型计算机、数据库、应用、服务等。也可以形象地说,网格把整个网络变成了一台虚拟的计算机,使人们可以随时随地享用网上的各种资源。
网格的建立是以Internet作为通信支撑平台,而Internet是一个开放性、异构性极大的公共网络,这使得在Internet上运行的网格作业面临各种各样的安全威胁,如数据被截取、信息的内容被篡改或删除、假冒合法用户和服务器等。因此,在网格环境中,需要采取各种有效的安全措施防止这样的情况发生,确保系统安全。
高性能计算机作为网格的节点,其本身的系统安全也同样影响着网格的安全运行。分布在高性能计算机上的主机型IDS作为系统安全的最后一道防线,起到了“守门员”的作用,同时与机群管理系统和监控系统相互配合,对网格安全的构建也是一种有益的尝试。
网友评论