浪潮电子信息产业股份有限公司—2024年安全可信先进单位
浪潮电子信息产业股份有限公司(以下简称:浪潮信息)是全球领先的 IT 基础设施产品、方案和服务提供商,凭借其深厚的技术积累和创新能力,为客户提供云计算、大数据、人工智能等各类创新 IT 产品和解决方案。在发展过程中,浪潮信息始终秉持“以应用为导向,以系统为核心”的理念,全面推进算法、算力、数据和互联技术的创新,从而加速“人工智能+”的落地。凭借这样的战略布局和持续创新,浪潮信息的业务遍及全球主要国家和地区,构建了强大的全球运营网络,拥有8个研发中心、11个生产基地、50个业务分支机构,在市场表现上也取得了卓越的成绩,服务器出货量位居全球第二,存储装机容量全球第三。在技术创新与业务拓展之外,浪潮信息也深度参与行业合作与生态建设,作为中关村可信计算产业联盟(简称联盟)的监事单位,长期积极投身联盟建设,携手各方力量推动产业协同发展。
引领可信计算技术创新,推进开源开放生态建设
浪潮信息在可信计算领域具有突出产业技术优势与多年经验积累,提供软硬件一体化全栈可信解决方案,实现从硬件层的静态可信验证,到系统层和应用程序运行时的动态可信验证,并通过产品安全能力基线要求等方式,推动可信计算成为浪潮信息服务器、云计算、存储、操作系统等各产品线关键安全能力之一。
在技术创新与产业化应用方面,浪潮信息将可信根接口(TCM2.0)作为通用服务器整机产品标配,同时通过定制化等方式推进支持可信计算3.0的服务器产品研制与推广,并致力于推动整机层面可信计算3.0信任根(TPCM)接口标准化、通用化,相关产品及服务在金融、互联网、电力等关键行业广泛落地。此外,浪潮信息研发的服务器操作系统——云峦KeyarchOS通过了《信息安全 操作系统安全技术要求》四级认证(最高级),安全可信能力获得认可。凭借安全可信关键技术及核心设备研制与产业化成果,浪潮信息荣获“2020年北京市科学技术进步奖”,所开发的云数据中心可信计算池解决方案荣获联盟“2022年度首届安全可信优秀解决方案奖”。
在行业标准方面,浪潮信息牵头编写并发布了GBT36639《信息安全 可信计算 服务器可信支撑平台》。该标准基于我国可信计算产业发展现状,兼顾产业发展趋势,依托已发布可信计算基础类标准,同时结合服务器特点,重点解决了可信计算技术在云计算环境下的服务器可信应用,以及可信计算基础标准在服务器下普适应用的问题,对可信计算体系下服务器应具备的可信功能与安全性提供了合理规范,促进可信计算技术健康有序的发展。此外,浪潮信息还参与了业内所有可信计算主流标准的编制工作,全方位覆盖可信计算体系结构、可信根、可信平台、可信软件基以及服务器应用等领域。
在开源建设方面,浪潮信息在开源操作系统根社区——龙蜥社区主导建立了可信计算SIG,SIG面向云计算、数据中心、桌面端、边缘端等场景,长期开展可信计算基础软件开源与优化、可信计算技术应用方案探索,发布了国内操作系统领域首个《可信计算技术最佳实践白皮书》,并荣获2023年度、2024年度龙蜥社区“最佳SIG”奖项。2024年,浪潮信息联合龙蜥社区支持教育部A类学科竞赛,为可信计算赛题开发及大赛创新应用开发环节提供平台技术支撑,获得大赛组委会感谢信。此外,浪潮信息将基于eBPF安全技术的入侵检测及访问控制贡献给了龙蜥社区,促进产业上下游提升大模型训练、微调、推理安全防护能力。
升级安全防护能力,构建大模型“内核级”安全保障
AI大模型作为引领科技变革的创新力量,正以惊人的速度将未来照进现实。然而,AI安全问题也如影随形,模型篡改、供应链攻击、隐私泄露等对企业应用大模型构成了严峻挑战。
面对AI大模型存在的安全隐患,浪潮信息全面升级了云峦KeyarchOS的安全防护能力,通过将可信计算、eBPF安全及机密计算“三驾马车”的技术创新融为一体,构建了具备“内核级”防护能力、自适应AI安全策略的内生安全防护系统。系统将安全能力覆盖到服务器硬件、操作系统、中间件以及大模型平台,并能根据业务场景变化灵活制定防御策略,从根源上有效防御数据泄漏、模型篡改、平台漏洞、以及隐私泄露等安全威胁。
(云峦KeyarchOS内生安全智能防护系统)
通过在硬件、操作系统及应用层面对不同安全技术进行组合,系统实现从硬件层的静态可信验证,到系统层和应用程序运行时的动态可信验证,无需对内核或者业务代码进行任何修改或侵入性操作,即可提供安全的中间件和大模型运行环境,并且能够根据数据的敏感程度与使用场景,灵活地选择、应用不同的数据保护策略。
零侵入式安全防御,KSecure守护系统稳定运行
云峦KeyarchOS的配套安全防御软件——KSecure是基于eBPF技术开发的新一代轻量化安全工具。其通过在系统内核层面进行多层次的hook技术部署,实现了对勒索软件、恶意入侵和内部违规操作的有效防御。与传统安全检测方案相比,KSecure采用的eBPF技术具有“高稳定、高性能、安全、灵活”的特点,能够在不干扰系统正常运行的前提下,提供深度的系统观测和实时的安全防护。
在大模型应用场景中,KSecure能够为模型训练与推理过程提供稳定可靠的安全环境。其通过程序白名单防护机制,确保只有经过授权的软件和脚本能够在系统中运行,从而防止恶意代码的注入和执行。同时,KSecure还支持对外部存储设备(如U盘)的严格管控,防止通过外设传播病毒或窃取数据,这对于多用户环境下的大模型部署尤为重要。
