2014 年8月14日至15日，第七屆移動互聯網國際研討會在北京國際會議中心隆重舉行，本次大會以“4G移動互聯網時代的創新與變革”為主題，圍繞4G網絡技術及未來發展、虛擬運營商、移動互聯網應用、信息安全、物聯網、融合通信等產業熱點展開。以下為北京天融信科技有限公司副總裁李宗洋在“面向移動互聯網的開放API及應用安全”分論壇發表演講。

我今年聽到一個說法是2014年是中國信息安全的元年。我很有感觸，第一、我們看安全市場有兩個最大的驅動力，第一個驅動力叫做政策驅動，或者叫合規驅動。第二，叫需求驅動，2014年這么大，這是第一個政策需求在加強。所以，政策層面，還有主動需求層面上，我們看到主要的安全跟形勢都在好轉。

同時，今天這個會議也給安全留了好幾個主題，所以，也能夠體現出安全的重要性。所以，安全往后肯定會成為一個業務競爭的一個主動的需求，會成為業務的核心和競爭力。從產業鏈的角度來看，我覺得云計算有兩個點，第一、縮短了整個產業鏈，提高了整個交付的效率。就是我們以前用戶在需要建設一個業務的時候，這也是縮短了路徑，挖掘了我們很多資源的剩余價值，提高了我們生產力。所以，在云計算的這個平臺上，我們看到的是一經營應的模式。還有把產業鏈的話語權從廠商再往用戶分。所以說，在云計算虛擬化的形勢下，用戶的話語權會越來越重要，這也是我們從產業鏈的角度來看，話語權的一個轉移。所以，這兩個點也是為4G的發展一定有非常大的發展，只要是符合之社會生產力體么的這么一種模式，但是發展過程當中一定要選擇，這個我們也做了很多調查，和很多用戶做了溝通。所以，用戶一般選擇云的時候第一個考慮點是按我的數據放在云端是否安全。

第二、鼓勵業務應用向云計算模式遷移，它會想，會不會實現開源的軟件，如果用的開源的軟件，開源的系統，我的運維能力是不是夠?用戶發現的第三個問題，才是成本的問題，云計算從長遠來看，一定是降低他的成本。客戶會考慮三個因素，一位是安全，第二位是你所采用的技術，第三位才是成本。互聯網的安全，我們要考量有一個最便利的方式，就是它所獲取的認可，或者它所獲取到的證書，等級保護就是安全里面很典型的一。比如用戶的三級系統，你所提供的云設施是否過了三級。所以說，等級保護也是我們在提供云服務里面很重要的一個規律。當云計算不僅僅是等級保護，還有27000，還有云計算聯盟的規。下面介紹一下云計算等級保護的案例需求，其實不同模式里邊，云計算的服務提供商，或者云服務廠商和用戶的控制力度是不一樣的。我們把云計算系統可以大家分成五層，物理層到硬件層，到虛擬化資源層，到五層，其實我們知道在IaaS的環境下，用戶是靠用戶的，在物理層和硬件層都是靠場上來保證的。如果我們提供不同的服務模式，我們在考慮等級保護的時候，我們所考慮的范疇是不一樣的，這是不同的交付模式，它的安全要求是不一樣的。

第二、從用戶側看云的構建模式，私有圓以后肯定是越來越大的發展，尤其一些大的行業用戶，政府的中央系統，可能私有云又是非常重要的一塊，還有建設是我自己建設，可能云我交付出去。還有在公有云里面可以劃分出一些虛擬的私有云，這也是不同的架構模式會決定云安全的考慮。我們真正在做一個云計算的等級保護的時候，一方面是站在云服務廠商的角度，他所提供的這些字眼要符合要求，另一方面站在用戶的角度來看，用戶你所負責的這段，你要符合這個等級保護的要求，這樣整體才能達到這樣一個要求。

關于云計算等級保護提的很早，基本上是一個安全制度，云計算是一個新興的業務，云計算對等級保護的影響，有這么幾點。首先，從安全角度，第一個是可信，我們也包括自己做安全做很多年，我們一直在考慮，沒有絕對的安全，只有相對的可信，或者只有相對的信任，如果你不相信，這個安全沒什么可談了，就是對于安全它的運營能力，它所符合的要求，首先是基本的可信，在可信之上才談到可控，我所有放在云里的這些數據，業務，能否進行有效的控制，或者能否進行有效的格力，才談到可控。在可控之上才談到客觀，不管PaaS，或者SaaS模式下，不同用戶都有管理的一些需求。所以，在前面兩個需求之上，再談到可管的要素。這就是我們看到云計算，第一個考慮到三個層面，可信、可控，第三步談到日常所說的可管。

關于云計算的框架模型圖就不做詳細的說明了，我們這個圖也沒有說和云計算安全運營體系很類似，談到了從用戶的終端到管道，通信網絡，包括云端整體的一個安全性，拋開任何一個環節，它都是不完備的，這也是整個云計算的體系架構。對于云計算的等保度，我們具體落實是從建設的角度進行等保的一個復合性的推進，前兩年和技術實施同要求的角度，具體是從建設的角度進行相關的推進。

我們簡單總結了一下云計算的安全威脅，今天這個會議就不展開說了。其實云計算我們認為安全上有兩個最重要的點，一個是虛擬化的安全，另一個是用戶數據的安全，這也是我們考慮等保的時候兩個關鍵的技術點。這是關于等保基本要求里面的框架圖，技術和管理，我剛才談到了，兩個觀點一個是虛擬化，一個是用戶的數據。

那么，下面主要是等保自己要求里面的一些標準的要求項，我們認為在原來的要求上還需要加入的一些東西，為了面對云計算虛擬化的一些特點，比如在網絡安全，從邊界，訪問控制，審計等等，這是春秋里面有這樣的安全要求。在云計算的環境下，我們很多的邊界不是物理邊界，而是虛擬邊界，或者邏輯邊界，它的邊界在增多，我們有可能識別一個云計算系統不同的邊界，包括用戶之間的邊界。同時，在云計算環境下，同一個物理設備里面，可能會存在很多的虛擬邊界。所以，在這個里面，在虛擬化的方式下，不同的虛擬邊界我們應該怎么考慮它邊界的一個隔離，這是很重要的在網絡安全里面的一個問題。最右邊是關于虛擬化和實體差異化的一個例子。

那么，在網絡之上是主機安全，主機安全里這個也是服務器虛擬化里最重要的一塊，我們也是總結了在傳統環境的控制下，以及在虛擬化的控制下這兩個之間的不同。簡單的來說，我們現在一個服務器可能放了很多虛擬機，而且這個虛擬機可能是不同的用戶來使用，或者有不同的應用有不同的用戶來訪問，這對原來的安全隔離會帶來很大的挑戰，這是在主機層面。主機層面之上還有應用，云服務商，如果提供SaaS服務，它所提供的應用的安全性，只有權聲明周期的安全建設才能有效的保證它的安全風險的規避，這是在應用層面的安全。在應用層面就是用戶數據的全面安全，我放在一個用戶數據的安全，再一個就是采用虛擬化方式后，你虛擬系統的管理數據等等，這些數據要做一個及時的備份，或者及時的一個恢復的測試，這也是在數據安全備份恢復這一塊我們所考慮的在云計算環境下它的特殊的要求。

剛才主要是針對等保標準的合規，我們看到在云計算這種特殊的環境下，我們應該考慮的一個技術的點。

下面主要介紹一下整個等級保護的一些思路。這個圖是非常實際的網絡圖，等保里面，就是用戶的終端，包括云存儲，云加密，包括虛擬化的安全防護的一個措施，就是虛擬化邊界的一個安全防護措施，這是一個整體的技術落地的一個圖，所以，針對這個圖的兩個重要的塊，一個是虛擬化的安全，第二個是數據的安全。

關于虛擬化的安全，目前業內主要的解決措施是通過虛擬化的安全網關，對虛機之間的流量的訪問控制和安全審計做出安全措施。就是原來在防護措施，通過流量牽引的方式，或者說通過借口的方式做這種訪問控制，這是一種接入手段，就是虛擬化邊界的防護。對數據的防護，主要是在云端，包括數據的加密，有些可能是用戶自己拿到了這些相關的密鑰，就是云服務商看不到他相關的數據，包括在云存儲也加密，在云端存儲的加密，防止數據的泄露。這是虛擬化和數據的安全。

最后一個小點，就是終端的安全，這個不展開介紹，就是我們常說的桌面云，就是在云端的桌面云的安全，它是一個輕量的桌面云，會非常符合我們對云計算中心的防護，這個桌面云也是通過虛擬化的方式，根據等保的要求，進行相關的防護隔離，進行相關的外設控制，在終端這一塊達到等保的相關的要求。這也是我們等保的老的合規性的一個要求，或者基本的政策，云計算新時代下的一個結合，也是希望能為提供云計算服務的廠商做出一些貢獻，謝謝大家!