--中國移動研究院信息安全研究所副所長楊光華

近日，由長風開放標準平臺軟件聯盟主辦、中國科學院軟件研究所協辦的2011云計算安全技術國際研討會，在京召開。會上來自行業內的專家、學者、用戶等就云計算安全等話題進行了討論。

以下是來自中國移動研究院信息安全研究所副所長楊光華精彩發言

我講的主題是云安全服務，即利用云的方式提供安全服務。

中國移動的云計算基于三種模型，提供兩種業務模式。一種是內部應用，即私有云，將所有的支撐系統都放在內部云上。第二種是第三方服務，移動在內蒙古準備建一個萬級數量服務器的云計算中心，提供公眾云服務，在南方基地也有一個，主要給中小開放商提供云服務。

第一，云平臺提供的基礎服務設施，成本低，可以在高效的平臺上降低人力資本。第二，高性能。第三，資源共享。第四，按需服務，按需服務需要我們理解怎樣利用云計算提供彈性計算，進而提供一種安全服務。第五，提供創新來源，通過SaaS提供安全服務，建設業務創新。

中國移動的大云是用各種技術平臺搭建的，當然也不排除用第三方公司提供的云計算平臺。大云系統在中國移動的很多應用中已經得到了應用，例如應用最多的是其中一個數據挖掘系統，中國移動有六億多用戶，如此多的消費行為需要用云計算平臺最典型的高性能計算能力做數據挖掘和存儲。

云安全服務從三個層面講。運營商希望在云端有所作為，安全服務主要集中于智能終端的安全服務以及網絡接入的各種安全探征，保證管道是干凈的。中國移動有大量的政企客戶，大概500多萬個對外節點(公有IP), 500萬個節點的安全態勢，用一套工具很難完成,希望用云平臺實現此安全態勢感知。

可管理的安全服務一年有二三十億美金的市場量值，基于IDC的這些服務，可以把安全進行集中提供，把安全保障轉化為第三方服務提供給用戶。中國移動不管是流量檢測平臺，還是惡意代碼檢測等類似于運營商大規模的網絡安全監測都建立了很多專業子系統，此檢測系統做好的話能夠給用戶提供安全服務。

目前我們進行的嘗試還有利用云平臺的虛擬化的基礎設施SaaS，將漏洞掃描與此結合，把安全評估服務能夠更大范圍的提供給各種用戶。

云清洗是相對于流量清洗服務的概念。中國移動通過云清洗的概念，希望把需要做安全檢測的流量，通過一些標記和流量重新分配的技術，把需要清洗的服務調度到流量檢測的平臺上。這個能夠達到分層清洗，通過不同階段提升全網的清洗能力

智能終端的云安全服務，也是利用了云的能力。現在有一些手機軟件把代碼檢測考慮放到云端處理，是一個將終端應用在云端的發展方向，移動希望手機殺毒軟件在云端處理后鋪設到終端，終端只需要存儲一些標識即可。

以上服務涉及到八種關鍵技術。第一是統一樣本的分析中心，怎樣去把全網的設備采集到的信息(包括是惡意信息)做分析,第二是全網的虛擬化安全設備，第三是相當于云清洗的電信級流量按需索引，第四是多設備間的風險關聯和聯動，這個是基于安全的態勢感知，在這些漏洞之間的風險怎么做關聯分析課題。 第五，異常連接發現模型研究，黑名單里面有很多惡意攻擊簽名，我們希望可以建立正常的業務行為基線即白名單模式，這樣可以減少原來的IDS所謂的聯合攻擊檢測不到攻擊以及誤報的一些問題。第六是掃描任務的資源調度分配算法研究。第七是云計算安全服務整體技術路線研究，這個主要是重大專項和國家標準制定的項目。

關鍵問題：第一，我們所謂的云計算安全服務，大家是不是認可的?尤其是在中國，服務的運營模式大家是不是認可?我們希望自己完全掌握一套體系，不希望讓人遠程能夠看到。這個模式最好的切入點就是IDC，只要設備在IDC里面，這個安全服務一定會實現。第二，需要科研院所、設備廠商以及運營商聯合研究的一些關鍵技術。