安全,是企業(yè)IT系統(tǒng)最為重要的價(jià)值所在。在安全事件頻發(fā)的今天,越來(lái)越多的CIO開(kāi)始將IT系統(tǒng)考量的重點(diǎn),從單純的性能轉(zhuǎn)向系統(tǒng)安全性的保障。然而,許多企業(yè)在考慮安全問(wèn)題的同時(shí),更多地關(guān)注系統(tǒng)級(jí)別的安全,而對(duì)于設(shè)備層面的安全則有所忽視——尤其是作為企業(yè)IT系統(tǒng)核心的服務(wù)器安全。這就好比用最優(yōu)秀的建筑藍(lán)圖和最完備的工藝建造的城墻,如果用的是脆弱的土坯磚,在敵軍的面前還是會(huì)不堪一擊。
CIO作為“城墻”建造的總工程師,高硬度的服務(wù)器“磚石”,對(duì)IT系統(tǒng)的重要性可見(jiàn)一斑。在目前的IT產(chǎn)業(yè)中,已經(jīng)有非常豐富和成熟的建造工藝和藍(lán)圖,在保障系統(tǒng)安全、數(shù)據(jù)安全方面,從殺毒軟件到操作系統(tǒng)的加固軟件,通過(guò)在服務(wù)器的外圍構(gòu)建安全防護(hù)體系,安全漏洞補(bǔ)丁、可不斷更新的病毒庫(kù)、木馬專殺工具、權(quán)限控制、數(shù)據(jù)包過(guò)濾……一道道布局縝密的防護(hù)措施層出不窮。但事實(shí)上,這種看似固若金湯的城墻,只需要幾個(gè)工兵挖開(kāi)脆弱的土坯磚就會(huì)形同虛設(shè)。在IT產(chǎn)業(yè)中,通過(guò)服務(wù)器的安全漏洞竊取所有數(shù)據(jù)的風(fēng)險(xiǎn)層出不窮,也充分說(shuō)明了為城墻選擇最為兼顧的建造材質(zhì)——即構(gòu)建服務(wù)器自身特性的安全,才是安全保障的根本。
一個(gè)例子是在服務(wù)器廠商實(shí)現(xiàn)的諸多管理特性中,必須提供各種各樣的遠(yuǎn)程管理特性,這種特性可以通過(guò)網(wǎng)絡(luò)任意點(diǎn)接入服務(wù)器管理網(wǎng)絡(luò),極大的方便了運(yùn)維人員的操作便捷性。但在進(jìn)行遠(yuǎn)程管理時(shí),操作者所發(fā)送的命令存在被篡改的可能,而在登陸時(shí)輸入的用戶、密碼等重要信息,更有可能被攔截泄露。
而要想解決這樣的問(wèn)題,服務(wù)器所提供的特性功能就必須保證以及有能力識(shí)別一切操作是否是基于安全條件下的操作,只有符合這樣的條件才允許終端用戶的操作。但是,如何讓服務(wù)器具備這樣的能力,則需要服務(wù)器具備完善的安全規(guī)范和標(biāo)準(zhǔn)的動(dòng)作,才能將動(dòng)作、流程中存在的安全風(fēng)險(xiǎn)降到最低。
在信息安全領(lǐng)域,人們常常依據(jù)CIA三要素評(píng)估某個(gè)產(chǎn)品是否具備安全屬性: Confidentiality 機(jī)密性——私密的數(shù)據(jù)不能透露給非授權(quán)的個(gè)體;Integrity 完整性——信息和程序只能按照指定且授權(quán)的方式進(jìn)行修改,不能受到故意或無(wú)意的非授權(quán)操縱;Availability 可用性——系統(tǒng)必須及時(shí)服務(wù),不能拒絕向授權(quán)用戶提供服務(wù)。只有能夠解決這些問(wèn)題的服務(wù)器,才能真正為企業(yè)帶來(lái)可保障的安全。
而真正安全的服務(wù)器產(chǎn)品,則會(huì)在“CIA”的基礎(chǔ)上進(jìn)一步延伸,為用戶提供安全方面的查遺補(bǔ)漏。以主流品牌中市場(chǎng)認(rèn)可度增長(zhǎng)最快的華為服務(wù)器為例,其不僅在“CIA”特性上有完備的設(shè)計(jì),同時(shí)還增加了抗攻擊性和可追溯性兩大安全設(shè)計(jì)。
可追溯性讓華為服務(wù)器具備了追溯所考慮對(duì)象的歷史、應(yīng)用情況或所處場(chǎng)所的能力,而抗攻擊性則能讓華為服務(wù)器具備預(yù)防和對(duì)抗惡意網(wǎng)絡(luò)攻擊,保證保護(hù)對(duì)象不受惡意攻擊影響的能力。而這兩點(diǎn)在當(dāng)今頻發(fā)的安全事件中,都是最為關(guān)鍵的要素之一。在五大要素方面同時(shí)提供保障,服務(wù)器產(chǎn)品才能夠真正保障業(yè)務(wù)連續(xù)性,又有健壯的網(wǎng)絡(luò)承載能力,且能保護(hù)數(shù)據(jù)隱私安全。
而除了五大要素之外,服務(wù)器還需要生產(chǎn)和設(shè)計(jì)層面的總體安全作為保障。名副其實(shí)的安全服務(wù)器,會(huì)更側(cè)重于總體安全策略的設(shè)計(jì),而非簡(jiǎn)單的安全屬性的疊加。在從設(shè)計(jì)、制造乃至物流的每一個(gè)環(huán)節(jié),都不為惡意入侵者留下任何可乘之機(jī)。
仍是以在安全性方面得到客戶廣泛認(rèn)可的華為服務(wù)器為例,作為中國(guó)首家可信計(jì)算廠商,華為提供的服務(wù)器產(chǎn)品搭載了自主研發(fā)的管理芯片、RAID控制芯片和未來(lái)網(wǎng)絡(luò)芯片,通過(guò)了多項(xiàng)嚴(yán)格的國(guó)家標(biāo)準(zhǔn)認(rèn)證,從最基本的層級(jí)保證了服務(wù)器的整體安全。
華為還依據(jù)20多年以來(lái)根據(jù)眾多客戶的安全要求,總結(jié)出了幾十種安全原則、安全規(guī)范和安全紅線,在設(shè)計(jì)和編碼中嚴(yán)格遵從這些規(guī)范,并通過(guò)端到端的檢查和制衡,分層的獨(dú)立安全驗(yàn)證,實(shí)現(xiàn)了盡可能快又安全的新產(chǎn)品發(fā)布。華為的這種做法,無(wú)異于將安全基因注入到其每一款產(chǎn)品中。
服務(wù)器是一個(gè)龐大而復(fù)雜的系統(tǒng),也是一個(gè)開(kāi)放的平臺(tái),很難避免使用第三方部件或開(kāi)源軟件,由于這些模塊信息更透明,所以也更容易成為攻擊者下手的目標(biāo)。而如何保障這些軟件或模塊的安全和可靠,在信息安全領(lǐng)域一直是巨大的挑戰(zhàn)。
對(duì)于這一挑戰(zhàn),服務(wù)器廠商需要主動(dòng)出擊,提前發(fā)現(xiàn)“城墻”上可能出現(xiàn)的細(xì)小裂縫,以更為安全的研發(fā)策略應(yīng)對(duì)風(fēng)險(xiǎn)挑戰(zhàn)。以華為為例,其整個(gè)產(chǎn)品體系都建立了第三方和開(kāi)源代碼的集中資源庫(kù),并將它嵌入到了IPD 流程(華為產(chǎn)品研發(fā)、設(shè)計(jì)的保障流程)中,所以在產(chǎn)品開(kāi)發(fā)過(guò)程中,華為服務(wù)器產(chǎn)品能夠隨時(shí)獲取其他產(chǎn)品的經(jīng)驗(yàn)數(shù)據(jù),可以提前預(yù)知漏洞和可能存在的安全風(fēng)險(xiǎn)——無(wú)論其是否出現(xiàn)在客戶、供應(yīng)商還是華為自己的產(chǎn)品層面,華為各產(chǎn)品線都能針對(duì)這些風(fēng)險(xiǎn)漏洞進(jìn)行評(píng)估,并快速同步給其他產(chǎn)品進(jìn)行解決或規(guī)避。
(通過(guò)流程保證研發(fā)過(guò)程和產(chǎn)品的完整性、一致性和可追溯性)
再為堅(jiān)固的磚石,在被砌上城墻之前,也有可能因?yàn)楸9芎瓦\(yùn)輸不善,甚至是細(xì)作的有意破壞,而使得整座城墻的堅(jiān)固程度打折。對(duì)于服務(wù)器而言,在承載的用戶業(yè)務(wù)上線之前,物流管理同樣也是重要的、有潛在安全風(fēng)險(xiǎn)的領(lǐng)域。
而華為服務(wù)器在這方面同樣擁有過(guò)人能力。在業(yè)內(nèi),華為的IPD流程曾被眾多企業(yè)推崇,IPD流程本身就融入了華為的安全保障標(biāo)準(zhǔn),包括研發(fā)安全、安全驗(yàn)證、服務(wù)交付安全,到安全問(wèn)題溝通與解決、供應(yīng)鏈安全、采購(gòu)安全、可追溯等。
在服務(wù)器產(chǎn)品在進(jìn)入客戶機(jī)房領(lǐng)地之前,華為要求必須做到端到端的安全保障。在保障客戶業(yè)務(wù)上線后,仍然會(huì)提供解決安全問(wèn)題的服務(wù)。華為服務(wù)器將安全管理規(guī)范嵌入到華為的每一個(gè)流程中,根據(jù)所有可獲得的知識(shí)和信息,華為還建立并實(shí)施了流程基線,以確保它被充分審計(jì)。同質(zhì)量一樣,華為已經(jīng)把安全置于公司的商業(yè)利益之上。
(確保產(chǎn)品被安全高效地交付給客戶)
只有最為堅(jiān)固的城墻,才能擋得住百萬(wàn)大軍的侵襲。而只有從材料、工藝和運(yùn)輸方面全面保障的磚石,才能成為最為堅(jiān)固的城墻的基礎(chǔ)。在企業(yè)的安全策略中,選擇具備安全保障的服務(wù)器是重中之重,而只有像華為這樣具備從安全策略、底層安全到物流安全在內(nèi)全方位安全設(shè)計(jì)的服務(wù)器廠商,才能為CIO的“百年名城”燒出最好的磚石。