近日，作為亞太地區(qū)信息安全領(lǐng)域最大規(guī)模、最專業(yè)的年度會議，2015年中國互聯(lián)網(wǎng)安全大會(ISC)在北京國家會議中心召開。浪潮邀參加本屆盛會，與參會嘉賓一道，就當(dāng)今云數(shù)據(jù)中心安全防護(hù)遇到的挑戰(zhàn)及發(fā)展進(jìn)行了深度探討。其中浪潮在業(yè)內(nèi)首次提出了“云數(shù)據(jù)中心主動免疫”的觀點，更成為了云安全創(chuàng)新思路對碰的焦點。

作為“企業(yè)云安全實踐論壇”的重要嘉賓，浪潮信息安全事業(yè)部副總經(jīng)理蔡一兵博士在以《可信計算池技術(shù) - - 構(gòu)建浪潮云計算安全基石》為主題的演講中首次提到了“白+黑”的云數(shù)據(jù)中心安全策略。他表示：“云數(shù)據(jù)中心聚集了海量的應(yīng)用資源、數(shù)據(jù)資源、存儲資源和計算資源，面臨云服務(wù)癱瘓和大數(shù)據(jù)泄露的重大風(fēng)險，云數(shù)據(jù)中心已成為網(wǎng)絡(luò)空間戰(zhàn)略防御目標(biāo)。下一代云數(shù)據(jù)中心基礎(chǔ)架構(gòu)，將在硬件重構(gòu)和軟件定義的基礎(chǔ)上，利用可信計算技術(shù)形成‘主動免疫’能力，進(jìn)而構(gòu)建云計算安全基石，已成為云計算安全的重要發(fā)展方向。

國家高度重視云的安全性 浪潮“白+黑”策略首次曝光

當(dāng)前，以移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等為代表的新技術(shù)蓬勃發(fā)展，為整個社會和經(jīng)濟(jì)的發(fā)展注入了強(qiáng)勁動力，而云計算和大數(shù)據(jù)技術(shù)及產(chǎn)業(yè)發(fā)展更受到國家高度重視。國務(wù)院于今年1月出臺了《關(guān)于促進(jìn)云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》，明確提出“增強(qiáng)云計算服務(wù)能力、提升云計算自主創(chuàng)新能力、探索電子政務(wù)云計算發(fā)展新模式、加強(qiáng)大數(shù)據(jù)開發(fā)與利用、統(tǒng)籌布局云計算基礎(chǔ)設(shè)施、提升安全保障能力”等六項任務(wù);8月，《中華人民共和國網(wǎng)絡(luò)安全法(草案)》出臺，多個條款涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障;9月，最新頒布的《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》中再次提及“健全大數(shù)據(jù)安全保障體系，強(qiáng)化安全支撐。”等三項任務(wù)。

針對云安全，國際互聯(lián)網(wǎng)信息辦公室張恒做了題為云計算服務(wù)網(wǎng)絡(luò)安全管理模式探索的主題演講，他表示：“在互聯(lián)網(wǎng)+行動計劃的推動下，云計算已經(jīng)成為建設(shè)網(wǎng)絡(luò)強(qiáng)國的重要因素，成為構(gòu)建服務(wù)型政府的創(chuàng)新舉措。同時政府是使用云計算面臨著和廣大云使用者相同的，面臨管理挑戰(zhàn)和安全挑戰(zhàn)問題。政府部門從政策標(biāo)準(zhǔn)到實施，統(tǒng)籌加強(qiáng)政府云服務(wù)網(wǎng)絡(luò)安全管理。制訂了相關(guān)標(biāo)準(zhǔn)，明確了6個不變，即安全管理責(zé)任不變，資源所有權(quán)不變，司法管轄關(guān)系不變，安全管理水平不變，堅持先審后用不變的原則。并對黨政部門云計算服務(wù)網(wǎng)絡(luò)安全進(jìn)行統(tǒng)一審查，降低云計算安全風(fēng)險，增強(qiáng)政府實用云計算的信心。政府也非常歡迎企業(yè)為網(wǎng)絡(luò)管理貢獻(xiàn)力量。”

而在全面介紹“可信計算池技術(shù)”之前，蔡一兵博士同樣強(qiáng)調(diào)了云數(shù)據(jù)中心所面臨的風(fēng)險，他表示：“數(shù)據(jù)中心‘云化’進(jìn)程在國內(nèi)越來越熱，但由于云數(shù)據(jù)中心宕機(jī)事件、數(shù)據(jù)泄漏事件此起彼伏，這些已經(jīng)影響到了用戶遷移到云端的信心。云計算基礎(chǔ)架構(gòu)的演進(jìn)帶來了多項安全挑戰(zhàn)，在基于新技術(shù)進(jìn)行架構(gòu)變革中，用戶單機(jī)環(huán)境下的傳統(tǒng)安全技術(shù)已無法適用于云端，必須要基于新安全理念進(jìn)行云端防御。因此，在云數(shù)據(jù)中心已經(jīng)成為網(wǎng)絡(luò)空間戰(zhàn)略攻防目標(biāo)的情況下，下一代數(shù)據(jù)中心融合架構(gòu)將包含‘硬件重構(gòu)+軟件定義+主動免疫’這三個關(guān)鍵要素，安全免疫將高度融合到系統(tǒng)架構(gòu)中。”

在演講中，蔡一兵博士闡述了“白+黑”的安全策略，這不僅是浪潮針對云數(shù)據(jù)中心的安全策略重大創(chuàng)新，也是業(yè)內(nèi)首次對云基礎(chǔ)架構(gòu)安全策略有效性的全面整理。他指出：“白安全策略主要是面向合法者，通過‘完整性度量+最小權(quán)限+白名單’等安全機(jī)制或技術(shù)，來識別并控制有限的合法者集合;而黑安全策略則面向的非法者，識別并控制有限的已知攻擊集合。對于云數(shù)據(jù)中心來說，兩者各有優(yōu)劣：白安全策略難以解決合法者的非法行為的問題，黑安全策略難以解決非法者未知攻擊的問題。所以要實現(xiàn)主動免疫，“白+黑”兩種安全策略要緊密結(jié)合，不能割裂來看。“白+黑”關(guān)系，就如同中國太極圖。白是基礎(chǔ)，要從底層硬件開始，只有這樣才能有效抵御硬件層面的非法控制和更高級的、有組織的APT攻擊。”

三層信任鏈構(gòu)建可信計算池，“主動免疫”能量巨大

就如蔡一兵講到的，“免疫”一詞的說法來自云安全安全策略中普遍使用的“白名單”技術(shù)。而浪潮通過不斷創(chuàng)新將其與主機(jī)硬件和虛擬技術(shù)進(jìn)行了再次融合，以可信芯片為根，從系統(tǒng)加電開始，逐層向上提供完整性保護(hù)，構(gòu)建操作系統(tǒng)、VMM、Guest OS和頂層應(yīng)用的軟硬一體化信任鏈，為云數(shù)據(jù)中心提供了從“被動”到“主動”轉(zhuǎn)變的防御能力。

“近幾年，中國的可信計算產(chǎn)業(yè)蓬勃發(fā)展，從技術(shù)標(biāo)準(zhǔn)到產(chǎn)業(yè)生態(tài)環(huán)境等一系列條件都已基本具備，而現(xiàn)在正是將其規(guī)模化的良好時機(jī)。”，蔡一兵博士表示，“從單機(jī)可信到計算池可信，是浪潮近幾年主攻的技術(shù)方向。計算池可信技術(shù)，縱向要解決覆蓋服務(wù)器硬件、虛擬化、Guest OS三層的虛擬主機(jī)信任鏈構(gòu)建問題，橫向要適應(yīng)虛擬主機(jī)遷移過程信任度量和動態(tài)管理問題，整體上還要適應(yīng)大規(guī)模、彈性擴(kuò)展、管理自動化的云計算管理要求。”

軟硬件一體化解決方案 展現(xiàn)浪潮信息安全實力

本屆大會設(shè)立了百余場的專業(yè)演講，信息安全界的“大佬們”不但深入探討全球信息安全最新發(fā)展趨勢，更借助這個平臺分享了最前沿安全技術(shù)研究成果及最佳實踐。

作為中國主機(jī)安全的第一品牌，浪潮在本屆盛會上全面展示了云主機(jī)安全可信解決方案V2.0。浪潮軟硬件一體化云主機(jī)安全整體解決方案由可信計算池解決方案和云主機(jī)安全解決方案構(gòu)成，覆蓋了云數(shù)據(jù)中心IaaS層的服務(wù)器硬件、虛擬化軟件及操作系統(tǒng)等部分。可信計算池解決方案主要面向云服務(wù)商IaaS層計算安全，由浪潮可信服務(wù)器、計算池可信管控軟件、浪潮服務(wù)器虛擬化軟件組成，能夠按照云租戶的需求，提供具有可信免疫能力的虛擬可信服務(wù)器。云主機(jī)安全解決方案主要面向云租戶Guest OS安全，由適用于私有云和行業(yè)云的大中型企業(yè)及政府客戶，國內(nèi)主機(jī)安全市場占有率第一的浪潮主機(jī)安全增強(qiáng)系統(tǒng)SSR產(chǎn)品，以及適應(yīng)于公有云小微企業(yè)，全免費的“云戟”網(wǎng)站安全服務(wù)組成。

此外，會上蔡一兵博士還就浪潮可信服務(wù)器在安天公司的追影威脅分析系統(tǒng)、洛陽銀行的關(guān)鍵業(yè)務(wù)底層平臺可信遷移的成功應(yīng)用，以及在警務(wù)云計算軟硬件一體化安全保障應(yīng)用等典型案例做了介紹。其豐富的內(nèi)容和頗具創(chuàng)新的觀點給與會嘉賓留下了深刻印象，使“企業(yè)云安全實踐論壇”成為關(guān)注的焦點。