問(wèn)：如何把下面

這件事縮減為四個(gè)字？

一個(gè)人說(shuō)了一句話，一傳十，十傳百，傳播的過(guò)程中，這句話不斷被人曲解，以至于到最后演變成了完全不同的版本。

答：

[[326665]]

“穿井得人”，說(shuō)的是戰(zhàn)國(guó)時(shí)期宋國(guó)的一則故事。

宋國(guó)有一戶丁姓人家，他們家中沒(méi)有水井，平時(shí)用水都要到很遠(yuǎn)的地方去挑水。因此，便有一人在外，專(zhuān)門(mén)負(fù)責(zé)家里的“供水工程”。后來(lái)，這丁姓人家在自己家中打了一口水井，吃水問(wèn)題便解決了。

[[326666]]

如此一來(lái)，專(zhuān)門(mén)負(fù)責(zé)供水的人便從曠日持久的工作中解放出來(lái)，可以干一些其他的工作，家里的勞動(dòng)效率也就提高了。因此，丁姓人非常高興地對(duì)周?chē)苏f(shuō)：“我家打井得到一個(gè)人。”意思是說(shuō)，家里打了一口井，節(jié)約了一個(gè)人的勞動(dòng)力，與之前相比，等于多得了一個(gè)勞動(dòng)力。

丁姓人說(shuō)這番話，是因?yàn)橹車(chē)硕贾肋@件事的來(lái)龍去脈，然而傳出去后，有的人或是忘了交代背景或是只記住了大概，導(dǎo)致整個(gè)事情越說(shuō)越離譜，越傳越邪乎，以至于變成了從井里挖出來(lái)一個(gè)人。

后來(lái)，這件事驚動(dòng)了宋國(guó)國(guó)君，于是國(guó)君派人直接找到當(dāng)事人丁姓人家，詢問(wèn)事情的來(lái)龍去脈。

宋國(guó)國(guó)君使者的到來(lái)，讓丁姓人家頗感驚訝，戰(zhàn)戰(zhàn)兢兢，不知自己犯了何罪，待使者說(shuō)明來(lái)意之后，丁姓人才放下心來(lái)，原來(lái)廣為流傳的“挖井得人”的奇異之說(shuō)竟然是他們自己家的事情。

這件事情說(shuō)明，人的口口相傳是多么的不靠譜，因?yàn)闆](méi)辦法保證傳播鏈條上的每一個(gè)人都完整了解故事始末并完整復(fù)述出來(lái)，只要有一點(diǎn)瑕疵，在傳播的過(guò)程中錯(cuò)誤就會(huì)不斷放大。

[[326667]]

于是有人說(shuō)，還是機(jī)器靠譜，因?yàn)闄C(jī)器只會(huì)執(zhí)行命令，而不會(huì)添油加醋，可機(jī)器就一定靠譜嗎？

舉個(gè)例子來(lái)說(shuō)，PC或服務(wù)器在啟動(dòng)的第一步都會(huì)先進(jìn)行自檢，然而自檢過(guò)程中需要檢測(cè)的固件就是一個(gè)隱患。因?yàn)楣碳菍?xiě)入EPROM（可擦寫(xiě)可編程只讀存儲(chǔ)器）或EEPROM(電可擦可編程只讀存儲(chǔ)器)中的程序。既然是程序，由于可執(zhí)行，就有可能存在漏洞，有被利用的風(fēng)險(xiǎn)。

舉個(gè)例子，現(xiàn)在通用的UEFI（統(tǒng)一可擴(kuò)展固件接口），是操作系統(tǒng)和固件之間的軟件界面。

從上圖可見(jiàn)，UEFI在所有固件里居于中間位置，安全性也是重中之重。服務(wù)器可以通過(guò)UEFI安全啟動(dòng)方式來(lái)啟動(dòng)，也就是把UEFI固件當(dāng)做安全計(jì)算基石（TCB)，在其上驗(yàn)證操作系統(tǒng)的BootLoader真?zhèn)?，防止操作系統(tǒng)被插入偽造的BootLoader。

要注意的是，我們?cè)谶@里有個(gè)假設(shè)：UEFI固件也就是基本輸入輸出系統(tǒng)（BIOS）是安全而可信的。

但是，就和開(kāi)頭提到的

“穿井得人”故事一樣

UEFI固件并不是源頭

如何保證產(chǎn)品質(zhì)量，如何杜絕違約風(fēng)險(xiǎn)？

比如，如果有黑客拿

Flash燒寫(xiě)器做了假BIOS怎么辦？

[[326668]]

安全等級(jí)在提高

黑客手段也在變

雖說(shuō)去年5月，國(guó)家正式發(fā)布了“等保2.0”，整個(gè)行業(yè)的安全意識(shí)越來(lái)越規(guī)范，但也不乏深諳滲透的黑客從固件漏洞上找到新的突破口。這是因?yàn)槌舜笠恍┑墓净蛘呒夹g(shù)能力比較強(qiáng)的公司會(huì)在底層方面管控得比較好，其他大多數(shù)公司對(duì)固件和固件的安全認(rèn)識(shí)都不夠。

通過(guò)Firmware Slap、Binwalk、Fiber、FirmTool等一些常用工具，越來(lái)越多的未簽名固件被黑客挖掘出來(lái)，并繞過(guò)檢查，替換成精心準(zhǔn)備的帶惡意代碼的驅(qū)動(dòng)程序文件，用來(lái)滲透主機(jī)系統(tǒng)。

▐ 那么，我們到底應(yīng)當(dāng)如何守護(hù)底層的固件安全，避免固件成為最薄弱的一環(huán)？

且看戴爾易安信PowerEdge服務(wù)器產(chǎn)品帶來(lái)的“信任鏈”。

PowerEdge是打造全方位企業(yè)系統(tǒng)產(chǎn)品組合的基礎(chǔ)，可以說(shuō)是企業(yè)現(xiàn)代化數(shù)據(jù)中心的基石。從元件篩選、硬件設(shè)計(jì)流程、設(shè)計(jì)創(chuàng)新直到最后的品質(zhì)檢測(cè)，PowerEdge服務(wù)器都以滿足用戶對(duì)于高合理性、高可靠性的訴求為目標(biāo)。

除了熱穩(wěn)定、冗余設(shè)計(jì)、降額設(shè)計(jì)、環(huán)境防護(hù)的匠心設(shè)計(jì)，PowerEdge服務(wù)器還具有行業(yè)首發(fā)的“信任鏈”功能。憑借安全鎖定+簽名固件，每個(gè)模塊信任鏈啟動(dòng)時(shí)驗(yàn)證iDRAC和BIOS固件，關(guān)鍵部件的所有固件（NICs、HBAs、RAID、CPLD、存儲(chǔ)驅(qū)動(dòng)器、PSUs等）也同樣使用加密簽名進(jìn)行驗(yàn)證，從而確保服務(wù)器上只運(yùn)行可靠的固件。

無(wú)論是BIOS、IDRAC、PERC、NIC，每個(gè)固件到操作系統(tǒng)啟動(dòng)的每個(gè)環(huán)節(jié)對(duì)運(yùn)維人員來(lái)說(shuō)都是可靠、可信、可控的。

PowerEdge服務(wù)器還支持UEFI Secure Boot，負(fù)責(zé)檢查UEFI驅(qū)動(dòng)程序的密碼簽名和在操作系統(tǒng)運(yùn)行之前加載的其他代碼。

通過(guò)對(duì)整個(gè)鏈條的安全管控，任何被非法、惡意篡改的BIOS，固件都無(wú)法升級(jí)到系統(tǒng)，有效避免硬件被入侵；非法OS也會(huì)被禁止啟動(dòng)，讓服務(wù)器終身免疫；同時(shí)，獨(dú)有的參數(shù)配置鎖定模式可以增強(qiáng)服務(wù)器配置管理的安全性，讓運(yùn)維人員不用再為硬件層的安全擔(dān)驚受怕。

[[326670]]

不管是自身安全運(yùn)維的需求，還是等級(jí)保護(hù)等安全監(jiān)管的需求，戴爾易安信PowerEdge的“信任鏈”技術(shù)都能讓基礎(chǔ)架構(gòu)免于一環(huán)出錯(cuò)、滿盤(pán)皆輸?shù)奈ｋU(xiǎn)。

相關(guān)內(nèi)容推薦：趁熱打鐵，聊聊業(yè)界首創(chuàng)的AppsON

相關(guān)產(chǎn)品：R540