2020年-“您身边的主机安全专家”--浪潮主机安全解决方案课件

1您身边的主机安全专家智汇安全智汇安全 共赢未来共赢未来浪潮集团信息安全事业部您身边的主机安全专家智汇安全 共赢未来2一一、创新的数据中心主机安全解决方案、创新的数据中心主机安全解决方案二二、主机安全系列产品及竞争力分析、主机安全系列产品及竞争力分析三三、案例分享、总结、案例分享、总结一、创新的数据中心主机安全解决方案二、主机安全系列产品及竞争3在新形势下，主机安全作为最后一道防线在新形势下，主机安全作为最后一道防线应更加重视主机安全保障体系的建设应更加重视主机安全保障体系的建设主主机机安安全全保证主机在数据存储和处理的保密性、完整性，可用性。它包括硬件、固件、系统软件的自身安全，以及一系列附加的安全技术和安全管理措施，从而建立一个完整的主机安全保护环境。主机安全最后一道防线主机（服务器）承载数据中心80%关键应用、数据在新形势下，主机安全作为最后一道防线主机安全保证主机在数据存4应用系统操作系统硬件+BIOS数据数据库安全加固应用系统的安全监管操作系统加固硬件监管主机安全建设需求分析应用系统操作系统硬件+BIOS 数据数据库安全加固应用系统的5创新的主机安全解决方案浪潮SSA：安全应用交付系统Internet数据库服务器存储系统Microsoft Linux Unix SolarisMicrosoft Linux Unix SolarisWebSphere应用服务器安全管理安全审计运维管理中心开发、第三方运维人员浪潮SSM:应用安全监管系统浪潮SSC：运维安全管控系统浪潮SSR：主机安全增强系统浪潮可信服务器浪潮SDP：数据库审计安全加固系统创新的主机安全解决方案浪潮SSA：安全应用交付系统Inter6一、创新的数据中心主机安全解决方案一、创新的数据中心主机安全解决方案二、主机安全系列产品及竞争力分析二、主机安全系列产品及竞争力分析三三、案例分享、总结、案例分享、总结一、创新的数据中心主机安全解决方案二、主机安全系列产品及竞争7浪潮主机安全增强系统SSR浪潮主机安全增强系统SSR8网络边界网络边界数据传输数据传输非法接入防火墙VPN网闸PKI认证漏洞扫描、信息劫持已知病毒、蠕虫入侵防御系统核心主机核心主机服务器服务器计算环境计算环境加密机未知的蠕虫、木马，RootKit、内网攻击防毒墙重网络边界防御，忽视主机防护重网络边界防御，忽视主机防护杀毒软件如何用最直接的手段保护主机系统安全浪潮SSR研发背景现有安全体系SSR产生背景：传统信息安全体系网络边界数据传输非法接入防火墙VPN网闸PKI认证漏洞扫描、9中国首款主机安全加固的软件，填补国内空白全球唯一获得微软兼容性认证的主机安全加固产品唯一获得公安部SSRForAIX认证中国操作系统安全加固市场占有率第一SSR概述中国首款主机安全加固的软件，填补国内空白SSR概述10三权分立保留原系统管理员基础上增加安全管理员和审计管理员，做到最小权限。强制访问控制通过是采用HOOK技术来控制系统的通讯信道以及内核函数实现核心防护。ROST自我防护机制具备软件自我防护和系统文件、磁盘防护、介质防护功能，保护系统不被恶意破坏。白名单通过白名单机制保证业务系统免受病毒、黑客攻击以及误操作对系统的破坏等行为。USB-key多因子认证跨平台管理以及Linux、类Unix操作系统。实现USB-KeyUSB-Key等多因子认证SSR关键功能指标三权分立强制访问控制ROST自我防护机制白名单SSR关键功能11SSR核心技术：ROSTSSR核心技术：ROST12操作/命令杀毒/IPS/IDS等黑名单模式未知病毒/木马等恶意程序病毒库/特征库传统防护技术操作系统内核加固技术正常访问已知病毒/木马等恶意程序未知病毒/木马等恶意程序信任程序列表强制访问控制自我防护三权分立SSR白名单模式正常访问非信任程序已知病毒/木马等恶意程序正常访问信任程序通过白名单机制免疫系统层病毒、黑客等对核心文件、数据的攻击行为避免因系统漏洞以及软件漏洞成为将来的隐患SSR功能亮点：白名单机制操作/命令杀毒/IPS/IDS等黑名单模式未知病毒/木马等恶13D最小保护C1任意的信息保护C2控制的访问保护B1层次化的信息保护B2结构化的保护B3安全领域A1验证的信息保护任意策略任意及强策略SingleLevelSecurityMultilevelSecurity强化审计追踪要求事项系统结构要求事项的强化强力的系统结构要求事项用户和数据的分离追踪登录&审计数据级别可信赖的安全功能的分离设备级别防伪造NTCBDescriptiveFormalTop-LevelSpecification定型的安全模块验证强化入侵测试强化形象管理强化安全隧道安全的发布非定型验证安全性(低)(高)TCSEC(TrustedComputerSystemEvaluationCriteria:美国防部系统安全测评标准)商用操作系统进口安全操作系统贸易壁垒等级保护15级TCSEC美国防部系统安全测评标准DC1C2B1B2B3A1任意策略任意及强策略Single 131314SSR符合国家等保、分保技术要求SSRSSR与等级保护技术要求对应与等级保护技术要求对应SSRSSR与分级保护技术要求对应与分级保护技术要求对应SSR符合国家等保、分保技术要求SSR与等级保护技术要求对应15SSR应用场景：关键业务服务器SSR是基于操作系统内核的安全加固软件，以操作系统内核进行区分。可以适用于不同硬件平台（浪潮、IBM、HP、华为等）的服务器，以及不同的应用场景。SSR应用场景：关键业务服务器SSR是基于操作系统内核的安全16集中管理平台实现跨平台集中管理统一分发策略集中管理平台实现跨平台集中管理17集中监管、报表统计状态监控显示当前管理平台中管理的服务器信息，包括操作系统类型，IP，CPU以及内存信息。统计报表，对当前集中管理平台中收集到的日志进行基本的分类统计。集中监管、报表统计状态监控显示当前管理平台中管理的服务器信息18SSR部署示意图u部署简单、不更改现有网络环境和应用，对操作系统透明。u支持集中管理。SSR部署示意图部署简单、不更改现有网络环境和应用，对操作系19微软兼容性认证证书微软兼容性认证证书20浪潮安全应用交付系统SSA浪潮安全应用交付系统SSA21安全应用交付的发展历史 交换机交换机 路由器路由器 负载均衡器负载均衡器 应用交付设备应用交付设备 安全应用交付设备安全应用交付设备安全应用交付的发展历史交换机负载均衡器应用交付设备安全应用交22安全应用交付市场需求分析安全应用交付市场需求分析23高配硬件保证效能网络产品，非通用服务器平台至强企业级CPU、企业级ECC内存、企业级大容量硬盘灵活扩展性，性能平滑提升1U单路平台:2Gbps20Gbps；2U双路平台:20Gbps80Gbps；扩展模块可选：四万兆、四千兆/八千兆(RJ45&SFP)；高可用配置热插拔冗余电源Bypass扩展电口网卡产品灵活度高，端口任意扩展，功能ALLinone，License控制性能，实现“无成本”升级！高配硬件保证效能网络产品，非通用服务器平台产品灵活度高，端口24特色1：核心软件系统提升处理能力CPU池内存池线程池3大核心技术之一：ISEOS（InspurSuperEfficientOperatingSystem）浪潮超高效能操作系统超高并发处理性能，池化处理，跨内存直接访问性能高于同档次产品30%-50%线程1线程2线程2n线程3线程4线程2n-1CPU1CPU1CPU2CPU2CPUnCPUnISEOSISEOS特色1：核心软件系统提升处理能力CPU池内存池线程池3大核心25特色2：内核加固系统采用内核安全锁保证安全设备本身安全核心3大核心技术之二：特色2：内核加固系统采用内核安全锁核心3大核心技术之二：26特色3：自身虚拟化vADC应用系统2财务部门vADC应用系统1ERP系统vADC多链路负载均衡互联网出口HypervisionCPU虚拟化内存虚拟化网络接口虚拟化IO存储虚拟化硬件加速卡虚拟化资源独享：每个虚拟ADC独享部分CPU,内存，IO等资源，互不影响安全隔离：多业务系统可以使用不同的ADC版本，不同配置策略和切割方案；统一管理：根据业务的运行状态，动态调整虚拟ADC的资源占用，最大合理化设备使用；高可靠：虚拟机间HA，实现单机高可靠性vADC应用系统3监控系统3大核心技术之三：特色3：自身虚拟化vADC应用系统2财务部门vADC应用系统27重防护应用层保护网络层保护可追溯攻击日志、系统日志随时可查支持1+1，N+1，N+M方式运行高可用浪潮30年硬件设计经验ByPass功能全国产设备硬安全特色4：安全、高可用SSL卸载HTTP压缩连接复用TCP优化网页加速重防护应用层保护可追溯攻击日志、系统日志随时可查高可用浪潮328应用场景1应用负载均衡数据中心负载均衡SSL卸载TCP优化内容加速健康检查连接复用浪潮安全应用交付系统应用负载均衡应用负载均衡支支持持多多种种协协议议，针针对对不不同同的的应应用用类类型型，根根据据多多种种负负载载均均衡衡算算法法，将将不不同同请请求求分分发发到到相相应应的的服服务务器器，有有效效降降低低服服务务器器负负载载；配配合合丰丰富富的的健康检查方式以及多种应用加速功能，保障服务快速可用健康检查方式以及多种应用加速功能，保障服务快速可用应用场景1应用负载均衡数 据 中 心负载均衡SSL29应用场景2多链路负载均衡应用场景电信联通教育网数据中心教育网用户联通用户电信用户教育网用户联通用户电信用户多链路负载均衡多链路负载均衡功能，使内部用户无论是访问联通资源还是电信资源，都可以从正确的线路进行访问。解决了从内到外的不同运营商网络之间的互访瓶颈。应用场景2多链路负载均衡应用场景电信联通教育网数据中心教30应用场景3全局负载均衡的应用场景百度东莞机房广州用户广州用户百度内蒙机房北京用户北京用户百度上海机房杭州用户杭州用户此场景为假设场景，不代表真实情况全局负载均衡解决外部用户访问内部服务器时所遇到的不同ISP的访问瓶颈。采用多种算法，将用户的访问请求分配给合理的数据中心进行处理，选择合适的链路进行导流，从而保障了访问的速度与质量。应用场景3全局负载均衡的应用场景百度东莞机房广州用户百度31SSA产品核心价值真正意义上的真正意义上的ADCADC：处理关键性业务，100G以上带宽的处理能力；良好的安全性，攻不破，无漏洞；多重业务处理的整合体：SSL加速、智能广域网负载均衡、链路负载均衡、支持虚拟化友好的监测界面，健全的报警机制ADC应用交付平台高可用快速安全LB：负载均衡SLBLLBGSLBWOC：广域网优化TCP优化字节缓存数据压缩WAF：Web应用防护请求检查内容防护适应性学习HA：高可用VRRPAA/ASClusterAAC：应用加速连接复用压缩缓存SSL卸载APM：高级策略管理DPI，URL地址库SSO，用户管理License管理Network：网络LACP动态路由RHIUAM：单边加速智能流控动态调整接收窗口大小动态调整传输速率NFW：网络安全防护ACL，NATVPN，抗攻击、IPS防垃圾邮件、防病毒SSA产品核心价值真正意义上的ADC：ADC应用交付平台高可32SSA3000SSA4000SSA5000SSA6000SSA700020Gbps 40Gbps60Gbps8xRJ45 4x1G SFP10Gbps4x10G SFP+8xRJ45 8x1G SFP4x10G SFP+16xRJ45 8x1G SFP4x10G SFP+16xRJ45 16x1G SFPPerformancePriceSSA2000 5Gbps8xRJ45 第一板块：上量政府、教育等低端客户深信服、国内品牌为主要竞争对手省区、渠道销售为主更高配置，更低价格第二板块：入围政府高端、金融、运营商、大企业等国外品牌为主要对手国产化替代+选型入围金融、运营商团队为主第三板块：突破金融、运营商等高端应用，F5的主力市场行业选型入围行业团队为主第四板块：战略冲击最尖端应用100G以太网成熟后的趋势SSA-200G2SSA-400G2未来产品线120Gbps浪潮SSA整体产品线分布主攻市场冲量市场8x10G SFP+16xRJ45 16x1G SFPSSA3000SSA4000SSA5000SSA6000SS33产品竞争分析F5产品线众多，目前F5已对产品线进行了重新梳理，新产品线不会超过6款设备；产品更新换代频繁，目前除总代有少量1600、3600库存外，新平台2000S、4000S等已全面上市产品竞争分析F5产品线众多，目前F5已对产品线进行了重新34产品竞争分析F5主打性价比指标参数SSA2000F52000SSSA3000F54000SSSA4000F55000SSSA5000F57000SSSA6000SSA7000F510000S标称吞吐2G8G5G6G12G10G10G20G30GL415GL720G40G40GL420GL740G80G80G-120G80GL440GL7网络接口8RJ458RJ458RJ454SFP8RJ458RJ458SFP光口4SFP+4RJ45可选8SFP+16RJ458SFP光口4SFP+4RJ45可选8SFP+16RJ4516SFP光口4SFP+16RJ4516SFP光口8SFP+2SFP+CPU四核双核四核四核四核四核十二核四核十六核二十核十二核内存8G8G16G16G32G32G32G32G64G64G48G硬SSL卸载支持支持支持支持支持支持支持支持支持支持支持电源单电（可选双）单电（可选双）双电单电（可选双）双电单电（可选双）双电双电双电双电双电L4新建200K75K350K150K500K350K900K350K1.5M2M500KL7新建400K212K500K425K800K750K900K800K1.5M2M1M并发16M5M32M10M64M24M64M24M128M128M36M高度1U1U1U1U1U1U2U2U2U2U2U产品竞争分析F5 主打性价比指标SSAF5 2000S35总部位于美国硅谷，台湾人创立的公司，为Foundry创始人，最早开发出负载均衡器；公司成立于2000年左右，全球有员工500逾人、22个国家设有办事机构，中国有独资企业上海威实网络科技有限公司、目前主要的研发在北京，产品实现中英文界面，主要有台湾厂商进行硬件产品代工。2014年上半年在美国纳斯达克上市。销售规模全球第三、国内前五。主要产品线：负载均衡、应用交付；核心技术：ACOS平台，共享内存架构宣传重点：低功耗，高性能安全应用交付市场分析-A10产品线齐全，产品性价比高1.全球份额9%，国内份额3%（日本市场占有率较高）2.以其高性价比，成为魔力象限的挑战者总部位于美国硅谷，台湾人创立的公司，为Foundry创始人，36安全应用交付市场分析-A10产品对应表指标参数SSA2000A10Thunder930SSA3000A10Thunder1030S/SESSA4000A10Thunder3030sSSA5000A10Thunder4430sSSA6000 SSA7000A10Thunder5430标称吞吐2G8G5G6G12G10G10G20G 30G20G40G 40G40G80G 80G-120G80G网络接口8RJ456RJ452SFP光口2SFP+8RJ454SFP6RJ452SFP光口2SFP+8RJ458SFP光口4SFP+6RJ452SFP光口4SFP+16RJ458SFP光口4SFP+4SFP+4QSFP16RJ4516SFP光口4SFP+16RJ4516SFP光口8SFP+16SFP+4QSFPCPU四核四核四核四核四核四核十二核十六核二十核内存8G8G16G8GB32G16GB32G64G64G64G硬SSL卸载 支持不支持支持不支持支持支持支持支持支持支持电源单电（可选双）单双可选双电单双可选双电双电双电双电双电双电L4新建200K200K350K450K500K750K900K1.5M2M3.7ML7新建400K180K500K480K800K800K900K1.5M2M并发16M16M32M32M64M64M64M128M128M高度1U1U1U1U1U1U2U2U2U1U主打产品灵活性，A10端口固定，低端不支持SSL硬卸载安全应用交付市场分析-A10产品对应表指标参数SSA200037产品竞争分析Radware公司国际总部设在以色列特拉维夫；美国公司总部设在新泽西州莫瓦；在美国、加拿大、拉丁美洲、欧洲、中东和非洲、印度以及亚洲地区均设有办事处；2005年收购V-Secure；2007年收购Covelight；2009年收购Nortel4-7层业务；全球员工超过700名；2010财年收入为1.441亿美元；全球拥有10,000多家客户。2012在上海成立睿伟网络科技公司收购Alteon，目前产品线由AppDirector全面切换到Alteon系列市场份额第4位，下滑趋势原有AD产品线与收购的Alteon共存，逐步淘汰原AD产品产品竞争分析Radware公司国际总部设在以色列特拉维夫38产品竞争分析Radware产品对应表指标参数SSA2000RadwareRadwareAlteon4408SSA3000Radware-Alteon5208SSA4000Alteon520812G标称吞吐2G8G1G6G12G6G10G20G12G网络接口8RJ456RJ452SFP8RJ454SFP8RJ452SFP8RJ458SFP光口4SFP+8RJ452SFPCPU四核多核四核多核四核多核内存8G4G16G8G32G8G硬SSL卸载支持支持支持支持支持支持电源单电（可选双）单双可选双电单双可选双电单双可选L4新建200K210K350K700K500K700KL7新建400K52.5K500K900K800K900K并发16M10M32M12M64M12M高度1U1U1U1U1U1U性价比、中文界面、端口灵活性产品竞争分析Radware产品对应表指标参数SSA20039产品竞争分析ArrayArrayNetworks创建于2000年，是汉鼎亚太(H&QAsiaPacific)和美国风险投资合伙人(U.S.VenturePartner)共同投资的私营公司。ArrayNetworks在中国拥有全资子公司，负责中国区域市场的销售、支持工作，北京设有全球化研发团队。代表产品：APV系列AppVelocity（负载均衡和加速）AppVelocity-S（加速）NetVelocity（链路负载均衡）F539.6%Sangfor14.1%Radware12.2%Array10.0%H3C6.1%Citrix4.7%Others13.3%F5SangforRadwareArrayH3CCitrixOthers产品竞争分析ArrayArray Networks创建于40产品竞争分析Array产品分为1U、2U两个平台；其形式是服务器插卡式，扩展能力有限；未入围央采产品对应表指标参数SSA2000SSA3000APV2600SSA4000APV5600/5650SSA5000APV8600SSA6000APV9600标称吞吐2G8G6G12G5G10G10G20G15G/20G20G40G40G40G80G60G网络接口8RJ458RJ454SFP8RJ458RJ458SFP光口4SFP+8RJ45/8RJ454SFP光口16RJ458SFP光口4SFP+16RJ454SFP光口16RJ4516SFP光口4SFP+16RJ452SFP+CPU四核四核多核四核多核十二核多核十六核多核内存8G16GN/A32GN/A32GN/A64GN/A硬SSL卸载支持支持N/A支持N/A支持N/A支持N/A电源单电（可选双）双电双电双电双电双电双电双电双电L4新建200K350KN/A500KN/A900KN/A1.5MN/AL7新建400K500KN/A800KN/A900KN/A1.5MN/A并发16M32MN/A64MN/A64MN/A128MN/A高度1U1U1U1U2U2U2U2U2U产品竞争分析Array产品分为1U、2U两个平台；其形式41核心卖点安全可靠主打自主安全理念，顺应国产化替代趋势快速高效应用交付与服务器应用无缝融合，提高系统应用交付效率高端易用高性能、配置简单、中英文界面大行云道充分和当前云计算、云安全技术发展相结合比比F5F5更好的性价比，做最好的国产更好的性价比，做最好的国产SADCSADC产品产品核心卖点安全可靠 主打自主安全理念，顺应国产4142浪潮可信服务器浪潮可信服务器43国外可信计算发展彩虹系列：标志着可信计算的出现。1983年美国国防部制定第一个可信计算及评价标准（TCSEC），第一次提出可信计算机和可信计算基（TCB）的概念，把TCB作为系统安全基础。彩虹系列局限性主要强调信息的秘密性，对完整性、真实性考虑的较少。主要强调系统的安全性评价，却没给出达到这种安全性的系统结构和技术路线。国外可信计算发展彩虹系列：标志着可信计算的出现。1983年美4344国外可信计算发展可信计算平台联盟TCPAT和可信计算组织成立。1999年由IBM、HP、Interl和微软等著名IT企业发起，目前已发展到200多家（包括中国）著名IT行业公司加入，旨在研究制定可信计算的工业标准，现称TCG。TCG首先提出可信计算平台的概念,而且具体化到可信P、可信服务器、可信PDA和可信手机,并制定了相应的技术规范。国内外的可信计算PC平台都己经产业化,并走向实际应用，但在标准符合性方面还存在一些问题,在不断提高。成立的意义提出可信平台概念，并具体化到服务器、微机、PDA、手机，给出系统体系结构和技术路线。强调真实性和完整性。产业化和广泛性，研制出可信计算机和模块。国外可信计算发展可信计算平台联盟TCPAT和可信计算组织成立4445我国可信计算的研究几乎与国际同步，站在可信计算研究前端，参与研制的人员和单位众多，成果丰硕。2000年,武汉日大公司和武汉大学合作，开始研制可信计算机，通过国家鉴定。同时，可信计算论坛、会议相继召开。2005年，符合我国技术规范的TCM芯片推出后,瑞达、联想、长城等公司都相继推出了可信计算机；武汉大学研制出我国第一款可信PDA，我国第一个可信计算平台的测评系统。2006年，我国进入制定可信计算规范和标准的阶段,制定了可信计算平台密码，2007年启动了芯片、主板、软件、可信网络连接、体系结构、服务器、存储、测评等规范的制定。2008年，中国可信计算联盟（CTCU）正式成立。2014年，浪潮发布国内首款可信服务器，同年10月曙光发布基于龙芯CPU可信服务器国内可信计算发展我国可信计算的研究几乎与国际同步，站在可信计算研究前端，参与4546产业发展现状技术和标准体系建设产业生态链形成规模化应用推广当前阶段可信计算产业发展历程2大方向国际国内体系：TPM2.0为核心，依靠TCG推动产业化应用代表企业：Intel、微软、IBM、Juniper等体系：国家密码局推动以TCM为核心的可信计算体系产业推广：中关村可信计算联盟、中国可信云社区代表企业：国民技术、中标软件、浪潮、华为、联想代表人物：沈昌祥、冯登国、张焕国产业发展现状技术和标准体系建设产业生态链形成规模化应用推广当47可信计算产业布局可信计算产业布局48产业应用现状国内行业应用出见成效：国家电网电力调度系统一期可信计算试点已完成，下一步将在省级以上电力高度系统全面实施。参机完成了针对涉密系统的可信计算机研发，计划全军的应用推广。银监会317号文规定计算机设备需配置可信计算模块。国外行业应用百花其放：IBM收购Softlayer后为多达60多个行业客户提供可信计算服务，美国HIPPA利用可信计算提供安全审计方面的支持。美国政府和军队已将可信计算列为战略防护技术之一。日本在车联网、欧洲在船联网等有可信计算典型应用项目。预计未来3年，可信计算将是国内计算机设备的标配产业应用现状国内行业应用出见成效：国家电网电力调度系统一期可49原因：一是服务器硬件架构自身存在脆弱性，容易被控制；二是大量的基础设施及关键应用还采用国外设备。主要攻击：针对服务器BIOS、PCI卡、硬盘、管理子系统等恶意代码攻击服务器硬件风险针对服务器硬件的APT攻击原因：一是服务器硬件架构自身存在脆弱性，容易被控制；二是大量50中国银监会办公厅工业和信息化部办公厅印发银行业应用安全可控信息技术推进指南（2014-2015年度）（317号文）“银行业金融机构应根据指导意见要求，按照到2019年末安全可控信息技术使用率达到的75%的总体目标开展工作。对于本指南印发时已达到75%的资产级别，原则上应保持比例只增不减。”317号文摘录PC服务器安全可控指标通过国家相关部门的检测和认证（须获3C认证、兼容性互认）；含有的可信计算模块（TMP/TCM)，应取得商用密码产品型号证书；国内行业政策电监委决定以可信计算架构实现等级保护四级。目前41个省级以上智能电网调度控制系统皆被定为四级，占全国四级系统总数近半。”十三五”计划把原外插卡式可信服务器升级到可信芯片内嵌到主板上。电力行业银行金融业中国银监会办公厅 工业和信息化部办公厅印发银行业应用安51厂商华为联想曙光产品定位及概况TCG成员，以TCG标准体系为主，面向全球市场。2013年4月宣布与Intel联合发布可信云平台解决方案，全面兼容OpenStack，从硬件平台、云操作系统到业务接入三重防护。2014年，华为推出可信云解决方案。提供可信服务器+云操作系统可信支持方案。云操作系统支持TPM2.0，包括BIOS可信、虚机完整性度量、虚机静态及动态度量、VTPM支持以及与中标麒麟OS密切技术捆绑。TCG董事会成员，TCG标准有优势，面向全球市场。国内TCM规范和配套标准的主要制定者。推出多款基于TCM芯片服务器，R525，T168，TS530，RD630推出了带有TCM芯片的ThinkCenterPC机、昭阳笔记本。基于TCM芯片的数据盾软件，主要用在终端，实现策略配置，文件加解密。IBM给联想低端X86服务器采用了两片TPM1.2芯片实现，一片直挂CPU，一片直挂BMC，两片实现基于可信计算的主动防御功能。面向国内市场（TCM）既浪潮2014年9月发布可信服务器，同年10月发布基于龙芯CPU平台的可信服务器L620R-S，采用TCM芯片。强调国产自主可控国内外主要厂商分析中国服务器厂商厂商华为联想曙光产品定位及概况TCG成员，以TCG标准体系为5152厂商Intel微软其他产品定位及概况TCG董事会成员，TCG标准有优势，面向全球市场。2013年4月宣布与Intel联合发布可信云平台解决方案，全面兼容OpenStack，从硬件平台、云操作系统到业务接入三重防护。2014年，华为推出可信云解决方案。提供可信服务器+云操作系统可信支持方案。云操作系统支持TPM2.0，包括BIOS可信、虚机完整性度量、虚机静态及动态度量、VTPM支持以及与中标麒麟OS密切技术捆绑。TCG董事会成员，TCG标准有优势，面向全球市场。2009年，微软发布Win7（内核版本WindowsNT6.1），支持TPM1.2，同时发布了WindowsServer20082012年，微软正式发布Windows8，支持TPM2.0，同时发布WindowsServer2012，支持TPM2.02014年，微软SurfacePro3，把TPM2.0作为标准配置2015年微软即将发布的WIN10，及2016发布windowsservervnext将全面支持TPM2.0可信计算。Vmware、Xen、KVM等主流虚拟化软件已支持TPM1.2，正升级到TPM2.0Openstack与Intel合作，支持可信计算池解决方案LinuxKernel4.0支持TPM2.0国内外主要厂商分析国外厂商厂商Intel微软其他产品定位及概况TCG董事会成员，TCG53可信计算技术基本思想先在计算机系统中建立一个信任根(基)，信任根可信性由物理安全、技术安全与管理安全共同确保；再建立一条信任链，从信任根开始，到硬件平台，到操作系统，再到应用，一级度量认证一级，一级信任一级，把这种信任扩展到整个计算机系统。A信任BD信任EA信任E可信计算技术基本思想 先在计算机系统中建立一个信54以可信计算芯片为核心建立平台可信链操作系统安全加固操作系统安全加固加固以可信计算芯片为核心建立平台可信链操作系统安全加固加固55产品定位浪潮可信服务器是一款基于可信计算模块和浪潮最新一代平台技术的高安全性服务器产品。该产品采用可信计算模块、安全固件和安全软件等技术为用户打造的具有高安全性、高性能、高可靠性的服务器平台。无论是传统数据中心物理计算还是云数据中心虚拟计算环境，浪潮可信服务器均提供完善的支持。目前客户适用于对安全可控、计算和扩展性有较高要求的能源、金融、政府、交通、军队/军工等客户。浪潮可信服务器产品介绍安全可信智能强劲产品定位浪潮可信服务器产品介绍安全可信 智能强劲56计算机硬件系统(主板)嵌入计算机软件系统运行时建立可信链标识平台身份保护密钥加电BIOS自检主引导区可信计算模块OS装载器OS内核可信服务及可信应用认证控制模块密码处理模块可信链模块内产生一对密钥权威签发数字证书表征平台可信身份保护数据的密钥密封在密码模块内抵御病毒/木马攻击识别假冒平台盗取密钥不可行;受保护数据拷不走;可信计算模块浪潮可信服务器技术原理计算机 硬件系统(主板)嵌入计算机 软件系统运行时建立标57浪潮可信服务器+可信OS+可信SSR浪潮可信服务器可信虚拟化可信主机安全引擎可信OS可信应用IRONCHEFNSA针对服务器硬件APT的攻击浪潮可信服务器应对硬件APT攻击针对BIOS和系统管理模块攻击针对硬盘MBR攻击针对PCI卡攻击可信计算模块服务器关键部件（主板、BIOS、管理卡）自主研发支持国产TPCM及国产CPU服务器启动时，对关键固件（BIOS、MBR、其他固件）进行完整性度量，杜绝敌对势力高级恶意代码传入攻击国产服务器可信支持DEITYBOUNCE针对BIOS和系统管理模块的漏洞来获得执行OS的权限GINSU在PCI卡中植入恶意代码，在系统重启时启动IRATEMONK在硬盘MBR区植入恶意代码，操作系统无法清除IRONCHEF通过BIOS和系统管理模块漏洞，植入恶意代码JUNIORMINTSWAP在BIOS和硬盘受保护区植入恶意代码可信SSR浪潮可信服务器+可信OS+可信SSR浪潮可信服务器可信虚拟化5758型号型号SA 5280TLSA 5280TMSA 5280TH可信计算功能指标国产密码算法SM2、SM3、SM4可对BIOSbootblock、BIOSmainblock、OptionRom（PCI卡、Raid卡、硬盘等）、MBR等进行完整性度量以可信计算模块为起点，实现从BIOS到OSLoader整个启动过程的信任链建立提供完整的度量日志，度量日志采用安全方式进行存储和访问在虚拟化环境下，可实现对HOSTOS、GuestOSImage文件、GuestOS及GuestOS中指定文件进行完整性度量可根据实现需求对可信服务器平台安全区域相关度量结果和日志进行操作，以及相应密钥管理机架类型2U2U2UCPUE5-2603V3*1E5-2620V3*2E5-2650V3*2内存8G32G64G存储SATA，4*1SAS，4*300GSAS，8*600G网口2个2个4个电源单电源冗余热拔插电源冗余热拔插电源管理功能支持IPMI2.0、KVMoverIP、虚拟媒体等管理功能尺寸（mm）447（宽）87（高）720（深）参考重量（kg）25工作温度（）1035浪潮可信服务器产品规格型号SA 5280TLSA 5280TMSA 5280TH可5859浪潮数据库审计安全加固系统SDP浪潮数据库审计安全加固系统SDP60数据泄密安全事件-2014事件名称泄露信息支付宝找回密码功能存在漏洞，用户欠款丢失1月26日，央视曝光了支付宝找回密码系统漏洞。由于此前支付宝用户信息泄漏，不法分子以此寻找受害人信息，通过漏洞将支付宝的钱款转走。携程网安全支付不安全，大量信用卡信息泄露携程网安全支付日志存在漏洞，导致大量用户银行卡信息泄露小米论坛800万用户信息泄露作为国内使用最广泛的支付平台，影响面大，是互联网金融安全的典型案例。苹果承认存在“安全漏洞”涉及个人深度隐私，影响部分人家庭团结和社会稳定。摩根大通银行数据泄露影响1/4美国人保单信息包含详尽的个人隐私信息，对个人声誉及生活影响大。智联招聘86万条简历数据泄露12月3日，86万条求职者简历数据泄露。索尼影业信息泄露自11月24日被黑客入侵以来，蒙受了巨大的损失，内部的财务文档、员工信息，甚至未上映的影片和内部往来邮件均被曝光。12306再曝漏洞：用户密码身份证等敏感数据泄露圣诞节当日，一份包含13万12306网站用户的账号、明文密码、身份证、邮箱、手机号等敏感信息的文件在网络上疯狂传播国内130万考研用户信息遭泄漏正被黑产利用到2014年11月份的130W考研用户信息泄露，信息包含考研用户的姓名、手机、座机、身份证、住址、邮编、学校、专业等敏感数据韩2000万信用卡信息泄露引发“销户潮”韩国发生史上最大规模的信用卡个人信息泄露事件，KB国民卡、乐天卡及NH农协卡公司的一亿多条用户个人信息被泄露全国社保泄密事件报道称5279.4万条数据遭泄，波及19省份数据泄密安全事件-2014事件名称泄露信息支付宝找回密码功能61数据安全防护缺失用户的数据库安全防护意识！数据库漏洞扫描工具、数据库防火墙、数据库加解密、数据库安全审计、数据库虚拟补丁、数据库状态监控、数据库产品自身的安全模块主流数据库安全防护产品数据安全防护缺失用户的数据库安全防护意识！数据库漏洞扫描工具62数据库安全市场的大小与增长趋势自2009年起，数据库安全防护市场规模保持20%左右的年增长率。2013年全球数据库安全市场约为16亿美元，据Frost&Sullivan（弗若斯特沙利文）预测，到2015年中国数据库安全审计与防护市场可达到9.7亿人民币。随着数据和数据中心越来越多，以及相关驱动助力下，国内市场一直在稳步增长；数据库安全市场没有一家厂商份额能够超过10%，因此在此领域还是一片混战局面，尚无领导者出现。在国产化替代的趋势下，我们的机会就是借助品牌和渠道优势整合市场，有机会成为领导者。数据库安全市场的大小与增长趋势 自2009年起，63SDP产品定位数据库安全审计和加固浪潮SDP数据库安全审计加固系统是整合数据库防火墙、数据库安全审计、数据库透明加密等多安全模块的针对数据库的综合解决方案。集主动防御和被动防御于一体，能够充分从“事前”、“事中”和“事后”三个阶段来保证数据库中数据的安全。数据库审计数据库加密数据库防火墙设计理念：功能多合一，分类营销SDP产品定位数据库安全审计和加固 浪潮SD64产品类型定位数据库安全审计和加固针对数据库的安全是一个由多个模块或产品组成整体解决方案，我们选择已有的产品中的以下三类作为我们的数据库安全解决方案（即SDP）。数据库审计主要功能主要用于监视并记录对数据库服务器的各类操作行为，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。应用场景适用于各类数据中心，拥有数据库的地方，理论上都可以配置数据库审计产品数据库加密主要功能根据加密算法对数据库里的重要敏感数据进行透明加密。敏感数据以密文的形式存储，保证存储介质被窃取和数据文件被非法复制的情况下敏感数据的安全。应用场景适用于“政府、航空、航天、金融、运营商、公安、能源、社保、交通、教育、医疗”等有高价值的数据保护的各个行业的核心数据库。数据库防火墙主要功能通过访问控制策略实现对来自于内部和外部的对数据库访问的访问控制。能够主动实时监控、识别、告警、阻挡绕过企业网络边界防护的外部数据攻击、来自于内部的高权限用户的数据窃取、破坏、损坏等应用场景适用于政府，军工等对数据有严格保护的行业部门产品类型定位数据库安全审计和加固 针对数据库65核心功能六大核心功能，构成数据库与应用安全加固系统数据库风险扫描数据库状态监控数据库防火墙数据库审计WEB应用审计数据库透明加密数据库风险扫描数据库状态监控核心功能 六大核心功能，构成数据库与应用安全加固66防护过程本地监控数据加密应用系统外部人员内部人员允许禁止报警替换安全策略状态监控风险扫描全程审计全程审计防护过程本地监控oraclesybaseDB2MS SQL数67产品形态和规格SDP2000：2U设备8电口、8光口（可选万兆）审计能力：50000条/秒主动解析能力：20000条/秒SDP1000：1U设备8电口审计能力：10000条/秒主动解析能力：5000条/秒审计：SQL审计、存储过程审计、自动学习、双向审计、三层关联、FTP审计、弱口令监测、多种标准检索、卓越的检索速度加密：字段加密、密文索引、访问控制、多级秘钥防火墙：屏蔽通道、SQL语法分析、自动SQL学习、权限控制、有效阻断、连接监控、攻击检测、二次认证、审计探针、透明部署产品形态和规格SDP2000：SDP1000：审计：SQL审68u明漏洞，实时监控，合规性u控风险，溯根源，定责任，细粒度审计u三权分立明漏洞防外泄细审计溯根源控风险合规性无断点强阻断多报表客户价值明漏洞，实时监控，合规性明漏洞防外泄细审计溯根源控风险合规性69浪潮运维安全管控系统SSC浪潮运维安全管控系统SSC70运维挑战运维人员复杂账号共用密码管理运维挑战运维人员复杂账号共用密码管理71政策背景公安部信息系统等级保护制度财政部审计署、证监会、银监会、保监会企业内部控制基本规范是内部控制审计的重要依据该规范的关键点是如何把IT内控与企业内控管理统一起来，信息安全审计则成为企业IT内控、安全风险管理的不可或缺的技术手段。（2008）SOX法案萨班斯.奥克斯利法案（Sarbanes-Oxley）GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T25070-2010信息系统等级保护安全设计技术要求302节、404节：要求IT经理对所有有关财务报表的产生过程负责。法规遵从政策政策背景公安部信息系统等级保护制度财政部企业内部控制基72产品设计理念-4A模型Account+Authentication+Authorization+Audit账号管理、认证管理、授权管理和安全审计四块基本功能，相互协同，实现集中管控产品设计理念-4A模型Account+Authenticat73产品优势、亮点兼容性强存储支持扩展强身份认证工作模式丰富深度协议解码高效能硬件支持多级管理无需安装任何程序、插件单点登录兼容各种客户端工具高端产品支持AS400、OS390RSA、VASCO、动联、AD域、RADIUS、SMS短信支持Oracle、DB2、SQLServer等主流数据库工作流审批、AB角授权、AB命令授权scp协议授权无须Windows跳板机数据库支持图形、命令占用存储空间小高性能硬件平台支持大型数据中心运营多级管理、机构授权管理分布式部署浪潮SSC产品优势、亮点兼容性强存储强身份工作模式丰富深度高效能支持无74浪潮应用监管系统SSM浪潮应用监管系统SSM75客户真正需要什么提供面向所有业务系统和应用的监控;全网资源的集中监控，包括所有的设备和资源;集中化的告警平台，多样化的通知方式，提供运行分析和业务报表;提供监控插件接口和第三方扩展;提供可视化的监控手段，能够监控全网设备的健康性和可用性路由器防火墙交换机邮件服务器Web服务器防火墙数据库服务器应用服务器邮件服务器交换机Web服务器路由器应用服务器客户真正需要什么提供面向所有业务系统和应用的监控;路由器防火76浪潮应用监管系统SSM6.0提供网络拓扑、资源运行状态视图、业务报表、告警查询和通知，提前预防故障发生，快速定位故障点，有效降低运行风险面向业务系统，建立业务视图，关联业务运行的IT资源，自动分析资源对业务的影响度，提供健康状态与可用状态视图提供对各类主机设备、网络设备、安全设备、数据库、中间件、邮件系统、web服务、基础服务、虚拟化平台等IT资源监控SSM6.0浪潮应用监管系统（SSM6.0）持续保障业务系统的高可用集中展现资产管理3D仿真 浪潮应用监管系统SSM6.0提供网络拓扑、资源运行状态视图77监测项目列表网络管理系统管理数据库管理SNMP智能网络/安全设备CISCO设备华为/H3C设备中兴网络设备北电网络设备Foundry、AVAYA、DLink.Windows操作系统Linux各发行版本系统HP-UX操作系统（含MCSG)AIX操作系统(含HACMP)SCOUNIX操作系统FreeBSD操作系统Oracle数据库SQLServer数据库Sybase数据库DB2数据库Informix数据库MySQL数据库中间件/平台管理WEB/邮件服务管理通用服务和资源IBMWebSphere业务中间件BEAWebLogic业务中间件IBMMQSeries消息中间件BEATuxedo交易中间件Tibco消息业务中间件Tomcat中间件东方通TongWeb业务中间件JAVA平台监测.Net平台监测MicrosoftIISWEB服务器ApacheWEB服务器MicrosoftExchange服务器IBMLotusDomino通用HTTP/HTTPSURL内容监测通用HTTP请求序列响应监测通用Email服务监测DNS服务FTP服务LDAP目录服务通用SNMP资源ICMP节点资源监测TCP端口监测基础运行环境其他优势/特性智能存储设备（EMC、HP、IBM）备份作业监测智能电源监测机房环境监测（定制）Syslog日志监测Windows日志监测第三方SNMPTrap接入强大监测插件体系，通过插件不断扩展监测器（9大类，1347小项）灵活的监测时间调度机制智能化的监测阈值模型提供主机的代理Agent和远程监测模式供用户灵活选择全面的系统监控监测项目列表网络管理系统管理数据库管理SNMP智能网络/安全78范围广：全面的监控能力服务器数据库中间件应用平台&服务网络&安全设备虚拟化平台 范围广：全面的监控能力服务器数据库中间件应用平台&服务网络79展现炫丽：监控展现更炫丽可定制的资源监控视图：涵盖各类网络设备、服务器、数据库、中间件、标准服务等；展现炫丽：监控展现更炫丽可定制的资源监控视图：涵盖各类网络80集中监控视图设计视图设计三部曲：绘制视图+绑定资源+定义交互超超过600个模具个模具组件，件，轻松构造松构造绚丽的展的展现视图。内置大量的。内置大量的图表表组件和件和绘图组件，保件，保证了了展展现的丰富度和多的丰富度和多样性性。全国网络拓扑核心骨干网络业务网络拓扑集中监控视图设计视图设计三部曲：绘制视图+绑定资源 81资产生命周期管理到到货申申领部部署署监控控调拨报废维护变更更资产配置配置全生命周全生命周期期第一第一阶段段资产采采购入入库待待领第三第三阶段段资产处理理第二第二阶段段运行运行过程程变更管理更管理-变更管理流程-资产管理流程国资管理电子机台账 资产生命周期管理到货申领部署监控调拨报废维护变更资产配置第82产品截图拓扑展现视图 产品截图拓扑展现视图833D仿真模型-单独报价模块l任意视角真实呈现：-运行可视-环境可视-容量可视-位置可视3D仿真模型-单独报价模块任意视角真实呈现：84运维工程师的好伴侣：集中告警控制台导航目录区告警信息区快捷操作区集中式告警管理平台各分类下未处理告警一目了然，并且类别支持自定义像查阅邮件一样查阅告警资源故障的前世今生一览无余快捷操作列表，随手处理故障。如清除告警、派单等。运维工程师的好伴侣：集中告警控制台导航目录区告警信息区快捷操85部署方案：分布式部署、分级部署行业专网分中心集中监控服务器分中心集中监控服务器分中心集中监控服务器分中心集中监控服务器信息中心数据库集中监控服务器适用于大型数据中心，适用于大型数据中心，可可满足各分中心自治足各分中心自治管理需求管理需求部署方案：分布式部署、分级部署行业专网分中心集中监控服务器分86一、创新的数据中心主机安全解决方案一、创新的数据中心主机安全解决方案二、主机安全系列产品及竞争力分析二、主机安全系列产品及竞争力分析三、案例分享、总结三、案例分享、总结一、创新的数据中心主机安全解决方案二、主机安全系列产品及竞争87SSR加固产品，跨windows、Linux、AIX平台部署部署：主要部署在船舶登记系统、海员证管理系统、海船船员管理系统、海事局外网网站系统等核心应用上。国家交通运输部海事局等级保护建设项目http:/ 国家财政部项目http:89典型案例分享国家教育部案例国家教育部项目应用教育部某考试平台核心数据库服务以及web应用服务器。（跨Linux、Windows操作系统平台）根据教育考试平台的特点，定制化安全加固策略，最大限度地保护了服务器的安全，有效防止了一切对服务器的攻击行为以及病毒感染，杜绝教育考试信息泄密事件发生。http:/news.e- 国家教育部项目http:90典型案例分享工信部案例国家工信部项目邮件业务服务器，定制Linux系统平台，邮件服务器系统安全升级改造。部署了大量网络边界安全设备，在主机层面采用传统的手工加固技术手段，费时、费力，需要周期性调整，同样具有超级权限丢失的风险。通过SSR进行加固，定制化模板配置策略，快速、高效，满足了用户对于主机的安全需求。http:/ 国家工信部项目http:/91典型案例分享最高人民法院案例最高人民法院等级保护整改项目业务专网服务器区（直接面向全国各级法院的案件情况统计系统、司法管理系统等）、内网办公区、安全管理区、信访系统等业务平台。核心业务基本采用Linux系统平台。业务量不断增加，信息安全风险面临新挑战，构建技术与管理相结合的全方位、多层次的纵深安全防护体系。通过主机加固产品部署，满足国家等保要求。http:/ 最高人民法院等级保护整92典型案例分享国家税务总局案例国税总局项目主要应用于WEB服务器以及邮件服务器等。部署SSR后，增加了主机安全最后一道防线，完善了整个防御体系。达到免疫已知和未知病毒安全威胁、移动介质泄密、摆渡木马感染等安全威胁。典型案例分享国家税务总局案例 国税总局项目93典型案例分享辽宁国税局案例辽宁国税局项目主要应用于网上报税系统及门户网站安全防护。采用系统内核加固技术，对服务器主机的核心文件、进程、注册表等进行强制访问保护，实现了对信息系统的纵深防御，满足了等级保护三级的安全标准和要求。http:/ 辽宁国税局项目http:94山东省检察院分级保护建设项目地市共计17个，共计部署了近300套SSR主机加固系统。为检察业务涉密系统以及部分非涉密业务提供有效的安全保障。http:/ 山东省检察院地市共计17个，共计部署了近300套SSR主机95典型案例分享中国石化胜利油田案例 中石化胜利油田项目应用于源头数据采集服务器、生产指挥系统、地理信息系统等。胜利油田从2009年开始批量部署浪潮SSR主机加固系统，与网络、终端等安全设备构成整个信息系统的纵深防御，保证业务连续性、稳定性和安全性。http:/ 中石化胜利油田项96典型案例分享郑煤集团案例SSR主机加固，主要应用与郑煤生产系统：瓦斯导航系统、WEB应用系统、数据库系统。保障瓦斯数据业务稳定、不间断，保证WEB应用安全。郑州煤炭工业（集团）项目http:/www.youxia.org/langchao-ssr-zhengmeijituan.html典型案例分享郑煤集团案例SSR主机加固，主要应用与郑煤生97应用系统操作系统硬件+BIOS数据数据库安全加固应用系统的安全监管操作系统加固硬件监管主机安全整体架构主机安全加固_SSR安全应用交付_SSA数据库安全加固_SDP运维安全管控SSC浪潮可信服务器应用安全监管SSM应用系统操作系统硬件+BIOS 数据数据库安全加固应用系统的98感谢聆听！感谢聆听！