《云計算安全與可信計算論壇》在資深安全專家，煉石網絡CipherGateway CEO白小勇的主持下正式開啟。這是一場令觀眾大飽耳福的分享會議。其中不僅有深刻的“企業私有云安全防護實踐與探索”，還有“構建可信賴的云計算平臺”、“360云計算的安全與大數據應用”、“面向未來的自適應安全架構”、“基于云安全方案解決中小企業安全痛點”、“可信，源自中國電信”、“云計算2.0時代的網絡空間安全”和“端到端可信云解決方案”等多維度的深入探索。

　　黃晟：私有云防護實踐與探索

首先分享的是北京中油瑞飛信息技術有限公司信息安全高級技術總監黃晟。在《企業私有云安全防護實踐與探索》主題演講中，黃晟深入分享了包含威脅分析、防護探討、落地實踐、思考與展望等一系列中國石油私有云安全建設的內容。

　　北京中油瑞飛信息技術有限公司信息安全高級技術總監 黃晟

在他看來：私有云安全設計有兩個原則，一是縱深防御，二是“Design for Failure”防護理念。事實上，CSA和NIST都提出了較為完備的云安全框架，但是在如何實際的云計算環境中全面落實，一直是信息安全從業人員在云計算時代面對的挑戰。是“老革命遇到的新問題，我們要做的是如何來解決。”

比如，在基礎設施層面，要注意三個方面：

可控范圍：作為企業信息安全人員，“管”不到公有云的安全防護機制;

發展趨勢：大中型企業逐步接納私有云作為新的IT基礎設施(WalMart、PayPal等);

應用模式：現有企業信息系統對基礎設施的使用模式，決定了現階段企業私有云將會采用IaaS為主、PaaS為輔的模式。

而從不同角度能看到安全的不同層面。如果從私有云安全規劃角度看，有四階段需要注意：

邊界防護：私有云安全防護的底線;

基礎防護：與私有云建設過程中同步開展的階段;

增強防護：隨著云安全技術逐漸成熟，增強完善云安全服務;

云化防護：面向SaaS等更復雜的云計算模式，引入云安全訪問代理等新技術，結合業務實現防護。

他還分享了分層控制體系要點、私有云基礎防護體系3D模型等諸多技術細節。最終目標是“通過在工程化建設私有云的過程中實施基礎安全防護措施，綜合采用現有成熟的安全防護手段，面向主流的私有云技術體系，有效應對面向云計算平臺底層的主要云安全威脅，為私有云平臺的租戶系統實現不低于傳統物理機模式的安全保障”。

對未來，黃晟認為：基于SDN技術構建“流網絡層”，提升“東西向”的隔離顆粒度與強度，以及加強云內流量監控;操作系統加固技術在私有云底層平臺的應用，特別是通過安全手段固話底層行為;面向業務操作與業務數據的云安全代理機制等，都將是重點考慮的方向和手段。

陳愷：構建可信賴的云計算平臺

微軟公司可信賴計算部安全技術政策總監陳愷在題為《構建可信賴的云計算平臺》的演講中，特別提到IT技術，如移動、應用、大數據、云計算等發展帶來了安全方面的巨大挑戰和機遇。尤其在信任方面，“如何保護數據，誰能訪問數據，數據在哪里，如何證明你所承諾的”一直是用戶所關注的。為此，微軟提供了可信(核心安全、隱私保護、合規及可靠性承諾)，開放和靈活(跨平臺一致體驗、隨時隨地處理所有數據、可擴展的應用開發、靈活的基礎設施)的安全服務。

　　微軟公司可信賴計算部安全技術政策總監 陳愷

正如在Azure平臺上，企業可以自由選擇Linux系統一樣。微軟在網絡安全方面的承諾是：開發、提供安全的產品和服務;保護客戶的數據安全及隱私性;協助客戶及合作伙伴保護他們的資產;協助打擊網絡犯罪。技術方面，微軟在數據加密方面，會通過“客戶與業務之間傳輸的數據，數據中心之間傳輸的數據，存儲的數據，用戶之間端到端的數據保護”來實現全面保護。

微軟可信云是建立在微軟運營大規模云服務的經驗基礎上，已經通過了運營安全保障(OSA)和極多的安全認證。

信息安全標準：ISO 27001(中國)，SOC 1 Type 2，SOC 2 Type 2;

國家認證：美國FedRAMP/FISMA;美國CJIS;英國G-Cloud;澳大利亞IRAP;新加坡 MCTS;中國可信云認證;

產業認證：PCI DSS Level，HIPAA/HITECH，Life Sciences GxP。

微軟在安全方面有全套的安全保障體系，并已經通過微軟可信云(Azure)落地中國。

張曉兵：云安全技術架構分享

2014年國內新增惡意樣本3.2億、釣魚網站262萬、Android病毒326萬，65.5%網站存在漏洞，互聯網公司公開的安全事故已導致11.3億用戶信息泄露。2015年，網易大面積服務器癱瘓，支付寶光纜事故，攜程網出現業務故障，藝龍網遭受DDOS攻擊等事件，帶來的影響更加深遠。不止如此，隨著公有云的發展，安全防護的重要性更加明顯。比如：qemu kvm CVE‐2015‐3456：5月，潛伏了11年名為“毒液(VENOM)”的高危漏洞被發現，利用此漏洞的攻擊者可以在有問題的虛擬機中進行逃逸,并且可以在宿主機中獲得代碼執行的權限。一旦云平臺遭受攻擊，將影響更多企業。

　　360云事業部產品總監 張曉兵

在360云事業部產品總監張曉兵看來，隨著互聯網+的持續深入，2015年安全情況面臨著更大的挑戰。為此，360提出了“數據驅動安全”理念，落地產品是QVM人工智能引擎。其基于海量數據挖掘、引入機器智能學習算法，準確識別未知惡意軟件，是人工智能技術在計算機安全領域中的一次大規模商業應用。

流程上來看，基準樣本平臺，數據挖掘，建模，自動測試校驗，人工例外處理，反饋，形成閉環。其特征函數推演上億統計樣本，上千萬學習樣本，上百億推演樣本，1秒云鑒定。

對于幾乎所有企業都關注的：“誰在攻擊你?為什么攻擊?什么時候攻擊的?怎么攻擊?攻擊是否成功?損失了什么?有關聯攻擊么?還攻擊了誰?”360還通過大數據關聯技術，以多種圖形展現的方式，幫助安全專家對未知威脅進行分析、發現、回溯、跟蹤及預警。此外，更提供多租戶隔離、集群與公司業務隔離、高防DNS服務、具有五網分發能力的安全CDN服務、防DDoS攻擊等構建安全云環境，以及自主研發的鷹眼系統，進行實時掃描防護。

360所提供的提供安全的云平臺采用了開放式云架構。能夠提供如下服務：

多租戶隔離：每個租戶的云主機在一個隔離的區域中，不同租戶之間無法訪問，防止相互攻擊，降低安全風險;

業務隔離：集群與公司業務隔離，業務網與管控網分離(租戶網絡與管理網絡分離);

高防DNS服務，防護DNS型的攻擊;

五網分發能力的安全CDN服務，如解決全國運營時的同步訪問問題;

安全掃描服務，定期對所有云主機進行安全掃描，及時發現安全漏洞

防DDoS攻擊，自動化抵御SYNFLOOD、UDPFLOOD等常見攻擊，有效保障用戶業務的正常運作。

在如今火熱的Docker容器化安全策略方面，360也可以通過鷹眼系統、層疊式安全機制、文件系統級隔離、細顆粒度安全防護等來實現。

張福：面向未來的自適應安全架構

作為國內最早的一批黑客之一，并在九城、盛大、51.Com、昆侖萬維負責多年核心業務研發工作，積累了豐富的一線安全處理經驗，如今創業的青藤云安全創始人&CEO張福對安全的理解很深刻。在題為《面向未來的自適應安全架構》的演講中，他先是分享了一個真實的企業安全故事：知名游戲遭到黑客攻擊，最終7人聯合小組用了2個月的時間通過各類技術手段才發現10%服務器被感染。他認為：安全環境非常嚴峻，安全已遠遠落后云計算的發展，無力應對業務需求劇烈變化，更無力面對專業攻擊者，企業安全陷入困境。所以企業更加需要：適用于各種基礎架構、易于部署、快速響應、容易使用、實時發現未知威脅、持續監控包含、保護核心資產、人員依賴低的云安全服務。所以，安全發展將會想以下三種方向來變化：基于硬件的安全產品空間會更小，基于軟件架構的云形態安全產品會發展更快;邊界安全策略會變為從內而外的安全體系;應急響應變化到持續響應。

　　青藤云安全創始人&CEO 張福

具體來看，就是：

互聯網企業安全應該基于業務構建自內而外的安全體系而不是基于邊界防護。企業安全體系的核心是對業務系統級的行為識別分析和持續監控。

互聯網企業安全應該擺脫對基礎設施的綁定，在業務擴張變化時能夠做到靈活快速的部署調整，并保持安全策略的一致性。

互聯網企業安全操作應該拋棄繁瑣的命令，做到高度自動化和智能化，提供安全運人員高度可視化的管理操作界面，從而避免失誤操作，提升效率。

這也是青藤云安全構建的自適應安全平臺的根本。他認為：自適應安全的創新之處在于，首次將視角轉移到防火墻之后的業務系統內部，強調基于業務自內而外構建安全體系，安全防護變成一項持續響應和處理過程。 更重要的是安全監控和實施直接運作于每個業務單元而不是依賴于基礎設施或硬件，賦予企業更細粒度和更豐富的持續監控和行為分析能力，企業安全運維人員可以清楚掌控內部系統異常運作和外部攻擊行為，真正做到對多形態攻擊甚至高級攻擊的快速響應恢復，同時自適應任何基礎設施和業務變化。

目前，國際一流安全廠商如FireEye都在加強產品的自適應化，以自適應為核心的初創公司illumio在成立的短短兩年內就估值獲得多輪融資超過1億美元，并受到美國科技界眾多大佬如微軟董事長JohnThompson、雅虎創始人楊致遠、Salesforce創始人Marc Benioff的青睞，以及知名風投A16Z、Formation 8 和 General Catalyst Partners的追捧。這也正是青藤云未來的發展方向。

陳奮：基于云安全方案解決中小企業安全痛點

戰斗在網絡攻防第一線，并在安全領域擁有3項個人發明專利的安全狗CEO陳奮帶來了他對云安全的深刻認識。在題為《用云服務模式解決中小企業安全痛點》的演講中，他表示：“安全狗一直是公有云的SaaS安全服務，現在服務超過50萬家中小企業，保護全國超過100萬臺服務器。多年積累下來，我們感覺中小企業面臨的配置風險、外部攻擊嚴重等非常嚴峻。”

　　安全狗CEO 陳奮

相關中小企業調研情況顯示：

80%左右的企業有自己的IT技術人員或運維人員;

95%的中小企業沒有專門的安全團隊;

這里面90%的IT技術人員或運維人員不太懂得安全相關的知識或實踐;

這里面60%的IT技術人員或運維人員知道安全的重要性。

而在安全層面，更加嚴峻：

90%的中小企業缺乏系統化的安全規劃;

在安全方面的投入與整體IT投入占比不到3%(國外接近15%);

受到外部的安全攻擊遠大于內部的安全規范;

受到攻擊后往往沒太重視，從而釀成更加嚴重的后果。

面臨如此的安全現狀，陳奮認為：中小企業完全可以通過服務的方式來進行安全防護。比如借力云計算體系，采用SaaS服務模式，通過AMI+SaaS結合的服務模式等。不僅計費方式靈活，而且隨開隨用，更加便捷。

在亞馬遜AWS下的Marketplace中，超過200款安全產品及解決方案，提供AMI(Amazon Machine Image)、SaaS服務、AMI + SaaS等3種服務模式，基于HOST、基于VPC網絡等2種保護方式提供安全服務。

阿里云有20款左右的安全產品，提供手動下載安裝包進行安裝部署和鏡像模板等2種服務模式，基于HOST的1種保護方式提供安全服務。

安全狗都在其中提供了系統的安全服務。而根據系統安全基線、網絡安全防護、系統安全保護(防黑防入侵)、身份認證、跨混合云以及多個公有云管理等幾種典型的云安全服務場景，安全狗還分別提出了幾種解決方案，包括：制作安全的鏡像模板、安全產商提供的鏡像模板、安全社區的力量-Store模式、云計算廠商網絡基礎設施、基于主機HOST層面、基于VPC(虛擬私有云)等。

不止如此，在安全狗日均攔截超過 20,000,000次攻擊的基礎上，如用Storm進行日志實時處理，通過Hadoop存儲集群實現對攻擊數據、進程數據、日志數據、資源數據進行持久化存儲的離線分析。對攻擊進行大數據分析，實現更好的安全防護。

鄭少斌：可信，源自中國電信

中國電信股份有限公司云計算分公司產品部副總經理鄭少斌在題為《可信，源自中國電信》的演講中著重分享了中國電信在安全方面的實踐。

　　中國電信股份有限公司云計算分公司產品部副總經理 鄭少斌

中國電信擁有15個五星級及90個四星級數據中心，已形成“4+2”云數據中心，更多建設中的云數據中心;計算能力百萬物理核;存儲可達EB級別;機房出口帶寬超過10TB。無論是黨政軍、大型企業、中小企業還是內部使用，企業對安全有著極高的安全要求。

中國電信將其分為：基礎物理安全層面，通過訪問控制，背景審查和安全培訓來保證;邏輯安全層面，保證網絡層、計算層、存儲層、管理層的安全;安全增值服務，虛擬防火墻，支持第三方安全設備接入，安全的連接;安全管控保障，生命周期管理和變更管理來實現。

具體來看：

等保云資源池：中國電信云數據中心;

云服務平臺等保：提供云主機服務的底層平臺，含服務器、網絡、虛擬化等;

云操作系統等保：天翼云操作系統，統一管理云化資源池。

中國電信自主研發的云安全管理系統已經獲得EAL3信息技術安全測評證書，通過ISO27001安全認證。中國電信能夠從可管、可控、可信等方面提供從安全管理體系、技術體系及安全運營全面保障安全。而針對個性化需求，還將設定不同安全方案。

李雨航：云計算2.0時代的網絡空間安全

CSA大中華主席、華為首席網絡安全專家李雨航發表《云計算2.0時代的網絡空間安全》主題演講。云計算是時代的變遷，已經從第一代(2005-2015年)：傳統數據中心, 虛擬機，Hadoop，傳統網絡，PC/智能手機終端等過渡到第二代(2015-2025年)綠色數據中心, 容器，Spark，SDN，NFV，IoT設備等。而安全也隨之發生很大變化：威脅更多，攻擊面更大，目標價值更高，更多安全問題。

　　CSA大中華主席、華為首席網絡安全專家 李雨航

云安全是網絡安全(Cyber Security)的子集。伴隨云計算發展，云計算客戶(包括政府，企業，消費者用戶)關注的問題，如保護政府信息主權，企業數字產權，個人隱私權，提高安全保障能力，自主掌控業務數據，以及對應新技術帶來的安全挑戰，都需要各個維度的合作。

從網絡安全頂層框架層面來看，包括國際戰略、國家法律、行業標準、管理流程、技術工具、人才培育六大維度，各維度都需要國際、跨界、跨機構、跨部門合作。為此，針對云計算中的軟件定義邊界、量子安全、物聯網安全以及移動應用安全漏洞檢測，云安全聯盟分別推出CSA SDP、CSA Quantum Safe、IoT Security Controls和CSA MAST服務。

他還透露，即將正式對外發布的華為公有云已經獲得CSA STAR認證。

張煥國和李彥：端到端可信云解決方案

武漢大學計算機學院教授，博士生導師張煥國和中國電子學會云計算專委會委員，英特爾中國研發中心數據中心企業部首席系統軟件構架師李彥共同分享了一個主題《端到端可信云解決方案》。重點介紹了中國可信計算取得成績，以及英特爾可信執行技術(TXT)、可信計算池 (TCP)、開源遠程認證 (OAT)是如何幫助更多企業實現安全和身份保護的。

　　武漢大學計算機學院教授，博士生導師 張煥國

張煥國表示：云計算也存在如設備、數據、內容和行文的共性安全，也有如資源的共享所引發的個性安全。目前可信計算已經取得了系列規范、產業化等成績，如公布了3個可信計算技術標準;TCG公布了TPM2.0和TSS2.0新規范，并將陸續發布其它規范;微軟發布了WIN-8，全面支持可信計算等。“我們認為從2013年開始的一段時期內，將形成可信計算的一個小高潮。這一小高潮階段，以擴展可信計算的應用為主要特征。”

具體來看：基于可信計算構建端到端可信云計算：

使云系統更加可信，可信≈可靠+安全;

基于可信計算構建可信云服務器→可信云基礎設施;

基于可信基礎軟件構建可信云平臺→可信云平臺;

基于可信計算構建可信云終端→可信云終端;

基于TNC構建云服務器與終端的可信連接→可信云系統;

基于可信云平臺與密碼提供云數據安全存儲→可信云服務;

基于可信云平臺與可信軟件提供云安全軟件服務→可信云服務。

　　英特爾中國研發中心數據中心企業部首席系統軟件構架師 李彥

李彥表示：“英特爾安全事業部提供更多幫助用戶解決安全問題的方案。英特爾可信執行技術(TXT)、可信計算池 (TCP)、開源遠程認證 (OAT)是如何幫助更多企業實現安全和身份保護。”

對于業內所關注的中國可信云計算社區建設，張煥國表示：自從2012年6月，武漢大學、英特爾、國民技術、華為、中標軟件、百敖、道里云，發起成立中國可信云計算社區(China TC Community, CTCC)以來，得到熱烈響應。

2013，完成了可信云服務器的開發;

2014，開發可信云終端和可信網絡連接;

2015，開發端到端可信云典型應用。

現在有微軟公司，人民大學，復旦大學，四川大學，華南師范大學，長城電腦公司，浪潮，北京工業大學，因特信安，江南計算所等都已加入。

在研發方面，2012年，中國生產出世界上第一款TPM2.0芯片;2013年，中標軟件的麒麟操作系統支持可信云計算;華為可信FusionCloud解決方案等。2015年，還將開發更多可信云典型應用。