2009年是浪潮集团推介SSR服务器安全加固系统着重发力的一年。经过这一年的努力，人们加深了对信息安全的认识，服务器安全的理念深入人心，SSR产品在金融、税务、制造业等不同领域全面落地。在2010年，浪潮集团的SSR产品又将有何新动作？SSR产品的发展形态将会向哪个方向延伸？信息化时代的安全理念又将有何新的变化？
    带着这些疑问，记者采访了浪潮集团信息安全事业部副总艾奇伟。从2002年开始，艾奇伟就开始从事SSR产品的研发工作，在这8年多的时间里，他见证了SSR产品的启蒙、诞生和发展，毫不夸张地说，他是SSR产品面市至今最有话语权的发言人之一。而他对SSR产品的规划和思考，以及对国内信息安全市场的发展，都有较为独特的观点，非常值得分享。

补齐最后一块木板

    当记者问及SSR产品诞生的初衷时，艾奇伟谈道，2002年他曾参与到中国《计算机信息系统安全保护等级》相关技术标准编写工作中。在此期间，他看到国内很多从事安全的厂商都从防火墙、杀毒软件这几个方向入手，利用所谓的“围、堵、截”来保障用户安全。诚然，这几类安全产品面向大众市场，一旦获得认同，就能很快得到推广，但在艾奇伟看来，仅仅依靠防火墙、杀毒软件这几类安全产品很难抵御真正黑客的攻击。“如同人们常说的木桶短板效应，要想桶内盛水多，就必须保证木桶木板平齐且无破损。但是在当时的安全市场，安全产业要解决的问题绝不仅仅是木板长短不一，而是根本就缺乏很多块木板来围成木桶。”
    正是基于这样的思索，艾奇伟开始思考最底层的安全，也就是最核心的安全所在。经过一番分析，他发现，随着用户应用方式的丰富，用户被攻击的手段也多种多样，在网关、入侵检测、网路安全等多种安全层面被开发的同时，很少有人去关注服务器安全。这是一个看似无足轻重其实却相当重要的安全隐患。“信息安全体系的建立绝不能仅仅依靠杀毒软件和防火墙，还需要有解决系统层面安全的软、硬件产品，特别是对于网络核心设备服务器的安全防护。”他告诉记者，当时即便是人们谈论起服务器安全，也都指的是硬件的安全，服务器软件的安全性似乎一直被人忽略。由于技术水平、研发能力的制约使得在此方面一直没有自主知识产权的技术、产品有效地进行防护。
    众所周知，要想实现操作系统的绝度安全可控，最理想的方法自然是使用国内自主研发的操作系统，但是就现状而言，国内的服务器操作系统软件多数由国外公司提供，国内用户缺乏对底层技术的了解，软件中是否存在有后门无从了解，这给国家安全埋下了相当严重的隐患，甚至可以说是直接威胁到了国家的安全。国内自主研发的操作系统要想真正实现普及，现在还远远看不到时刻表。
    正是国内产品缺乏自主应用和国外产品市场普及的双重矛盾，造就了操作系统加固产品SSR的落地。“在国外，操作系统加固并非空白，市场有成熟的模型，并有相应的标准支撑。而在国内，操作系统加固其实是个空白，SSR的诞生就是弥补了这个空白，这也是我们SSR安全产品最明显的技术优势。”用艾奇伟的话来说，“补齐了安全产品种类中最后一块木板。”
“SSR技术上的难度非常高，最主要的就是产品稳定性，这现在也成了浪潮SSR产品的一大优势。”艾奇伟解释道，操作系统加固是一个逆向工程，当时国外厂商并不公开操作系统源代码，国内市场也全无外力可借鉴，但是他们仍然从零起步，完成了SSR的所有设计。

安全的特殊筹码

    虽说是一张白纸好作画，但要真在一个空白的领域开拓市场却是难上加难。不过当时公安部某局一位处长的话给了艾奇伟莫大的鼓舞。他回忆道，当时他向这位处长介绍完SSR产品的主要功能后，这位处长非常赞许，并告诉艾奇伟，虽然他们上马了很多安全产品，但IT系统仍是无法保证可控的安全。他们一直在寻找这样的产品，来完成整个IT安全可控的目标，满足等级保护的需求。这使艾奇伟意识到，当时有着这位处长同样需求的人一定不在少数，SSR的市场大有作为。“当时，第一次意识主机安全解决方案的重要性，也发现SSR产品结合其他产品，可以做成一个解决方案，来帮助用户实现整体安全。而促使这一想法落地的最主要推动力，就是等级保护。”

(责任编辑：)