云計(jì)算環(huán)境下安全服務(wù)的思考與探索

責(zé)任編輯:hli

2012-02-08 09:15:59

摘自:IT168

近日,由長(zhǎng)風(fēng)開放標(biāo)準(zhǔn)平臺(tái)軟件聯(lián)盟主辦、中國科學(xué)院軟件研究所協(xié)辦的2011云計(jì)算安全技術(shù)國際研討會(huì),在京召開。

--中國移動(dòng)研究院信息安全研究所副所長(zhǎng)楊光華

近日,由長(zhǎng)風(fēng)開放標(biāo)準(zhǔn)平臺(tái)軟件聯(lián)盟主辦、中國科學(xué)院軟件研究所協(xié)辦的2011云計(jì)算安全技術(shù)國際研討會(huì),在京召開。會(huì)上來自行業(yè)內(nèi)的專家、學(xué)者、用戶等就云計(jì)算安全等話題進(jìn)行了討論。

以下是來自中國移動(dòng)研究院信息安全研究所副所長(zhǎng)楊光華精彩發(fā)言

我講的主題是云安全服務(wù),即利用云的方式提供安全服務(wù)。

中國移動(dòng)的云計(jì)算基于三種模型,提供兩種業(yè)務(wù)模式。一種是內(nèi)部應(yīng)用,即私有云,將所有的支撐系統(tǒng)都放在內(nèi)部云上。第二種是第三方服務(wù),移動(dòng)在內(nèi)蒙古準(zhǔn)備建一個(gè)萬級(jí)數(shù)量服務(wù)器的云計(jì)算中心,提供公眾云服務(wù),在南方基地也有一個(gè),主要給中小開放商提供云服務(wù)。

第一,云平臺(tái)提供的基礎(chǔ)服務(wù)設(shè)施,成本低,可以在高效的平臺(tái)上降低人力資本。第二,高性能。第三,資源共享。第四,按需服務(wù),按需服務(wù)需要我們理解怎樣利用云計(jì)算提供彈性計(jì)算,進(jìn)而提供一種安全服務(wù)。第五,提供創(chuàng)新來源,通過SaaS提供安全服務(wù),建設(shè)業(yè)務(wù)創(chuàng)新。

中國移動(dòng)的大云是用各種技術(shù)平臺(tái)搭建的,當(dāng)然也不排除用第三方公司提供的云計(jì)算平臺(tái)。大云系統(tǒng)在中國移動(dòng)的很多應(yīng)用中已經(jīng)得到了應(yīng)用,例如應(yīng)用最多的是其中一個(gè)數(shù)據(jù)挖掘系統(tǒng),中國移動(dòng)有六億多用戶,如此多的消費(fèi)行為需要用云計(jì)算平臺(tái)最典型的高性能計(jì)算能力做數(shù)據(jù)挖掘和存儲(chǔ)。

云安全服務(wù)從三個(gè)層面講。運(yùn)營(yíng)商希望在云端有所作為,安全服務(wù)主要集中于智能終端的安全服務(wù)以及網(wǎng)絡(luò)接入的各種安全探征,保證管道是干凈的。中國移動(dòng)有大量的政企客戶,大概500多萬個(gè)對(duì)外節(jié)點(diǎn)(公有IP), 500萬個(gè)節(jié)點(diǎn)的安全態(tài)勢(shì),用一套工具很難完成,希望用云平臺(tái)實(shí)現(xiàn)此安全態(tài)勢(shì)感知。

可管理的安全服務(wù)一年有二三十億美金的市場(chǎng)量值,基于IDC的這些服務(wù),可以把安全進(jìn)行集中提供,把安全保障轉(zhuǎn)化為第三方服務(wù)提供給用戶。中國移動(dòng)不管是流量檢測(cè)平臺(tái),還是惡意代碼檢測(cè)等類似于運(yùn)營(yíng)商大規(guī)模的網(wǎng)絡(luò)安全監(jiān)測(cè)都建立了很多專業(yè)子系統(tǒng),此檢測(cè)系統(tǒng)做好的話能夠給用戶提供安全服務(wù)。

目前我們進(jìn)行的嘗試還有利用云平臺(tái)的虛擬化的基礎(chǔ)設(shè)施SaaS,將漏洞掃描與此結(jié)合,把安全評(píng)估服務(wù)能夠更大范圍的提供給各種用戶。

云清洗是相對(duì)于流量清洗服務(wù)的概念。中國移動(dòng)通過云清洗的概念,希望把需要做安全檢測(cè)的流量,通過一些標(biāo)記和流量重新分配的技術(shù),把需要清洗的服務(wù)調(diào)度到流量檢測(cè)的平臺(tái)上。這個(gè)能夠達(dá)到分層清洗,通過不同階段提升全網(wǎng)的清洗能力

智能終端的云安全服務(wù),也是利用了云的能力。現(xiàn)在有一些手機(jī)軟件把代碼檢測(cè)考慮放到云端處理,是一個(gè)將終端應(yīng)用在云端的發(fā)展方向,移動(dòng)希望手機(jī)殺毒軟件在云端處理后鋪設(shè)到終端,終端只需要存儲(chǔ)一些標(biāo)識(shí)即可。

以上服務(wù)涉及到八種關(guān)鍵技術(shù)。第一是統(tǒng)一樣本的分析中心,怎樣去把全網(wǎng)的設(shè)備采集到的信息(包括是惡意信息)做分析,第二是全網(wǎng)的虛擬化安全設(shè)備,第三是相當(dāng)于云清洗的電信級(jí)流量按需索引,第四是多設(shè)備間的風(fēng)險(xiǎn)關(guān)聯(lián)和聯(lián)動(dòng),這個(gè)是基于安全的態(tài)勢(shì)感知,在這些漏洞之間的風(fēng)險(xiǎn)怎么做關(guān)聯(lián)分析課題。 第五,異常連接發(fā)現(xiàn)模型研究,黑名單里面有很多惡意攻擊簽名,我們希望可以建立正常的業(yè)務(wù)行為基線即白名單模式,這樣可以減少原來的IDS所謂的聯(lián)合攻擊檢測(cè)不到攻擊以及誤報(bào)的一些問題。第六是掃描任務(wù)的資源調(diào)度分配算法研究。第七是云計(jì)算安全服務(wù)整體技術(shù)路線研究,這個(gè)主要是重大專項(xiàng)和國家標(biāo)準(zhǔn)制定的項(xiàng)目。

關(guān)鍵問題:第一,我們所謂的云計(jì)算安全服務(wù),大家是不是認(rèn)可的?尤其是在中國,服務(wù)的運(yùn)營(yíng)模式大家是不是認(rèn)可?我們希望自己完全掌握一套體系,不希望讓人遠(yuǎn)程能夠看到。這個(gè)模式最好的切入點(diǎn)就是IDC,只要設(shè)備在IDC里面,這個(gè)安全服務(wù)一定會(huì)實(shí)現(xiàn)。第二,需要科研院所、設(shè)備廠商以及運(yùn)營(yíng)商聯(lián)合研究的一些關(guān)鍵技術(shù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)