今天在這個(gè)地方跟大家分享這樣幾個(gè)問題，一是云計(jì)算的安全風(fēng)險(xiǎn)，二是重要部門云計(jì)算設(shè)施的建設(shè)要求，三是可信云計(jì)算體系的安全架構(gòu)。

云計(jì)算的安全風(fēng)險(xiǎn)

數(shù)據(jù)遷移到了視野之外導(dǎo)致失控

這張圖是一個(gè)概要圖，表現(xiàn)了幾種云的不同模式。我們看到云應(yīng)該是把服務(wù)、計(jì)算做了一個(gè)視覺化的大的改變，所以管理的服務(wù)化以及脫離你自己原來的管理，我們能看到提供的這種動(dòng)態(tài)的虛擬化的資源，通過網(wǎng)絡(luò)方式以服務(wù)的形態(tài)呈現(xiàn)給用戶。這是一個(gè)很好的事情。你們不需要東西在哪兒，也不需要資源存在的細(xì)節(jié)，這種方法也很保險(xiǎn)。但我們碰到一個(gè)問題，管理權(quán)和服務(wù)責(zé)任這些東西都轉(zhuǎn)移到服務(wù)方了，這個(gè)時(shí)候你的數(shù)據(jù)遷移到你的視野之外了，這就比較麻煩。我們安全的很多問題都是由于這個(gè)特性引起來的。

過去很多單位如果出現(xiàn)一些情況，不管是哪個(gè)問題我可以不說別人就不知道，就沒有重大的泄密事件的發(fā)生。但現(xiàn)在你的東西已經(jīng)在你的視野之外了，你沒有一個(gè)可以信賴的自己人的概念。所以，這種信任的問題就比較嚴(yán)重，你必須去轉(zhuǎn)向依賴某些規(guī)則，這是一個(gè)很大的變革。

資源虛擬化讓物理邊界被弱化

另外一點(diǎn)是資源虛擬化。資源虛擬化是很好的一件事情，它可以按需生成一些虛擬資源，動(dòng)態(tài)調(diào)整一些資源，可以實(shí)現(xiàn)資源的遷移。這都是很好的特性，但這個(gè)時(shí)候我們會(huì)看到一些東西，資源虛擬化是靠軟件去定制的，它非常靈活。但有兩個(gè)問題，從名字自講的很清楚，虛擬化，它沒有一個(gè)物理邊界。這時(shí)我們可以看到過去許多由物理邊界形成的安全屏障就被弱化了，這會(huì)引起許多其他問題。虛擬化帶來很多好處，大家虛擬資源的安全邊界是比較弱的，這也是一個(gè)很大的問題。

關(guān)于云的安全有很多很多，剛才談了兩點(diǎn)，一個(gè)是數(shù)據(jù)在你的視野之外，失去了控制。再一個(gè)是由虛擬化引起的邊界防范能力弱化，這是值得我們關(guān)注的問題。

風(fēng)險(xiǎn)來源

簡(jiǎn)單列一下風(fēng)險(xiǎn)來源。云的經(jīng)銷商對(duì)任何一個(gè)客戶來說他是不可估不可信的，這是風(fēng)險(xiǎn)的一個(gè)來源。我們要應(yīng)對(duì)資源的安全，隱私保護(hù)等等，這些東西目前看是一個(gè)比較大的阻礙云發(fā)展的因素，有很多不可信、不可靠的聲音讓我們不敢大量的發(fā)展云的建設(shè)。

另外法規(guī)在這方面是缺失的。在服務(wù)方只能承擔(dān)有限責(zé)任，只在具有有限能力的條件下應(yīng)對(duì)這些難題，使上述的任務(wù)變得更為艱巨。你可能不得不依靠一個(gè)有限的服務(wù)能力服務(wù)方由他們提供服務(wù)，所以這個(gè)問題就變得更難了。

其實(shí)我們還看到另外一點(diǎn)，根據(jù)統(tǒng)計(jì)資料，應(yīng)該說我們國(guó)家在云的這些關(guān)鍵的背景下趨于虛擬化。有很多東西已經(jīng)外化了，已經(jīng)不在你的手里，具體實(shí)施的時(shí)候，這些工具還不是我們掌握的，這一點(diǎn)不是自主的，這種現(xiàn)象已經(jīng)非常嚴(yán)重的。所以在一個(gè)重要部門，信息的管理我們應(yīng)該遵循哪些原則，這是一個(gè)非常嚴(yán)重的事情。沈院士帶著北工大其他的同事在國(guó)家要求層面做了一些方案。

所做的一些努力

第一，重要部門，政府部門、影響國(guó)家運(yùn)行的重要行業(yè)、影響社會(huì)生活的重要行業(yè)都算重要部門。他們的云設(shè)施建設(shè)必須遵循我們國(guó)家的某些要求，這是一個(gè)強(qiáng)制性的規(guī)定。因?yàn)檫@些數(shù)據(jù)內(nèi)容很多是涉及到機(jī)密性信息或者其他信息的。

第二，在我們完成保護(hù)要求的時(shí)候，按照現(xiàn)有的一些標(biāo)準(zhǔn)，有這么幾項(xiàng)。一個(gè)是要構(gòu)造安全的需求環(huán)境，二是有安全的虛擬邊界。所有這些元素應(yīng)該在安全管理中心的統(tǒng)一管理之下去運(yùn)行。一個(gè)高等級(jí)的信息系統(tǒng)，它的安全設(shè)計(jì)上必須由這些元素構(gòu)成。可信的時(shí)候我們要做的事情是構(gòu)建一個(gè)保護(hù)環(huán)境，你的硬件建成一個(gè)可信文檔。按照國(guó)家比較早的一個(gè)標(biāo)準(zhǔn)，17859的要求，我們?cè)跇?gòu)建的時(shí)候具體設(shè)定也有一些標(biāo)準(zhǔn)，構(gòu)建一些具體的細(xì)節(jié)。

可信保障要點(diǎn)，要在系統(tǒng)里建立一個(gè)可信的環(huán)境，對(duì)應(yīng)用系統(tǒng)的行為進(jìn)行監(jiān)督。因?yàn)樵谠骗h(huán)境下，很多租戶在同一環(huán)境下，他有什么行為我們必須在里面做動(dòng)態(tài)的監(jiān)控。我們強(qiáng)調(diào)今后不是盲目的分析行為，而是會(huì)基于一些行為聲明，去分析他的行為。

注意管理和服務(wù)層面問題

實(shí)時(shí)探索其實(shí)有一個(gè)思路，我們現(xiàn)在一直在做但沒有成熟的經(jīng)驗(yàn)。要堅(jiān)持正確的路線，從實(shí)際出發(fā)，這是一個(gè)基本的要求。技術(shù)平臺(tái)應(yīng)該怎么管理，方案怎么實(shí)施，盡管保持原有系統(tǒng)的功能和結(jié)構(gòu)。前面的一些東西不是缺失的，現(xiàn)在正在做，后面的東西是缺失的，我們有一些建設(shè)的規(guī)范。我們講對(duì)系統(tǒng)構(gòu)成的設(shè)備，那些系統(tǒng)，對(duì)它的要求，但是這個(gè)系統(tǒng)整體賺錢了以后，50%以上的問題會(huì)出在管理和服務(wù)層面。這些東西怎么做?現(xiàn)在是處于探索階段，沒有一個(gè)規(guī)范。所以說對(duì)用戶你要清楚自己的要求，不是說你把服務(wù)委托了以后你就沒責(zé)任了，出了問題都是你的，到底有什么要求一定要講清楚，并且能夠列舉出來，不要泛泛的講我有哪些方面的要求。并且要求這些要求是用某種手段可以驗(yàn)證的，這樣你列舉的東西才可以有人給你做保障的，并且最好是能夠證明的。

注意服務(wù)的邊界

再有服務(wù)商要清楚你的利用服務(wù)的邊界可以做到什么程度，要有適當(dāng)?shù)馁Y質(zhì)，這些東西都要逐漸的建立。目前來看，我們有產(chǎn)品的認(rèn)定，但是整體的評(píng)估資質(zhì)我們正在做。希望各個(gè)企業(yè)在服務(wù)規(guī)范方面要積極的探索，為將來建立這種規(guī)范提供一些實(shí)際的經(jīng)驗(yàn)。

架構(gòu)基本上，我們會(huì)有一個(gè)管理中心，有一個(gè)可信安全的計(jì)算環(huán)境，有一個(gè)可信的技術(shù)邊界，通過可信的網(wǎng)絡(luò)去連接到環(huán)境以外的地方。這個(gè)跟我們目前的云環(huán)境自然匹配，這就是一個(gè)課題，在云環(huán)境下有什么樣的資源是我們自己掌握的。

可信計(jì)算環(huán)境的建立

從一個(gè)具體結(jié)構(gòu)來講，可以這樣說，這只是一種建議。我們還是這樣一個(gè)元素，一個(gè)是在安全管理中心支撐下，有可信的計(jì)算環(huán)境，有可信的區(qū)域網(wǎng)絡(luò)，也有可信的技術(shù)邊界。首先在一個(gè)獨(dú)立的計(jì)算環(huán)境下，我們希望從啟動(dòng)開始就要驗(yàn)證是不是沒有被人家改過，還存不存在一種風(fēng)險(xiǎn)。通過這種驗(yàn)證以后，認(rèn)為這個(gè)軟件沒有被改過，它可以引導(dǎo)起來。然后會(huì)檢查操作系統(tǒng)有沒有被破壞，如果沒有被破壞，這樣逐漸的建立一個(gè)可信的計(jì)算環(huán)境，進(jìn)行可信的傳遞，最后到服務(wù)這邊。在工作的時(shí)候，應(yīng)用服務(wù)應(yīng)該首先確認(rèn)自己的計(jì)算環(huán)境是不是我需要的那一個(gè)，因?yàn)樵谠粕厦婺闶沁h(yuǎn)程的，你不知道有誰去訪問這個(gè)東西，如果破壞的話，你要有方法驗(yàn)證破壞的發(fā)生。

通過可信網(wǎng)絡(luò)來保證安全環(huán)境里所有的設(shè)備都是具有身份的，我們要進(jìn)行身份的確認(rèn)，通過可信驗(yàn)證。然后是安全策略，安全策略包含一般安全可信的授權(quán)問題。我們要求一個(gè)是必須滿足等級(jí)保護(hù)的要求，我們國(guó)家面臨的所有的大的云的建設(shè)，都會(huì)承擔(dān)一些重要級(jí)任務(wù)。他們要去建設(shè)，必然通過這種檢查。具體實(shí)施的時(shí)候，可信、可控、可管是根本，這個(gè)根本如果不能實(shí)現(xiàn)，我們所有設(shè)施的基本檢查，雖然所有設(shè)備都是達(dá)標(biāo)的，但整個(gè)系統(tǒng)可能會(huì)存在問題。基本系統(tǒng)要遵循T250的標(biāo)準(zhǔn)。