CTI論壇(ctiforum)12月5日消息(記者 李文杰):11月28日,中國云計算產(chǎn)業(yè)促進(jìn)大會(huì )暨2014中國可控可信計算應用及產(chǎn)業(yè)會(huì )議在南京召開(kāi)。本次大會(huì )由中國計算機學(xué)會(huì )應用專(zhuān)業(yè)委員會(huì )主辦,系統研討了云計算時(shí)代的信息安全以及中國可控信計算的產(chǎn)業(yè)情況、核心技術(shù)與應用場(chǎng)景等問(wèn)題。浪潮集團信息安全事業(yè)部副總經(jīng)理蔡一兵博士在大會(huì )上指出提升云主機的安全防護是全面提升云安全的有效途徑,受到業(yè)界廣泛關(guān)注。
伴隨著(zhù)云計算應用的不斷深入,云數據中心發(fā)展迅猛,已經(jīng)成為企業(yè)海量關(guān)鍵業(yè)務(wù)數據的承載體。云數據中心安全的重要性日益凸顯,加強對云計算以及信息的管理應引起高度重視。在系統安全方面,以提高防御、應急處置能力為主的傳統安全管理已經(jīng)不能適應新計算、新網(wǎng)絡(luò )、新應用和新數據為新特征的信息安全產(chǎn)業(yè)發(fā)展的需要。蔡一兵表示:“傳統的‘封堵查殺’等‘被動(dòng)應對’的防護模式已經(jīng)不能滿(mǎn)足云計算的需求,形成‘主動(dòng)防御’的安全模式非常必要。在云安全的發(fā)展上,浪潮認為以下三點(diǎn)非常重要:從解決途徑上來(lái)看,以可信計算為基礎,構建完整的信任鏈可以切實(shí)提高云計算的安全防護能力;從國家安全的角度來(lái)看,中國必須擁有自主可控的云安全技術(shù);從具體的防護內容來(lái)看,云主機安全是云數據中心安全的核心,必須予以足夠重視。”
基于可信計算實(shí)現主動(dòng)防御
傳統數據中心的防護大多采用‘封堵查殺’等‘被動(dòng)應對’的防護模式,但是這種模式在云數據中心中已經(jīng)無(wú)法滿(mǎn)足安全需求。從外部來(lái)看,黑客組織長(cháng)期針對云主機進(jìn)行有組織、有計劃的高級持續性威脅(APT),以期獲得其中海量的企業(yè)機密信息和情報謀取利益。從內部來(lái)看,云計算具有開(kāi)放性和復雜性的特點(diǎn),虛擬化等技術(shù)讓云數據中心一直處于動(dòng)態(tài)變化當中,遭遇安全問(wèn)題的可能性超出傳統的數據中心,針對云主機的“Guest OS鏡像篡改”、“主機租戶(hù)攻擊”和“虛擬機篡改”為目的的惡意威脅數量越來(lái)越多。另外,內部人員的風(fēng)險同樣不可忽視,云主機上的信息泄漏隨時(shí)都有可能發(fā)生。
蔡一兵表示,可信計算可以形成‘主動(dòng)防御’能力,滿(mǎn)足云數據中心安全需求。所謂可信計算是指在計算的同時(shí)進(jìn)行安全防護,計算全程可測可控,不被干擾。具有身份識別、狀態(tài)度量、保密存儲等功能。其核心思想是通過(guò)在硬件上建立計算資源節點(diǎn)和可信保護節點(diǎn)并行結構,從平臺加電開(kāi)始,到應用程序的執行,構建完整的信任鏈。
浪潮云主機安全產(chǎn)品整體解決方案等一批基于可信計算的產(chǎn)品與解決方案的推出,切實(shí)推動(dòng)了云數據中心安全防護向主動(dòng)防御轉型。
云安全技術(shù)必須自主可控
云安全的風(fēng)險從來(lái)不只是來(lái)自于技術(shù)本身,還包括安全的運行環(huán)境。特別是斯諾登事件出現之后,安全風(fēng)險被充分暴露,技術(shù)的自主可控需求進(jìn)一步提高。云數據中心的關(guān)鍵系統和設備上缺乏自主控制權,缺少可信、可控的安全運行環(huán)境的現狀必須得到根本性改變。
云計算時(shí)代,缺少自主、可控的安全方案,更容易遭受‘心臟出血’漏洞、系統癱瘓乃至針對性攻擊等安全威脅。可以想象一旦承載著(zhù)有關(guān)國計民生重要信息的系統被外部勢力惡意攻擊,甚至成為網(wǎng)絡(luò )戰的攻擊目標,其后果將不堪設想。
也正是基于這樣的考慮,國家給予云計算重要政策支持。國務(wù)院總理李克強11月15日主持召開(kāi)國務(wù)院常務(wù)會(huì )議,部署確定促進(jìn)云計算創(chuàng )新發(fā)展措施,培育壯大新業(yè)態(tài)新產(chǎn)業(yè)。國家再次明確支持云計算,政府的支持政策將會(huì )加速中國云計算市場(chǎng)的發(fā)展,促進(jìn)自主可控安全環(huán)境的形成。
從云主機入手構建全面云安全
云主機是云數據中心的核心,由服務(wù)器、虛擬化、操作系統構成,承載著(zhù)重要數據和應用處理,其安全與否是云數據中心安全策略是否有效的關(guān)鍵。正因為如此,云主機的安全就成為了提升整體云安全的重點(diǎn)。浪潮云主機安全產(chǎn)品解決方案包括可信服務(wù)器、虛擬機安全套件、SSR操作系統安全增強系統、安全容器等幾部分,以云數據中心物理主機安全、虛擬主機安全、軟件定義的計算和存儲服務(wù)安全為重點(diǎn),把可信計算體系與主動(dòng)防御體系進(jìn)行了有效的結合,以可信服務(wù)器為根基,構建從底層硬件到上層業(yè)務(wù)系統的完整信任鏈。
針對不同類(lèi)型的用戶(hù),云主機安全產(chǎn)品整體解決方案可以分別滿(mǎn)足不同需求。具體說(shuō)來(lái),對于云主機用戶(hù),該方案通過(guò)感知技術(shù)自動(dòng)甄別環(huán)境的變化,防止針對服務(wù)器硬件、虛擬化軟件、Guest OS及其他基礎設施的惡意代碼植入,進(jìn)而提升用戶(hù)自我防御能力;對于云數據中心運營(yíng)者,安全可信的計算環(huán)境將會(huì )吸引更多租戶(hù)加入,并在縱橫交錯的可信鏈條上提升云服務(wù)的質(zhì)量和可靠性;對于特定行業(yè)中的高安全等級服務(wù)器,該方案能為關(guān)鍵的業(yè)務(wù)程序提供安全可信的計算環(huán)境,防止因服務(wù)器基礎軟硬件被植入高級惡意代碼,從而避免設備被控、數據被盜的情況發(fā)生。
云主機安全產(chǎn)品整體解決方案實(shí)現了可信計算體系與主動(dòng)防御體系的有效結合,對于我國可信計算產(chǎn)業(yè)的發(fā)展具有重大意義,在大會(huì )上受到與會(huì )嘉賓高度評價(jià)。本次大會(huì )的召開(kāi)成為全面宣傳中國可信計算產(chǎn)業(yè)發(fā)展的意義及價(jià)值的引爆點(diǎn),將有效促進(jìn)我國信息化領(lǐng)域向安全、自主、可控、可信的方向發(fā)展,為構建云數據中心的全面安全奠定堅實(shí)的基礎。
