近日，作為亞太地區信息安全領域最大規模、最專業的年度會議，2015年中國互聯網安全大會(ISC)在北京國家會議中心召開。浪潮邀參加本屆盛會，與參會嘉賓一道，就當今云數據中心安全防護遇到的挑戰及發展進行了深度探討。其中浪潮在業內首次提出了“云數據中心主動免疫”的觀點，更成為了云安全創新思路對碰的焦點。

作為“企業云安全實踐論壇”的重要嘉賓，浪潮信息安全事業部副總經理蔡一兵博士在以《可信計算池技術 - -構建浪潮云計算安全基石》為主題的演講中首次提到了“白+黑”的云數據中心安全策略。他表示：“云數據中心聚集了海量的應用資源、數據資源、存儲資源和計算資源，面臨云服務癱瘓和大數據泄露的重大風險，云數據中心已成為網絡空間戰略防御目標。下一代云數據中心基礎架構，將在硬件重構和軟件定義的基礎上，利用可信計算技術形成‘主動免疫’能力，進而構建云計算安全基石，已成為云計算安全的重要發展方向。

國家高度重視云的安全性 浪潮“白+黑”策略首次曝光

當前，以移動互聯網、物聯網、云計算、大數據等為代表的新技術蓬勃發展，為整個社會和經濟的發展注入了強勁動力，而云計算和大數據技術及產業發展更受到國家高度重視。國務院于今年1月出臺了《關于促進云計算創新發展培育信息產業新業態的意見》，明確提出“增強云計算服務能力、提升云計算自主創新能力、探索電子政務云計算發展新模式、加強大數據開發與利用、統籌布局云計算基礎設施、提升安全保障能力”等六項任務;8月，《中華人民共和國網絡安全法(草案)》出臺，多個條款涉及關鍵信息基礎設施的安全保障;9月，最新頒布的《促進大數據發展行動綱要》中再次提及“健全大數據安全保障體系，強化安全支撐。”等三項任務。

針對云安全，國際互聯網信息辦公室張恒做了題為云計算服務網絡安全管理模式探索的主題演講，他表示：“在互聯網+行動計劃的推動下，云計算已經成為建設網絡強國的重要因素，成為構建服務型政府的創新舉措。同時政府是使用云計算面臨著和廣大云使用者相同的，面臨管理挑戰和安全挑戰問題。政府部門從政策標準到實施，統籌加強政府云服務網絡安全管理。制訂了相關標準，明確了6個不變，即安全管理責任不變，資源所有權不變，司法管轄關系不變，安全管理水平不變，堅持先審后用不變的原則。并對黨政部門云計算服務網絡安全進行統一審查，降低云計算安全風險，增強政府實用云計算的信心。政府也非常歡迎企業為網絡管理貢獻力量。”

而在全面介紹“可信計算池技術”之前，蔡一兵博士同樣強調了云數據中心所面臨的風險，他表示：“數據中心‘云化’進程在國內越來越熱，但由于云數據中心宕機事件、數據泄漏事件此起彼伏，這些已經影響到了用戶遷移到云端的信心。云計算基礎架構的演進帶來了多項安全挑戰，在基于新技術進行架構變革中，用戶單機環境下的傳統安全技術已無法適用于云端，必須要基于新安全理念進行云端防御。因此，在云數據中心已經成為網絡空間戰略攻防目標的情況下，下一代數據中心融合架構將包含‘硬件重構+軟件定義+主動免疫’這三個關鍵要素，安全免疫將高度融合到系統架構中。”

在演講中，蔡一兵博士闡述了“白+黑”的安全策略，這不僅是浪潮針對云數據中心的安全策略重大創新，也是業內首次對云基礎架構安全策略有效性的全面整理。他指出：“白安全策略主要是面向合法者，通過‘完整性度量+最小權限+白名單’等安全機制或技術，來識別并控制有限的合法者集合;而黑安全策略則面向的非法者，識別并控制有限的已知攻擊集合。對于云數據中心來說，兩者各有優劣：白安全策略難以解決合法者的非法行為的問題，黑安全策略難以解決非法者未知攻擊的問題。所以要實現主動免疫，“白+黑”兩種安全策略要緊密結合，不能割裂來看。“白+黑”關系，就如同中國太極圖。白是基礎，要從底層硬件開始，只有這樣才能有效抵御硬件層面的非法控制和更高級的、有組織的APT攻擊。”

三層信任鏈構建可信計算池，“主動免疫”能量巨大

就如蔡一兵講到的，“免疫”一詞的說法來自云安全安全策略中普遍使用的“白名單”技術。而浪潮通過不斷創新將其與主機硬件和虛擬技術進行了再次融合，以可信芯片為根，從系統加電開始，逐層向上提供完整性保護，構建操作系統、VMM、GuestOS和頂層應用的軟硬一體化信任鏈，為云數據中心提供了從“被動”到“主動”轉變的防御能力。

“近幾年，中國的可信計算產業蓬勃發展，從技術標準到產業生態環境等一系列條件都已基本具備，而現在正是將其規模化的良好時機。”，蔡一兵博士表示，“從單機可信到計算池可信，是浪潮近幾年主攻的技術方向。計算池可信技術，縱向要解決覆蓋服務器硬件、虛擬化、GuestOS三層的虛擬主機信任鏈構建問題，橫向要適應虛擬主機遷移過程信任度量和動態管理問題，整體上還要適應大規模、彈性擴展、管理自動化的云計算管理要求。”

軟硬件一體化解決方案 展現浪潮信息安全實力

本屆大會設立了百余場的專業演講，信息安全界的“大佬們”不但深入探討全球信息安全最新發展趨勢，更借助這個平臺分享了最前沿安全技術研究成果及最佳實踐。

作為中國主機安全的第一品牌，浪潮在本屆盛會上全面展示了云主機安全可信解決方案V2.0。浪潮軟硬件一體化云主機安全整體解決方案由可信計算池解決方案和云主機安全解決方案構成，覆蓋了云數據中心IaaS層的服務器硬件、虛擬化軟件及操作系統等部分。可信計算池解決方案主要面向云服務商IaaS層計算安全，由浪潮可信服務器、計算池可信管控軟件、浪潮服務器虛擬化軟件組成，能夠按照云租戶的需求，提供具有可信免疫能力的虛擬可信服務器。云主機安全解決方案主要面向云租戶GuestOS安全，由適用于私有云和行業云的大中型企業及政府客戶，國內主機安全市場占有率第一的浪潮主機安全增強系統SSR產品，以及適應于公有云小微企業，全免費的“云戟”網站安全服務組成。

此外，會上蔡一兵博士還就浪潮可信服務器在安天公司的追影威脅分析系統、洛陽銀行的關鍵業務底層平臺可信遷移的成功應用，以及在警務云計算軟硬件一體化安全保障應用等典型案例做了介紹。其豐富的內容和頗具創新的觀點給與會嘉賓留下了深刻印象，使“企業云安全實踐論壇”成為關注的焦點。