(立體安全方案架構圖)
  
      層層遞進，構建立體安全
  
      以前，在安全領域主要是以禁用主機上沒用的服務端口、設置殺毒軟件、軟件版本的防火墻等以實現(xiàn)抵御外部產(chǎn)生的威脅，而目前網(wǎng)絡的安全措施主要是獨立的硬件防火墻。它可以實現(xiàn)用戶信息的訪問控制和安全防范、實現(xiàn)對網(wǎng)絡不同安全區(qū)域的隔離，達到可控訪問的目的。例如入侵者如果打開了主機上某些被禁止的端口，由于防火墻并未開放該端口，因此入侵者仍然不可以使用該端口進行內(nèi)外網(wǎng)之間的通訊，防止了內(nèi)部資源或數(shù)據(jù)的外泄。如曙光天羅防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級。當其檢測到危險信息時，系統(tǒng)可以根據(jù)管理員的設置斷開連接，實現(xiàn)入侵主動防護。另外使用防火墻還可以有效地降低安全管理的工作強度，提高計算機群系統(tǒng)安全的可管理性。

      防火墻為高性能機群提供了基本的安全防范，然而防火墻只能提供被動的、靜態(tài)的保護，所提供的安全級別較低，如果與網(wǎng)絡入侵檢測系統(tǒng)（NIDS）、主機入侵檢測系統(tǒng)（HIDS）、數(shù)據(jù)安全、機群安全管理4個層面互相配合，則可以提供動態(tài)的安全防護，全面提升計算機群的安全等級。

   
  （立體安全解決方案網(wǎng)絡拓撲圖）
  
      第一級防護：網(wǎng)絡安全
  
      處在互聯(lián)網(wǎng)中的計算機首先要面對的就是網(wǎng)絡安全。一般情況下，防火墻對于對被允許的主機和應用的攻擊無能為力，因為這些攻擊會偽裝成對這些合法主機和應用服務的訪問，從而騙過防火墻，進入到受防火墻保護的區(qū)域之內(nèi)。因此對于安全要求較高的局域網(wǎng)、或者局域網(wǎng)中部署有關鍵應用的，應該在使用防火墻保護的基礎上，采用入侵檢測系統(tǒng)（NIDS）提高相關區(qū)域的安全防護水平。
  
      網(wǎng)絡入侵檢測系統(tǒng)（NIDS）能監(jiān)視網(wǎng)絡流量，通過偵聽特定網(wǎng)段的數(shù)據(jù)包，實現(xiàn)對該網(wǎng)段實時監(jiān)視、發(fā)現(xiàn)可疑連接和非法訪問的闖入等，防范網(wǎng)絡層至應用層的各種惡意攻擊和誤操作。網(wǎng)絡入侵檢測系統(tǒng)通過與防火墻聯(lián)動，對網(wǎng)絡數(shù)據(jù)包的過濾和訪問控制，將訪問限制在網(wǎng)絡被允許的主機（IP地址）和應用服務（端口），從而極大地縮小所需管理的安全范，實現(xiàn)針對網(wǎng)絡入侵的安全防護。
  
      第二級防護：主機系統(tǒng)安全
  
      雖然網(wǎng)絡入侵檢測可以對各種應用服務，如Web、SMTP、POP3等提供保護，然而這些更多是對網(wǎng)絡數(shù)據(jù)包的檢查，而且防御手段通常會滯后于攻擊手段的發(fā)展，因此也就存在由于這種滯后而造成網(wǎng)絡的威脅，而使受保護網(wǎng)絡被侵入，如網(wǎng)絡中的某臺主機受到了攻擊并成為攻擊的中轉(zhuǎn)站，入侵者通過對被攻破的主機系統(tǒng)進行修改，掩藏自己并對網(wǎng)絡中其它主機發(fā)動攻擊。這些行為是網(wǎng)絡入侵檢測系統(tǒng)無法解決的，這時就需要完善的主機防護系統(tǒng)。

      曙光主機入侵檢測系統(tǒng)（HIDS）能防范對主機系統(tǒng)文件的惡意纂改和誤操作，實時監(jiān)視可疑連接、定期檢查系統(tǒng)日志，掃描用戶行為，發(fā)現(xiàn)非法訪問闖入等。因此主機入侵檢測系統(tǒng)可以很好地彌補網(wǎng)絡入侵檢測系統(tǒng)的盲區(qū)，二者形成互補，對繞過防火墻的攻擊行為進行細粒度的檢測和防御，實現(xiàn)從網(wǎng)絡到主機的全面防護。
  
      除HIDS保護以外，曙光天目立體監(jiān)控系統(tǒng)為服務器主機安全提供了更完善的保障，她支持在系統(tǒng)開機時啟動并捕獲BIOS對服務器的檢測信息，并把它們轉(zhuǎn)化為漢字顯示在服務器前面板液晶屏上，使系統(tǒng)管理員能非常直觀有效地定位服務器系統(tǒng)故障；并能實現(xiàn)基于主機和操作系統(tǒng)的監(jiān)控，同時提供服務器運行檢測月報告，不但可以對服務器的軟件和硬件資源進行監(jiān)控，同時對局域網(wǎng)內(nèi)的二級服務器運行狀況也了如指掌。
  
      第三級防護：數(shù)據(jù)安全
  
      高性能計算機群多數(shù)都是用于科學研究或重要數(shù)據(jù)處理，因此其原始資料、計算結果等都屬于安全敏感數(shù)據(jù)，可以說服務器中所存儲的數(shù)據(jù)價值遠遠超過了它本身的價值，因此，這些數(shù)據(jù)的安全存儲和安全備份顯得格外重要，基于Cluster機群技術的雙機備份解決方案，基于用于對雙服務器實行監(jiān)控的容錯軟件和作為數(shù)據(jù)存儲設備的系列磁盤陣列柜，通過軟硬件兩部分的緊密配合，為數(shù)據(jù)安全提供了雙重的保護。
  
      除此之外，這些敏感數(shù)據(jù)在局域網(wǎng)、互聯(lián)網(wǎng)中傳輸時極易被竊取、篡改，因此在設計高性能計算機群的安全問題時，數(shù)據(jù)傳輸中的安全問題也必須要考慮。
  
      而利用防火墻的虛擬專用網(wǎng)絡（VPN－Virtual Private Network）功能實現(xiàn)互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶、HPC用戶接口之間的安全通訊成為一種極為必要的手段。VPN是指在公眾網(wǎng)絡上所建立的企業(yè)網(wǎng)絡，此網(wǎng)絡擁有與專用網(wǎng)絡相同的安全、管理及功能等特點，它替代了傳統(tǒng)的撥號訪問，利用 INTERNET 公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)。它能通過加密、認證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。VPN在立體安全中的應用為關鍵數(shù)據(jù)的傳輸建起了一個高安全的專用數(shù)據(jù)傳輸通道，成為立體安全極為重要的一部分。
  
      綜合管理：機群安全管理
  
      作為立體安全，一個高效便捷的管理系統(tǒng)十分重要。曙光機群安全管理系統(tǒng)可實現(xiàn)網(wǎng)絡的全域資源管理，實行集中管理，統(tǒng)一配置。防火墻、IDS、VPN與機群安全管理緊密結合，為機群服務器提供更高的安全、更強的管理，從而實現(xiàn)了曙光公司所倡導的“立體安全”理念，為用戶的信息系統(tǒng)提供全方位的深度的“立體安全”防護。
  

多易