HPC（高性能计算）也需安全保护

如今，高性能计算已经无所不在，在社会的各个领域发挥着重大作用。高性能计算应用分为两类，一类是在电子政务、教育信息化、企业信息化广泛应用的信息服务; 一类用于石油物探、分子材料研究、航天国防等领域的科学计算，但无论哪种应用，都离不开安全的保障。一方面，内部安全是HPC安全的主要问题，内部攻击和内部人员的误用造成70%的安全问题; 另一方面，对外需要加强访问控制、非法入侵、安全过滤等边界安全。与此同时高性能计算也给用户提供有可视化应用，要求系统能够作为可视化用的图形服务器。另外，用户还有海量存储和后备磁带库等灾难容错需求。如今，高性能计算（HPC）已在社会的各个领域发挥着重大作用，因此，制定一个完整的HPC安全解决方案势在必行。HPC是一个综合系统，因此高性能计算的安全防护也需采用分层次的拓扑防护措施。

如今，高性能计算已经无所不在，在社会的各个领域发挥着重大作用。高性能计算应用分为两类，一类是在电子政务、教育信息化、企业信息化广泛应用的信息服务; 一类用于石油物探、分子材料研究、航天国防等领域的科学计算，但无论哪种应用，都离不开安全的保障。

一方面，内部安全是HPC安全的主要问题，内部攻击和内部人员的误用造成70%的安全问题; 另一方面，对外需要加强访问控制、非法入侵、安全过滤等边界安全。与此同时高性能计算也给用户提供有可视化应用，要求系统能够作为可视化用的图形服务器。另外，用户还有海量存储和后备磁带库等灾难容错需求。

高性能计算是一个综合系统，涉及网络系统、主机系统两个层次。网络系统的模型是一个分层次的拓扑结构，通常采用五层模型; 主机系统也可以分为两个层次: 操作系统、应用服务。因此高性能计算的安全防护也需采用分层次的拓扑防护措施。即一个完整的高性能计算安全解决方案应该覆盖网络与主机的各个层次，并且与安全管理相结合。

如何保护系统和数据

作为最基本的应用，防火墙可以用于实现对网络不同安全区域的隔离。防火墙可以将办公局域网、HPC计算网、HPC用户接口与不安全的互联网隔离成几个逻辑区域，在保证局域网内的客户端访问互联网和HPC用户接口、以及互联网用户访问HPC用户接口的同时，限制互联网与HPC计算网之间的访问，达到可控访问的目的。

● 使用防火墙的必要性

虽然通过禁用主机上的没用的或者不安全的服务，或者安装个人防火墙，可以实现防火墙的包过滤等功能，然而，毕竟这是由主机自身提供的防护，一旦主机系统已经被侵入，上述的防护措施均可以被入侵者修改。

而采用专用防火墙则可以降低系统被入侵后造成的部分侵害，例如入侵者如果打开了主机上某些被禁止的端口，由于防火墙并未开放该端口，因此入侵者仍然不可以使用该端口进行内外网之间的通信，因而也就在一定程度上防止了内部资源或数据的外泄。

另外使用专用防火墙还可以有效地降低安全管理的工作强度，提高系统安全的可管理性。

防火墙为高性能机群提供了基本的安全防范，然而防火墙只能提供被动的、静态的保护，所提供的安全级别较低，如果与网络入侵检测系统（NIDS）配合，则可以提供动态的安全防护，提高HPC机群的安全等级。拿曙光专用防火墙来说可以从以下几个方面来保护高性能机群系统的安全。

访问控制 访问控制功能可以通过加密认证来限制外网用户对防火墙内部的机群系统的访问，没有得到密钥的用户无法进入机群系统，能保持很高的安全性。

安全过滤 安全过滤模块能在防火墙内外网数据交互的时候对其进行深度包过滤检测。若是有不安全因素包括在数据中，防火墙可以通过检测定义对其过滤。

抗攻击 专用防火墙具有的抗攻击能力，能适应各种险恶的网络环境，保证内部机群系统不因为防火墙的抵抗能力差而无法保持正常工作。

流量带宽管理 防火墙的带宽管理可以让用户随意调整网络的带宽流量; 流量计费功能可以帮助用户实现网络流量计费，流量监控等功能。

防止非法入侵 入侵检测系统可以让系统对受到的攻击设有完备的记录功能，检测到危险信息时，系统可以根据管理员的设置断开连接，实现入侵主动防护。

● 利用VPN保护数据安全传输

高性能计算机群多数都是用于科学研究，因此其原始资料、计算结果等都属于安全敏感数据，因为这些敏感数据在局域网、互联网这样的不安全网络中传输极易被窃取、篡改，因此在设计高性能计算机群的安全问题时，数据传输的安全问题也必须要考虑。

出于数据传输安全的考虑，利用防火墙的VPN功能，能使互联网用户和局域网用户到HPC用户接口之间实现安全的通信隧道，通过加密、认证、数字签名等保证数据的安全性、完整性。比如，曙光防火墙的VPN的密钥管理系统，使用IKE协议进行会话密钥的自动协商，所有的VPN连接隔一段时间会自动地更换密钥。IKE协议使用共享密钥进行认证，将管理的复杂程度有所降低。

四级防护保HPC安全

防火墙被部署于局域网与互联网、或局域网中某个特定区域到局域网的接口上，为局域网或局域网中的特定区域提供了安全保护。

第一级防护: 网络安全

防火墙可以通过对网络数据包的过滤和访问控制，将访问限制在网络被允许的主机（IP地址）和应用服务（端口），从而极大地缩小所需管理的安全范围，然而对于对被允许的主机和应用的攻击就无能为力了，因为这些攻击会伪装成对这些合法主机和应用服务的访问，从而骗过防火墙，进入到受防火墙保护的区域之内。

因此对于安全要求较高的局域网、或者局域网中部署有关键应用的，应该在使用防火墙保护的基础上，采用入侵检测系统提高相关区域的安全防护水平。

网络入侵检测系统（NIDS）监视网络流量，通过侦听特定网段的数据包，实现对该网段实时监视可疑连接、发现非法访问的闯入等，防范对网络层至应用层的恶意攻击和误操作。通过与防火墙联动，实现针对网络的入侵的安全防护。

第二级防护: 主机系统安全

主机入侵检测系统（HIDS）监视主机系统的状态，实现针对主机入侵的安全防护。防范对系统文件的恶意纂改和误操作，实时监视可疑连接、定期检查系统日志，扫描用户行为，发现非法访问的闯入等。

虽然网络入侵检测可以对各种应用服务，如Web、SMTP、POP3等提供保护，然而这些更多是对网络数据包的检查，而防御手段通常会滞后于攻击手段的发展，因此也就存在着由于这种滞后而造成网络防御的突破。受保护网络被侵入的表现就是网络中的某台主机接受了未被授权的访问，并成为攻击的中转站。而入侵者通常需要对被攻破的系统进行修改，掩藏自己并使之进一步对网络中其他的主机发动攻击，这些行为是网络入侵检测系统无法解决的，但这正是主机入侵检测系统所能检测和保护的，因此主机入侵检测系统可以很好地弥补网络入侵检测系统的盲区，二者形成互补。

通过互为补充的网络入侵检测系统和主机入侵检测系统对绕过防火墙的攻击行为进行细粒度的检测和防御，两者协调工作实现从网络到主机的全面防护。

第三级防护: 数据安全

数据安全除了数据的存储安全、备份安全手段之外，还存在数据传输安全，它可以利用防火墙的VPN功能，实现互联网用户和局域网用户到HPC用户接口之间实现安全的通信隧道，通过加密、认证、数字签名等方法保证数据传输的安全性、完整性。

第四级防护: 机群安全管理

机群安全管理系统可实现对网络的全域资源管理，进行集中管理，统一配置。让防火墙、IDS、VPN与机群安全管理紧密结合，为机群服务器提供更高的安全、更强的管理。（作者系曙光公司技术支持中心工程师）