安全——毫無疑問是一個永恒的話題，尤其是隨著互聯(lián)網(wǎng)應(yīng)用的普及，在越來越互聯(lián)的今天，一臺與互聯(lián)網(wǎng)完全隔絕的服務(wù)器基本上也是“無用”的。如果說互聯(lián)網(wǎng)是一個公共的空間，服務(wù)器則就是相應(yīng)用戶的自留地，它是用戶自身應(yīng)用與數(shù)據(jù)面向互聯(lián)網(wǎng)的最終門戶，也將是企業(yè)應(yīng)用最關(guān)鍵的安全命脈——很多安全話題看似與網(wǎng)絡(luò)相關(guān)，但這些來自于網(wǎng)上的入侵最終的目標則都是獲得服務(wù)器的主管權(quán)。

也正是出于這樣的認識，越來越多的企業(yè)開始更加關(guān)注服務(wù)器外圍乃至數(shù)據(jù)中心網(wǎng)絡(luò)的安全防護，比如更嚴格的服務(wù)器訪問管理、更先進的防火墻、更智能的入侵檢測、更全面的行為分析等等。但正所謂“日防夜防，家賊難防”，又有多少人會考慮到來自服務(wù)器內(nèi)部的“天生安全缺陷”呢？

服務(wù)器由內(nèi)至外的先天安全缺陷

很多時候，看似銅墻鐵壁的防護，都禁不住來自內(nèi)部的輕輕一擊。就好比，在足球場上，就算你的后衛(wèi)再強，也架不住守門員自擺烏龍，ICT設(shè)備也是如此。

我們經(jīng)常聽到的，產(chǎn)生重大破壞后果的安全事件，大多是與木馬相關(guān)的，而所謂的木馬就是通過用戶有意無意間的操作，而明目張膽的將賊請進家，并在家里開了一個貌似已經(jīng)獲得用戶授權(quán)的后門，對此，很多安防系統(tǒng)也就無能為力了。比如前不久流行的一個木馬騙局，手機上收到一條短信：“你的老婆（老公）在外面有人了，以下就是相關(guān)視頻的URL，點擊觀看”，如果點擊了短信中的URL，也就為木馬敞開了大門，接下來就是你手機上的絕密安全信息（比如微信賬號、金融賬號等），會源源不斷的發(fā)送給木馬的持有者。

服務(wù)器也是如此，如果已經(jīng)被植入木馬，那么外圍再安全的防護也于事無補。當然，不斷加強的外圍防護也正是意在將木馬攔在數(shù)據(jù)中心之外，包括在服務(wù)器本地部署的安全軟件，近幾年清除操作環(huán)境（包括虛擬環(huán)境）中安全隱患的能力也在不斷加強�？墒�，如果這個后門是服務(wù)器硬件本身先天就具備的，外圍的守護者，不管是防火墻還是防護軟件，也只能干瞪眼了。

服務(wù)器先天安全缺陷從何而來？

服務(wù)器上會有先天的“后門”？可能在很多人看來，這個問題有點不可思議。不過2013年12月29日，德國《明鏡》周刊網(wǎng)絡(luò)版所發(fā)表的一篇文章則給了我們一個有力的證明。

這篇文章的內(nèi)容主體是披露了一份來自美國國家安全局（NSA，National SecurICTy Agency）內(nèi)部的50頁“產(chǎn)品目錄”，這個并非是NSA的日常采購產(chǎn)品清單，而是NSA下屬的特定入侵行動辦公室（TAO, Tailored Access Operations）用于在相關(guān)主流ICT設(shè)備中植入后門的特殊產(chǎn)品，這些產(chǎn)品的開發(fā)者是高級網(wǎng)絡(luò)技術(shù)部門（ANT，Advanced Network Technology），這部門可以認為是NSA所組織的專業(yè)網(wǎng)絡(luò)黑客部門，專門研制用于在網(wǎng)絡(luò)、服務(wù)器等ICT設(shè)備中植入后門的軟硬件產(chǎn)品。

本次披露的產(chǎn)品類別涉及到防火墻、路由器、無線局域網(wǎng)、射頻網(wǎng)絡(luò)、USB等，在這份目錄清單中，ANT為每款產(chǎn)品均起了名字，并簡要介紹了其原理，最后給出了相關(guān)的價格以及目前的研發(fā)與部署狀態(tài)。

ANT目錄中針對Dell PowerEdge服務(wù)器的BIOS產(chǎn)品

ANT目錄中針對HP ProLiant DL380 G5服務(wù)器的BIOS產(chǎn)品

在服務(wù)器類別中，我們可以看到Dell的PowerEdge與惠普的ProLiant DL380 G5赫然在列。而入侵的手段則都是從系統(tǒng)的BIOS入手。需要指出的是，披露這份報告的文章是在2013年年底發(fā)布的，但這份產(chǎn)品目錄則是2008年的，相關(guān)涉及的服務(wù)器產(chǎn)品，目前也早已淘汰，可誰也不知道這7年之后的今天，ANT又做出了哪些新的入侵產(chǎn)品，植入了哪些現(xiàn)有的服務(wù)器里。

《明鏡》周刊就此評論到：ANT不僅制造監(jiān)控硬件，同時也開發(fā)專用軟件。ANT的開發(fā)者很喜歡將惡意代碼植入計算機的BIOS中。BIOS位于計算機主板，當計算機開機時將被最先加載。這樣做能帶來許多優(yōu)勢：被感染的PC或服務(wù)器能正常工作，因此防病毒軟件和其他安全軟件無法探測到惡意軟件。即使被感染計算機的硬盤被完全清空，操作系統(tǒng)被重新安裝，ANT的惡意軟件仍可以繼續(xù)發(fā)揮作用，在新系統(tǒng)啟動時自動加載。ANT的開發(fā)者將其稱作“留存”，認為這種方式能幫助他們獲得永久訪問權(quán)限。

而服務(wù)器內(nèi)部的另一個隱患則在于每臺服務(wù)器必備的基板管理控制器（BMC，Baseboard Management Controller），這是一個特殊的處理器，用來監(jiān)測服務(wù)器中相關(guān)組件的物理狀態(tài)，比如I/O接口、I/O總線、CPU溫度、電源狀態(tài)、風扇轉(zhuǎn)速等，配合智能平臺管理接口（IPMI，Intelligent Platform Management Interface），以便于管理員更好的進行服務(wù)器的運維，包括服務(wù)器本地和遠程診斷、控制臺支持、配置管理、硬件管理和故障排除等。顯然，如果BMC出現(xiàn)漏洞也將近同于BIOS的失陷。

IPMI 2.0的架構(gòu)組成，BMC是關(guān)鍵的一環(huán)，掌握了BMC，也就對服務(wù)器內(nèi)部一覽無遺

而在現(xiàn)實中，就出現(xiàn)了類似的BMC隱患，有些廠商的服務(wù)器存在BMC不經(jīng)過鑒權(quán)訪問的風險，而有些廠商的服務(wù)器的BMC則存在的安全漏洞，入侵者可模仿合法用戶，查看用戶記錄及執(zhí)行事務(wù)。而最近工信部發(fā)現(xiàn)M國某芯片廠家的BMC 管理芯片存在安全漏洞，會竊取用戶數(shù)據(jù)向外發(fā)送，并且無法關(guān)掉或屏蔽。

如何避免服務(wù)器的先天安全缺陷？

明白了服務(wù)器內(nèi)部安全隱患的要點，以及美國國家安全局的種種手段，不難體會到中國強調(diào)的“安全、可控”的必要性。而對于最終的用戶，在挑選服務(wù)器時，也應(yīng)該在相關(guān)方面予以重視。

簡單來說，服務(wù)器內(nèi)部的先天安全缺陷主要就來源于BIOS與BMC，在這兩個方面入手，盡量能做到知根知底，則可以最大限度杜絕最基礎(chǔ)的安全隱患。

說到此，不能不提一下中國的華為，這家一直主張自主創(chuàng)新、自主研發(fā)的ICT廠商，在服務(wù)器領(lǐng)域也堅守著這一原則，這也使其在服務(wù)器基礎(chǔ)安全層面體現(xiàn)出了與眾不同。

首先，華為創(chuàng)新研發(fā)BMC 芯片及配套軟件，消除了BMC安全隱患。此外，華為還開發(fā)了RAID控制器、SSD主控、I/O控制芯片（單芯片、針對FC、iSCSI、FCoE存儲接口，支持TCP /iSCSI /FCoE /RDMA協(xié)議加速）以及QPI節(jié)點控制器（用于英特爾至強E7平臺8路以上服務(wù)器的架構(gòu)擴展，最高可實現(xiàn)32插槽設(shè)計）。

這些與用戶數(shù)據(jù)直接打交道的芯片全部由華為自主研發(fā)，從而也在根本上排除了國外產(chǎn)品可能的后門植入，就算ANT想在華為平臺上做手腳，難度也會大大增加。

其次，在服務(wù)器的底層軟件平臺上，華為也在BIOS和管理軟件開發(fā)方面布以重兵，把去除軟件黑箱化作為目標：

系統(tǒng)管理軟件 eSight 和服務(wù)器單板 BMC 管理軟件 iBMC 已經(jīng)實現(xiàn)了代碼100%自研

BIOS 軟件實現(xiàn)了100%的源代碼可見，華為購買全部源代碼，并進行二次代碼開發(fā)，不存在二進制庫文件、封裝文件、嵌套文件等不可見源碼的“黑箱”。

由上文可知，通過惡意代碼駐留BIOS，是服務(wù)器安全風險的核心關(guān)鍵點。由于華為的BIOS源代碼100%可見，并且不在美國NSA的勢力范圍之內(nèi)，安全風險也就大為降低。

綜上所述，當我們越來越重視企業(yè)ICT系統(tǒng)與整體架構(gòu)的安全性時，除了必要的更堅固的外圍保護，服務(wù)器內(nèi)部的安全因素，也必須引起更高的重視，否則有可能極大的損害企業(yè)在安全保護上的投資效益。這其中，《明鏡》周刊所披露的ANT產(chǎn)品目錄無疑給了我們很大的警示——盡量的在服務(wù)器關(guān)鍵性組件上實現(xiàn)自主可控，顯然是必要的，而在這方面，華為服務(wù)器確實為我們提供了有益的參考。海騰數(shù)據(jù)服務(wù)器租用