服务器安全技术详解.pptx

IT服务器安全技术详解技术创新，变革未来12目录content服务器安全防护服务器认证与合作115服务器威胁识别与应对主要威胁涉及部件威胁消减措施信息泄露BMC/BIOS升级包加密/Flash写保护BMC/BIOS数据加密BMC/BIOS安全协议权限提升BMCCLP封装BMC权限控制仿冒BMC安全协议BMC认证增强数据篡改BIOSFlash写保护BMCCLP封装恶意代码执行BMC/BIOS可信计算BMC/BIOS升级包校验应用程序 / 虚拟机业务数据管理监控数据操作系统/虚拟化平台管理软件（BMC）BIOS嵌入式操作系统硬件硬件业务平面管理平面116信息泄露威胁消减措施(1/2)：协议安全选择业界公认的安全通信协议我们禁用我们选择安全加固规范Telnet（明文传输）SSH（加密传输）?基础安全强制规范?WEB安全开发规范?Apache加固规范? OS系统加固规范FTP（明文传输）SFTP（加密传输）IPMI1.5（明文传输） IPMI2.0（加密传输）SNMP V1/V2C（明文传输、弱身份认证） SNMP V3（加密传输、强身份认证）HTTP（明文传输、无服务端身份认证）LDAP（明文传输、无服务端身份认证）HTTPS（加密传输、服务端证书验证）LDAPS（加密传输、服务端证书验证）公司网络安全能力中心及时跟踪研究业界最新安全动态，持续完善协议安全加固规范；按照安全加固规范要求，禁用不安全通信协议，支持安全协议及安全配置；117信息泄露威胁消减措施(2/2)：算法安全选择业界公认的安全加密算法加密算法规范?安全基础要求?密码应用规范?密钥管理规范我们禁用我们选择DES/3DES(现有的暴力破解设备 能在一天以内完成破解)AES128/AES192/AES256RC2/RC4(算法本身存在漏洞， 可还原加密信息中的纯文)MD2/4/5（可以人为构造出两个具有相同散列值的数据）SHA256RSA1024(已有研究机构宣传破 解了本算法)RSA2048KVM Over IP 支持管理通道加密及时跟踪研究业界最新安全动态，制定密码算法应用规范；禁用不安全加密算法，使用业界公认的安全算法；118权限提升威胁消减措施：范围最小化系统层安全：文件权限管理系统层安全：OS安全加固，CLP命令封装关键文件权限控制/etc/shadow-rw-------/ssh/sshd_config-rw-------/etc/dhclient.conf-rw-------app_debug_log-rw-r-----/dev/i2ccrw-------/dev/ipmbcrw-------…………管理系统管理软件BMC Intranet嵌入式操作系统Linux?屏蔽linux Shell，命令白名单控制，减少攻击面?最小权限原则，对300+文件进行了权限控制119信息泄露与篡改威胁消减措施：软件包安全BIOS账户鉴权Support升级包加密签名发布包自动签名运行时 锁定版本开发客户网下站载BIOS Flash版软本件发版布本可信升级鉴权+加密通信不可信网 络下载InternetBMC校验 升级版客本户升级版本数据安全保护访问数据安全保护? 版本开发：编译时进行加密和签名，确保数据包不能被 恶意用户篡改和反汇编；? 版本发布：发布Support环境会自动进行完整性数字签名；? 客户下载：客户下载升级包后可进行签名校验；? 版本升级：升级过程中会校验升级包签名。本地访问：BIOS账户本地鉴权，配置更改记录日志。BIOS运行时锁定BIOS Flash；远程访问：BMC对外所有的访问协议都采用高强度加密通信，访问登录进行鉴权保护。120芯片安全加固措施：自研芯片?核心芯片自研关键芯片自研，从根源上防止安全漏洞；全自研系统软件，所有代码都是 白 盒，杜绝第三方引入安全风险；?高效集成安全特性处理器集成安全加速引擎，硬件加密，安全快速；处理器支持高级安全特性ASLR、Nx-bit等安全能力，从硬件层面杜绝栈溢出风险。?主备多重防护核心模块镜像存储，防止恶意篡改。12带外管理芯片（BMC）所有管理信息的控制入口，实现服务器管理的自主可控融合智能网络芯片SSD控制芯片支持多种协议加速，实现服 务器对外接口的自主可控华为SSD硬盘芯片自研，可 根据业务需要选择加密算法，安全可控112目录content服务器安全防护服务器认证与合作122引入知名第三方安全公司评估总结的规范涉及：Web SecuritySystem SecurityManagement Security等数量超过50+项与多家业界知名第三方安全测试公司保持合作关系通过第三方渗透测试，帮助华为发现潜在问题；华为再将第三方安全公司问题及要求，总结为规范应用到所有产品中。123华为服务器与知名安全公司合作示