2009年是浪潮集团推介SSR服务器安全加固系统着重发力的一年。经过这一年的努力,人们加深了对信息安全的认识,服务器安全的理念深入人心,SSR产品在金融、税务、制造业等不同领域全面落地。在2010年,浪潮集团的SSR产品又将有何新动作?SSR产品的发展形态将会向哪个方向延伸?信息化时代的安全理念又将有何新的变化?
带着这些疑问,记者采访了浪潮集团信息安全事业部副总艾奇伟。从2002年开始,艾奇伟就开始从事SSR产品的研发工作,在这8年多的时间里,他见证了SSR产品的启蒙、诞生和发展,毫不夸张地说,他是SSR产品面市至今最有话语权的发言人之一。而他对SSR产品的规划和思考,以及对国内信息安全市场的发展,都有较为独特的观点,非常值得分享。
补齐最后一块木板
当记者问及SSR产品诞生的初衷时,艾奇伟谈道,2002年他曾参与到中国《计算机信息系统安全保护等级》相关技术标准编写工作中。在此期间,他看到国内很多从事安全的厂商都从防火墙、杀毒软件这几个方向入手,利用所谓的“围、堵、截”来保障用户安全。诚然,这几类安全产品面向大众市场,一旦获得认同,就能很快得到推广,但在艾奇伟看来,仅仅依靠防火墙、杀毒软件这几类安全产品很难抵御真正黑客的攻击。“如同人们常说的木桶短板效应,要想桶内盛水多,就必须保证木桶木板平齐且无破损。但是在当时的安全市场,安全产业要解决的问题绝不仅仅是木板长短不一,而是根本就缺乏很多块木板来围成木桶。”
正是基于这样的思索,艾奇伟开始思考最底层的安全,也就是最核心的安全所在。经过一番分析,他发现,随着用户应用方式的丰富,用户被攻击的手段也多种多样,在网关、入侵检测、网路安全等多种安全层面被开发的同时,很少有人去关注服务器安全。这是一个看似无足轻重其实却相当重要的安全隐患。“信息安全体系的建立绝不能仅仅依靠杀毒软件和防火墙,还需要有解决系统层面安全的软、硬件产品,特别是对于网络核心设备服务器的安全防护。”他告诉记者,当时即便是人们谈论起服务器安全,也都指的是硬件的安全,服务器软件的安全性似乎一直被人忽略。由于技术水平、研发能力的制约使得在此方面一直没有自主知识产权的技术、产品有效地进行防护。
众所周知,要想实现操作系统的绝度安全可控,最理想的方法自然是使用国内自主研发的操作系统,但是就现状而言,国内的服务器操作系统软件多数由国外公司提供,国内用户缺乏对底层技术的了解,软件中是否存在有后门无从了解,这给国家安全埋下了相当严重的隐患,甚至可以说是直接威胁到了国家的安全。国内自主研发的操作系统要想真正实现普及,现在还远远看不到时刻表。
正是国内产品缺乏自主应用和国外产品市场普及的双重矛盾,造就了操作系统加固产品SSR的落地。“在国外,操作系统加固并非空白,市场有成熟的模型,并有相应的标准支撑。而在国内,操作系统加固其实是个空白,SSR的诞生就是弥补了这个空白,这也是我们SSR安全产品最明显的技术优势。”用艾奇伟的话来说,“补齐了安全产品种类中最后一块木板。”
“SSR技术上的难度非常高,最主要的就是产品稳定性,这现在也成了浪潮SSR产品的一大优势。”艾奇伟解释道,操作系统加固是一个逆向工程,当时国外厂商并不公开操作系统源代码,国内市场也全无外力可借鉴,但是他们仍然从零起步,完成了SSR的所有设计。
安全的特殊筹码
虽说是一张白纸好作画,但要真在一个空白的领域开拓市场却是难上加难。不过当时公安部某局一位处长的话给了艾奇伟莫大的鼓舞。他回忆道,当时他向这位处长介绍完SSR产品的主要功能后,这位处长非常赞许,并告诉艾奇伟,虽然他们上马了很多安全产品,但IT系统仍是无法保证可控的安全。他们一直在寻找这样的产品,来完成整个IT安全可控的目标,满足等级保护的需求。这使艾奇伟意识到,当时有着这位处长同样需求的人一定不在少数,SSR的市场大有作为。“当时,第一次意识主机安全解决方案的重要性,也发现SSR产品结合其他产品,可以做成一个解决方案,来帮助用户实现整体安全。而促使这一想法落地的最主要推动力,就是等级保护。”
根据我国等级保护的要求,我国安全产品应该具备五大要素,即保密性、完整性和可用性、可控性和不可否认性。其中可控性表示用户的数据流一定是可控的,不可否认性表示所有的安全事件都有据可查、有源可踪。这些安全需求就要求安全产品必须涉及等级保护体系结构的5个层面(物理层、系统层、网络层、应用层、管理层),它们分别有不同的安全问题,也有相对的安全产品。然而系统层面的解决方案,是当时中国现有信息安全产品相对薄弱的地带。从这个角度而言,也可以说致力于操作系统安全的SSR产品是根据等级保护标准应运而生的,或许可以说,等级保护使SSR天生带有一个特殊筹码,为它的市场保驾护航。
现在,浪潮服务服务器安全加固系统SSR作为国内第一款自主研发的作用于系统层的信息安全软件产品,已经有效解决了我国信息安全体系在系统安全保护层面的短板问题。在这八年多的发展中,SSR产品保护了用户信息系统中重要数据和应用的安全,从根本上免疫了目前各种针对操作系统的攻击行为,彻底防止了病毒、蠕虫、黑客攻击等对操作系统、核心应用和数据库的破坏,使其符合国家信息安全等级保护服务器操作系统安全的三级标准,填补了服务器操作系统安全解决方案国内此类产品的空白,为整个信息安全链中补充上重要的一环。
最终目标:安全服务器
谈到SSR的未来发展,艾奇伟认为,SSR产品严格地说只是一个过渡产品,它是在国内操作系统不普及和国外服务器操作系统不公开的背景下产生的,未来的SSR产品的最终目标就是成为安全服务器中的一部分。
相对于现在的安全服务器,未来的安全服务器对硬件和软件融合的要求可能会更高。在他看来,安全服务器不是指安装了各项杀毒系统的普通服务器,而是安全操作系统、安全的应用系统、服务器三者的有机融合。在管理层的管理下,统一配置策略、查询、审计等等,才是真正的安全服务器,也是SSR产品未来的用武之地。
谈到融合,艾奇伟提出了另外一个安全发展观点,那就是将安全与实际应用相结合,在不牺牲性能的情况下保障安全。他认为,根据不同需求,网络可以划分不同级别,每个级别的数据都有各个级别的标记,不同级别之间的数据流动是受保护的。每个安全域里面的数据都带有敏感标记,比如三级域的数据就带有三级敏感标记,二级域就带有二级敏感标记,当数据在不同级别安全域之间互联互通的时候,敏感标记是携带的,也就是说低可信等级的安全域对高可信等级安全域的数据是受一定访问限制的,除非被授权。服务器也是分为硬件层、系统层、应用层,那么它必然也存在互联、互通、互操作的问题,“没有互联、互通、互操作,就无法实现安全与应用的结合,这肯定不是安全的发展方向。因此一个出色的服务器安全方案中就是一个平台,在互联、互通、互操作的前提下,提供高等级的安全标准。”
朝阳产业里的朝阳
“SSR产品的重要性自然毋庸置疑,但即便如此,它的发展也并非一帆风顺。”艾奇伟告诉记者,在2004年前后,当时安全产业往往是以技术为主导,很多人都在追求技术的先进性,SSR产品显得尤为超前。用艾奇伟的话来说,就是“朝阳产业里的朝阳”。然而纵观全球历史不难得出结论,但凡技术过于先进,就容易陷入与市场脱节,最终导致产品夭折的恶性循环中来。SSR产品就险些中招。
艾奇伟表示,当时研发SSR产品时,并没有过多地考虑市场,更多地史从技术角度考虑。尤其是SSR产品的技术优越性,与防火墙、杀毒软件、入侵检测等安全产品相比更能守护住用户的资料,从核心层面保障用户的安全,保障用户的应用业务。“当时我们忽略了用户群和中国信息化现状,与使用杀毒软件、防火墙的大众相比,SSR产品只针对服务器,用户群体相对较窄,而且安全需求是在部署了相关网络产品、服务器产品之后才会产生,就当时而言,SSR产品尚不能形成规模市场。”
转机从2006年开始,当时市场渐渐不再以技术为主导而是以信息化业务应用为主。越来越多的行业用户和企业用户需要解决应用环境中的安全问题。像政府、金融、税务等行业市场,尤其是对数据的稳定性、连续性比较敏感地行业用户,都开始有了服务器操作系统安全的需求。艾奇伟举例道,就如同一个房间,防火墙解决的是非法人员入侵的问题,入侵检测解决的是进入房间的人是否携带违禁物品的问题,而SSR解决的是——即使进入房间的是非法人员,即使他带有的是非法物品,并开始非法操作,SSR仍然能保证这个房间内使用环境的安全、资料的安全、房间内现有人员和数据的安全,使任何违规操作都是徒劳。
据了解,目前SSR产品已经在国内的一级城市销售,可以满足用户等级保护的3级需求,未来级别可以达到更高。“随着需求的增多,SSR产品在2010年必将迎来新的增长点,向二级城市延伸,这个市场现在已经开始起航。我有信心在未来的一两年内,见证SSR产品新的奇迹产生。”
