【IT168 报道】日前，在北京科技大学网格实验环境建设项目中，用户选用曙光TC4000L集群服务器来构建该校的网格应用试验平台，并采用了曙光GodEye-HIDS主机入侵检测系统来布防作为网格接口的集群系统。网络拓扑图所下所示：

点击看大图

    网络入侵检测IDS（Intrusion Detection System）是一种动态安全防护技术，是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它通过监视网络或系统资源，寻找违反安全策略的行为和攻击迹象，并发出报警，为网络系统提供安全保护。根据采集数据源的不同，IDS可分为主机型IDS（Host-based IDS）和网络型IDS（Network-based IDS）两种。NIDS直接从网络上采集原始的数据包，进行检测；HIDS从主机／服务器上采集数据，包括操作系统日志、系统进程、文件访问和注册表访问等信息。

    在网络安全的攻防对峙中，离被防护信息点越近，保护的作用就会越有效。由于部署在主机上，HIDS从空间上满足了网络安全的先决条件，同时，由于监控的是用户的整个访问行为，HIDS可以有效利用操作系统本身提供的功能，结合异常分析，准确报告攻击行为，在时间上保证了网络安全进程实现的过程。主机型IDS既防范已知攻击，又可获知不明攻击；可以有效防范内网用户的恶意越权操作；可以监测到主机核心进程和被保护目标或文件；可以防止植入的木马类程序的延时破坏；可以在线侦测出非恶意的越权操作，从而有效弥补网络型IDS的不足。因此，HIDS在网络安全防护时空上的优势使之成为网络安全体系的最后防线。

    而且，作为“守门员”，HIDS能够与“中后卫”——网络中的防火墙实现联动响应，对整个网络进行实时防御操作。支持业界通用的联动协议，如Topsec、NAP等等。当HIDS发现攻击企图后，它能够及时通知防火墙，通过防火墙进行联合防御操作，确保整个网络和主机的安全。

    由于学校既有自己的校园网又要接入互联网，访问人员相对比较复杂，系统很容易受到攻击。而且作为一个网格试验平台，系统难免会受到校内外好奇心切的计算机爱好者的“攻击”。主机型IDS能够有效地防止内部人员的越权行为、误操作、恶意攻击等内部安全问题，从而充当了系统安全的“守门员”角色。

    曙光主机型IDS入侵监测系统的引入同时也给该校计算机专业学生提供了一个了解和学习入侵监测系统的实验平台，使计算机专业教学更能贴近实践。

    如果说曙光DCMM机群监控系统是对机群硬件提供监控服务，曙光DCMS机群管理系统是对机群软件和网络提供管理服务，那么，曙光主机型IDS入侵监测系统则是为了确保系统的安全应用。软件管理、硬件监控和应用安全构成了一个完整的机群解决方案。

    随着系统规模的扩大，机群系统的安装、升级和管理问题也会随之呈线性增加，并最终会导致系统实际不可用。曙光DCMS机群管理系统是一套用于大型机群软件系统的机群管理工具。曙光DCMS的引入能有效地解决系统管理的问题。DCMS通过分布式管理服务器为集群中每个节点提供永久信息库，保持每个节点的状态，通过丰富的管理工具集对集群系统、网络等方面进行统一管理和配置，通过分布式资源监控管理器监控许多资源，包括节点、适配器、文件系统和进程，监控系统采用分布式组织方式，有效降低了单点故障对整个集群监控的影响。

    曙光DCMM机群监控系统监控着机柜系统环境、每节点硬件配置情况、每节点直流电压、各部件温度、风扇转速等硬件状态、系统CPU、内存、网络使用情况等，可指定节点，也可以图形方式对各节点的单项数据进行对比。

    在硬件监控和软件管理的基础上，基于主机的分布式入侵检测系统曙光GodEye-HIDS，能够防范对系统文件的恶意纂改和误操作，实时监视可疑连接、定期检查系统日志，发现非法访问的闯入等，并且提供对典型应用的保护，如Web服务器、SMTP、POP3服务器等等，GodEye-HIDS能够发现多达1200种的网络攻击、误操作以及可疑事件，有效地实现了对服务器系统的信息安全防护。其引擎端采用了三种检测方式（文件完整性检查、系统日志分析、系统漏洞扫描），同时，结合系统实时监控（系统资源、系统服务、日志文件、网络流量、用户登录等等）对服务器进行不间断检测和监视。通过对服务器各种资源和运行状态的实时监控，达到洞悉系统状况的效果，确保用户能够对服务器的状态进行完全掌握，就好像是服务器的“闭路监视系统”。

    网格是构筑在因特网上的一组新兴技术，它使人们可以动态地共享分布在网上不同地方的各种资源，如大型计算机、数据库、应用、服务等。也可以形象地说，网格把整个网络变成了一台虚拟的计算机，使人们可以随时随地享用网上的各种资源。

    网格的建立是以Internet作为通信支撑平台，而Internet是一个开放性、异构性极大的公共网络，这使得在Internet上运行的网格作业面临各种各样的安全威胁，如数据被截取、信息的内容被篡改或删除、假冒合法用户和服务器等。因此，在网格环境中，需要采取各种有效的安全措施防止这样的情况发生，确保系统安全。

    高性能计算机作为网格的节点，其本身的系统安全也同样影响着网格的安全运行。分布在高性能计算机上的主机型IDS作为系统安全的最后一道防线，起到了“守门员”的作用，同时与机群管理系统和监控系统相互配合，对网格安全的构建也是一种有益的尝试。