高性能计算平台安全架构设计.docxVIP

PAGE2

高性能计算平台安全架构设计

目录

TOC\o1-3\h\z\u1. 项目需求 3

2. 安全解决方案详细设计 4

2.1. 数据库审计系统部署说明： 4

2.2. 堡垒机部署说明 5

2.3. IDS入侵检测系统部署说明 5

2.4. UTM安全网关部署说明 5

2.5. VPN网关部署说明 6

3. 项目实施、售后服务和培训 7

3.1. 项目实施 7

3.2. 项目培训 7

3.3. 售后服务 8

项目需求

高性能计算机，或称超级计算机，是一套计算性能强大，具有大规模存储空间和完整的软件系统，并且价格十分昂贵的计算机，是计算机中功能最强、运算速度最快、存储容量最大的一类计算机。其性能远超普通的个人计算机和通用服务器，具有无与伦比的计算能力。

高性能计算机通过并行计算来实现超高的计算性能，并行计算即将多个处理器通过网络连接，并以一定的方式将其有序地组织起来，同时对多个任务或多条指令、或对多个数据项进行处理，以达到快速求解一个计算问题的目的。

高性能计算机多用于国家高科技领域和尖端技术研究，是国家科技发展水平和综合国力的重要标志。目前的高性能计算机的主要架构是集群架构。集群架构是将大量的服务器通过专用网络连接起来，让所有的服务器协调工作来完成一个计算任务。在用户看来，整个集群就是一台高性能计算机，管理和操作就像管理一台计算机一样简单。不同的是这台计算机具有超强的计算能力。

从目前IT产业格局来看，绝大多数市场份额是由HP、IBM、富士通为代表的国外品牌所占据。以HP为例，其在进行了大量的人力和物力的投入。经过近20年的经营，已经在IT的各个领域占据了绝对的优势。HP品牌已经深入政府、企业以及民众的人心。这些IT领域包括：PC、笔记本、服务器、存储、打印机、系统集成等；涉及的领域包括银行、税务、海关、大型企业、科研院所、高教和普教等。

随着来自中国的企业在的不断开拓，尤其是中国的通信、基建等企业的不懈努力，中国的品牌已经在民众心中烙下了深刻的印象。但是来自中国的IT企业和技术，仍然一直被认为是国外品牌的附庸，导致中国的IT企业，尽管进行了多方面的努力，仍然很难打破国外品牌垄断这一格局，没有形成有效的突破。

本平台需要提供防止整个系统（包括内网和外网）被黑客攻击和入侵的安全性手段及相应的软硬件设备和实施。要求至少提供一台能够提供硬件隔离的安全服务器或硬件防火墙，至少包括日志和报警功能。

安全解决方案详细设计

数据库审计系统部署说明：

数据库审计系统是针对业务环境下的数据库操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的数据库操作行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部数据库操作行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。

数据库审计系统通过旁挂的方式，部署于HPC区，针对内外网的数据库操作进行审计。

堡垒机部署说明

网御堡垒机是针对运维操作进行控制和审计的管控系统；对整个运维过程从事前预防、事中控制和事后审计进行全程参与。

堡垒机通过旁挂的方式，部署于核心交换区，对运维操作进行管控。

IDS入侵检测系统部署说明

网御入侵检测系统基于分布式入侵检测系统构架的网络入侵检测系统，采用网御安全引擎，综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵分析与检测技术，全面监视和分析网络的通信状况。在入侵监控的基础上，遵循CSC关联安全标准，可主动发包或与多种第三方设备联动来自动切断入侵会话，实现实时有效的防护，为网络创建了全面纵深的安全防御体系。

IDS通过旁挂的方式，部署于核心交换区，实时捕获、分析所监视网络的所有数据报文，发现其中的攻击企图，根据事先制定的响应方式通知网络管理员、记录事件过程。

UTM安全网关部署说明

UTM安全网关具备的基本功能包括网络防火墙、网络入侵防御、网关防病毒等功能，它将多种安全特性集成于一个专用设备中，构成一个标准的统一安全管理平台。UTM安全网关也可能包括其它特性，例如内容过滤、安全审计、安全管理、日志、服务质量（QoS）、高可用性（HA）和带宽管理等。

UTM通过串联的方式，分别部署于局域网区和外网区，对针对内外网流量进行IP、端口进行包过滤访问控制策略设备，入侵防御，防病毒，来保障内网数据的秩序和保护数据安全。

VPN网关部署说明

VPN网关实现局域网用户和外网用户到HPC用户接口之间安全的通信隧道，通过加密、认证、数字签名等方法保证数据传输的安全性、完整性。

VPN网关通过旁挂方式，部署于核心交换区，对内外网的用户访问进行传输保障。