數(shù)據(jù)處理
Data Processing
數(shù)據(jù)處理應用場景
包括工業(yè)計算設備ECI,邊緣計算板卡ECB,嵌入式計算設備ECE,邊緣一體機ECP
工業(yè)計算設備ECI Edge Computing Industrial Device
邊緣計算板卡ECB Edge Computing Board
嵌入式計算設備ECE Edge Computing Embedded Device
邊緣- -體機ECP Edge Computing Panel
數(shù)據(jù)傳輸應用場景
網(wǎng)關是用于兩個高層協(xié)議不同的網(wǎng)絡互連的復雜的網(wǎng)絡互連設備,是-種充當轉換重任的計算機系統(tǒng)或設備。使用在不同的通信協(xié)議、
數(shù)據(jù)格式或語言,甚至體系結構完全不同的兩種系統(tǒng)之間,網(wǎng)關是- -個翻譯器。與網(wǎng)橋只是簡單地傳達信息不同,網(wǎng)關對收到的信息要
重新打包,以適應目的系統(tǒng)的需求。
聯(lián)想的智能網(wǎng)關系列產(chǎn)品為客戶提供了不同架構(基于x86和基于ARM )的產(chǎn)品,以滿足不同應用場景下客戶的需求,用戶能通過它實
現(xiàn)系統(tǒng)信息的采集,信息輸入,信息輸出。集中控制,遠程控制,聯(lián)動控制等功能
數(shù)據(jù)采集與傳輸
Data Collection
來自內(nèi)部的攻擊威脅隱患
某些內(nèi)部員工有攻擊所在公司的目的或動機,并且他們熟知公司資源的訪問控制;內(nèi)部網(wǎng)物理竊聽容易,有很多的網(wǎng)絡工具可以監(jiān)聽局域網(wǎng)傳輸?shù)娜魏涡畔ⅲ灰话愕膬?nèi)部服務應用所傳輸?shù)拿舾行畔⒍际敲魑模鏣elnet登陸時輸入的帳號和口令,網(wǎng)頁登錄頁面輸入的用戶名和口令;內(nèi)部員工所連接的電腦在物理上直接與服務器相連,來自用戶的請求未經(jīng)任何過濾,直接連到服務器,而相比之下,Internet上的服務器一般都有防火墻的保護。這些原因導致了內(nèi)部網(wǎng)絡存在的安全威脅相比Internet更值得關注。
內(nèi)部網(wǎng)絡Intranet指的是一個基于TCP/IP通訊協(xié)議的內(nèi)部信息系統(tǒng),為用戶提供網(wǎng)絡服務。隨著網(wǎng)絡應用的發(fā)展,很多企業(yè)以及政府部門在自己內(nèi)部的Intranet中集成了多種應用,包括基于瀏覽器方式的WWW應用以及基于數(shù)據(jù)庫的Client-Server方式應用。使用者憑用戶名和口令進入每個應用,應用也根據(jù)用戶名和口令識別用戶身份,判斷用戶的權限。這樣應用的增加給內(nèi)部網(wǎng)絡帶來了兩方面的問題。對用戶而言,將擁有多個用戶名和口令,用戶如何有效的管理自己在各個應用中對應的用戶名和口令?如何保護自己的身份信息不被別人竊取呢?如果用戶遺忘了某個用戶名或口令時將會影響他的工作,可能給自己造成很大的損失;如果用戶為了方便記憶在各個應用中都使用同一個用戶名和口令或把自己的各個用戶名、口令記錄在紙上,就會帶來很大的口令泄露的風險。對整個內(nèi)部網(wǎng)而言,如何在多個應用中統(tǒng)一管理用戶的權限?如何提供保護用戶身份信息的安全機制?如何有效地確保合法用戶在自己擁有的權限內(nèi)安全地、方便地使用Intranet,同時防止內(nèi)部人員非法越權訪問?又如何防止網(wǎng)上傳輸?shù)臋C密信息泄露呢?大多數(shù)的WWW服務都使用明文來傳輸用戶名和口令,這很容易被他人從網(wǎng)上截獲。即使是相當好的口令,由于口令的長度很有限,也抵御不了類似字典攻擊這樣的窮舉攻擊。
所以當政府部門為了提高辦事效率,建立了自己的網(wǎng)上辦公系統(tǒng)時;當企業(yè)為了提高工作效率,建立了自己的網(wǎng)上管理系統(tǒng)時,將面臨上述問題的困擾。
來自外部網(wǎng)絡的攻擊
隨著Internet網(wǎng)絡上計算機的不斷增長,所有計算機之間存在很強的依存性。一旦某些計算機遭到了入侵,它就有可能成為入侵者的棲息地和跳板,成為進一步攻擊的工具。對于網(wǎng)絡基礎架構如DNS系統(tǒng)、路由器的攻擊也越來越成為嚴重的安全威脅。
當前常用的網(wǎng)絡安全技術與工具的局限性
防火墻(Firewall)的局限性,號稱“一夫當關,萬夫莫開”的關口,一定程度上簡化了網(wǎng)絡的安全管理。但入侵者可尋找防火墻背后可能敞開的后門,對于這種防火墻后的入侵者的發(fā)起的網(wǎng)絡內(nèi)部攻擊防火墻基本無法防范。
入侵檢測(IDS)的局限性,很難跟蹤新的入侵模式。且時有誤報警。
漏洞掃描(Scanner)局限性,漏洞掃描系統(tǒng)或者稱安全咨詢系統(tǒng),很難跟蹤新的漏洞,且不能真正全面實時地掃描漏洞。
殺毒軟件(Anti-virus)的局限性,殺毒軟件具有后置性,無法應對未知的病毒。
綜上所述,計算機信息系統(tǒng)就像一個容易感冒的病人,如何防止感冒呢?現(xiàn)有的安全概念是“戴口罩”,但這無法真正解決問題,所以要做到最根本的自身的免疫才能應對“感冒”。構建由應用層網(wǎng)絡安全產(chǎn)品與內(nèi)核加固技術內(nèi)外結合的立體網(wǎng)絡系統(tǒng)防護體系,必將成為網(wǎng)絡安全防護技術的一種發(fā)展趨勢。而內(nèi)核加固技術作為網(wǎng)絡安全技術的一個堅強后盾與補充,在網(wǎng)絡安全體系中占有越來越重要地位。
目前網(wǎng)絡安全市場以防火墻、IDS等基于網(wǎng)絡防護的安全產(chǎn)品居多,浪潮獨辟蹊徑,在操作系統(tǒng)網(wǎng)絡安全技術領域引入內(nèi)核加固嶄新理念,開發(fā)成功“浪潮主機安全增強系統(tǒng)”系列產(chǎn)品,簡稱浪潮SSR。該產(chǎn)品不僅可以大幅度地提高企事業(yè)單位信息系統(tǒng)安全水平,還可以提升操作系統(tǒng)的安全等級,使網(wǎng)絡安全技術應用由“治標”轉入“治本”成為可能,對引導企業(yè)信息安全技術應用觀念的轉變也具有重要意義。
就像上面所說的,現(xiàn)有的安全概念以及安全產(chǎn)品,比如防火墻、IDS、殺毒軟件等都是一種“戴口罩”的安全防護理念,都是一種很被動的防御方法。
浪潮SSR就是要使操作系統(tǒng)本身達到一種自身的免疫,去掉口罩也能達到安全防護的目的,而且是從最根本上解決安全問題。
浪潮SSR根據(jù)國家三級的安全標識保護級別的標準,為系統(tǒng)中的信息交換的主客體分別加上安全標記,從而達到了強制訪問控制(MAC),制約了操作系統(tǒng)原有的自主訪問控制策略(DAC),從根本上控制了信息的交換,實現(xiàn)安全的信息交換的方法。眾所周知,不論是來自內(nèi)部還是外部的攻擊行為(包括病毒的攻擊)的最終目的就是為了對信息的竊取和監(jiān)聽,我們利用安全標識保護了系統(tǒng)中每一條信息交互的通道,這樣就做到了根本上的系統(tǒng)本身的自身免疫。
浪潮SSR的目的就是利用內(nèi)核加固技術構建一個自身免疫的系統(tǒng),從根本上實現(xiàn)了一個安全操作系統(tǒng)模型。
眾所周知,企事業(yè)單位或者政府部門等的重要數(shù)據(jù)都是保存在磁盤的文件系統(tǒng)上的,所以需要保護操作系統(tǒng)的文件子系統(tǒng),那么最好的方法是什么呢?就是一個安全的操作系統(tǒng),做一個安全操作系統(tǒng)的最好的解決方法是安全內(nèi)核,也就是Security Kernel,這就是上面的圖的意思。
浪潮SSR在系統(tǒng)訪問界面這一層旁路所有的文件訪問操作,從驅動層來達到為主客體進行安全表示判斷的目的,實現(xiàn)了一個真正的安全內(nèi)核。
安全功能
強制訪問控制功能:內(nèi)核級實現(xiàn)文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制,服務強制訪問控制。
安全審計功能
文件的完整性檢測、服務的完整性檢測。
自身的保護功能
保護軟件自身進程不被異常終止、偽造、信息注入。
安全等級
提供國家第三級安全等級標準的安全功能。
可操作性
完全兼容Windows、Linux、Unix 系統(tǒng),專業(yè)的技術,人性化的操作界面,運行開銷小,不會引起能察覺的系統(tǒng)延時,對用戶透明。
公網(wǎng)安備:陜公網(wǎng)安備61019002002938號