通过实现高性能计算安全增强研究完整性

高性能计算（HPC）工作组的官网： https://cloudsecurityalliance.org/research/working-groups/high-performance-computing-cloud-security ©2024云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 报告中文版支持单位 北京江南天安科技有限公司专注于商用密码产品研发、创新和技术服务，是国家级高新技术企业、国家级专精特新“小巨人”企业。公司根植于密码技术研究和应用创新的深厚积淀之上，集密码产品和解决方案研发、生产、销售和服务于一体，是一家致力于为用户提供全面、可靠的密码产品和安全服务的“密码体系服务商”。公司在密码产品创新方面取得了显著成就，如参与国内首个商业银行国密改造项目，发布国内首款云服务器密码机、国内首块云服务密码卡、国内首台国密专线密码机、国内首台三级服务器密码机，以及支持国密协议的开源SSL开发套件。为国家的数字经济和用户的数据安全保驾护航。 江南天安是CSA大中华区理事单位，支持该报告内容的翻译，但不影响CSA研究内容的开发权和编辑权。 报告英文版编写专家 主要作者 ChristopherFrenzYuvarajMadheswaran 贡献者 AbhishekJulkaChristopherFrenzIvanCasacubertaJohnSoaresMichaelRozaParthJamodkarVictorHolandaRusuVijayVelusamyYuvarajMadheswaran 审稿人 RichardPrescottStearnsJr.MeghanaParwateKennethMorasVaibhavMalikRakeshDattaHimanshuSharmaHarieSrinivasaBangaloreRamThilakAkeshDamaraju CSA全球员工 HillaryBaronClaireLehnertStephenSmith 序言 在当今数字化时代，高性能计算（High-PerformanceComputing,HPC）已成为科学研究和技术创新的基石。HPC系统通过聚合强大的计算资源，使得解决传统计算架构无法处理的复杂问题成为可能，从而在科学探索、工程设计、医疗研究、金融分析等领域发挥着至关重要的作用。然而，随着计算能力的不断提升，HPC系统也面临着日益严峻的安全挑战，这些挑战不仅威胁到数据的安全性，也影响到研究成果的完整性和可靠性。 《通过实现高性能计算安全增强研究完整性》报告的发布，旨在深入分析HPC环境中的安全问题，并提供有效的策略和建议，以增强HPC系统的安全性，保护研究成果的质量。 报告内容涵盖了HPC安全的关键领域，包括输入验证、错误处理、编码和转义、更新机制、信息库验证、内存安全控制措施、消息传递接口（MPI）、零信任模型、网络安全、安全飞地、日志记录和漏洞管理等。这些内容不仅包括技术层面的深入分析，也涉及策略和管理层面的综合考量。 本报告致力于为HPC系统的用户、管理员、开发者以及政策制定者提供一个全面的安全指南，协助他们在确保系统安全的同时，最大化研究成果的价值。我们希望通过这份报告，能够促进HPC厂商对安全问题的重视，并采取行动，共同构建一个更加安全、高效的研究环境。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 1.概述...............................................................................................................................9 1.1HPC面临的安全挑战......................................................................................101.2HPC的架构........................................................................................................12 2.更强的安全保护带来更优质的科研成果.......................................................13 2.1输入验证.............................................................................................................132.2错误处理.............................................................................................................142.2.1用于高性能云计算的错误处理技术.............................................152.3编码和转义........................................................................................................162.3.1防御策略：输入转义和编码...........................................................182.4更新机制.............................................................................................................192.5信息库验证........................................................................................................252.6内存安全控制措施和OpenMP...................................................................262.7消息传递接口（MPI）..................................................................................282.8零信任.................................................................................................................292.9HPC的网络安全...............................................................................................312.10安全飞地..........................................................................................................332.11日志记录..........................................................................................................342.12漏洞管理..........................................................................................................36 3.结论............................................................................................................................37 4.参考文献...................................................................................................................39 附录1十大顶级超级计算机........................................................................................41 介绍 从定义上说，高性能计算（High-PerformanceComputing,HPC）系统是指把计算资源聚合在一起，使其性能超过任何单个工作站、服务器或计算机；这种系统如今已成为研究人员不可或缺的工具，使用范围涵盖了从科学探索到工程设计创新的广泛领域。这些复杂计算平台提供的计算力量可令传统计算架构解决不了的复杂问题迎刃而解。然而，市场对性能需求的不断增加，给HPC系统带来了一大严峻挑战：究竟应该怎样在速度与安全之间权衡，取得适当平衡呢？有关当今十大顶级超级计算机系统的列表，请参见本文附录。 高性能计算（HPC）领域在传统上视安全为次要考虑因素，甚至认为安全是实现峰值性能的障碍。防火墙、入侵检测系统、数据加密等安全措施在执行时，的确有可能造成延迟并降低系统的总体吞吐量。从这个角度考虑的权衡导致许多HPC组织在速度和安全之间优先选择前者，从而使这些系统面对网络攻击时表现得十分脆弱。 然而在2022年的超级计算大会上，安全终于成为HPC专家关注的焦点。对更快速系统的追求造就了一大漏洞，原因就是这些机器上往往保存着可能会被恶意行为者利用的敏感数据。1 解决这一权衡问题的关键在于HPC供应商、研究人员和安全专家之间的携手合作和共同努力。新的硬件和软件技术不断涌现，可以在不影响性能的情况下增强安全性。例如，基于硬件的安全性能可以把敏感数据与工作负载隔离，另外还有专门的软件可用于为高性能环境优化安全协议。 随着高性能计算（HPC）的持续发展，安全问题已经不容忽视。在速度与安全之间找到平衡，对于保护这些强大机器及其宝贵数据至关重要。把安全问题置于优先地位并投资开发创新性解决方案，帮助HPC组织得以通过这种方式保护系统免受网络攻击侵扰，确保它们能够继续发挥推动科学进步和保障国家安全的 作用。 复杂的基础设施、远程访问的广泛使用和敏感数据的存储给HPC系统带来多重安全挑战。正是这些挑战使之成为网络攻击的主要目标，导致研究成果丧失、数据损毁、研究进程中断以及潜在的法律后果。组织应采取前瞻性安全措施抑制这些风险，可采取的措施包括风险评价、漏洞管理、补丁管理、访问控制、监测和事件响应。组织可以通过采用这样的策略保护HPC系统并确保其研究结果始终完整如一。 目的 本报告的目的是帮助参与使用、管理和保护HPC系统的各种利益相关者在确保HPC系统安全的问题上达成共识并建立共同的目标。本报告旨在证明，HPC环境的安全性是能够以促进（而非阻碍）HPC研究人员取得预期科研成果的方式实现的。 受众 本报告适用于参与使用、管理和保护HPC系统的任何人员，其中包括但不限于： 网络安全专