近日,作為亞太地區(qū)信息安全領(lǐng)域最大規(guī)模、最專業(yè)的年度會(huì)議,2015年中國(guó)互聯(lián)網(wǎng)安全大會(huì)(ISC)在北京國(guó)家會(huì)議中心召開。浪潮邀參加本屆盛會(huì),與參會(huì)嘉賓一道,就當(dāng)今云數(shù)據(jù)中心安全防護(hù)遇到的挑戰(zhàn)及發(fā)展進(jìn)行了深度探討。其中浪潮在業(yè)內(nèi)首次提出了“云數(shù)據(jù)中心主動(dòng)免疫”的觀點(diǎn),更成為了云安全創(chuàng)新思路對(duì)碰的焦點(diǎn)。
作為“企業(yè)云安全實(shí)踐論壇”的重要嘉賓,浪潮信息安全事業(yè)部副總經(jīng)理蔡一兵博士在以《可信計(jì)算池技術(shù) - -構(gòu)建浪潮云計(jì)算安全基石》為主題的演講中首次提到了“白+黑”的云數(shù)據(jù)中心安全策略。他表示:“云數(shù)據(jù)中心聚集了海量的應(yīng)用資源、數(shù)據(jù)資源、存儲(chǔ)資源和計(jì)算資源,面臨云服務(wù)癱瘓和大數(shù)據(jù)泄露的重大風(fēng)險(xiǎn),云數(shù)據(jù)中心已成為網(wǎng)絡(luò)空間戰(zhàn)略防御目標(biāo)。下一代云數(shù)據(jù)中心基礎(chǔ)架構(gòu),將在硬件重構(gòu)和軟件定義的基礎(chǔ)上,利用可信計(jì)算技術(shù)形成‘主動(dòng)免疫’能力,進(jìn)而構(gòu)建云計(jì)算安全基石,已成為云計(jì)算安全的重要發(fā)展方向。
國(guó)家高度重視云的安全性 浪潮“白+黑”策略首次曝光
當(dāng)前,以移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等為代表的新技術(shù)蓬勃發(fā)展,為整個(gè)社會(huì)和經(jīng)濟(jì)的發(fā)展注入了強(qiáng)勁動(dòng)力,而云計(jì)算和大數(shù)據(jù)技術(shù)及產(chǎn)業(yè)發(fā)展更受到國(guó)家高度重視。國(guó)務(wù)院于今年1月出臺(tái)了《關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》,明確提出“增強(qiáng)云計(jì)算服務(wù)能力、提升云計(jì)算自主創(chuàng)新能力、探索電子政務(wù)云計(jì)算發(fā)展新模式、加強(qiáng)大數(shù)據(jù)開發(fā)與利用、統(tǒng)籌布局云計(jì)算基礎(chǔ)設(shè)施、提升安全保障能力”等六項(xiàng)任務(wù);8月,《中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)》出臺(tái),多個(gè)條款涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障;9月,最新頒布的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》中再次提及“健全大數(shù)據(jù)安全保障體系,強(qiáng)化安全支撐。”等三項(xiàng)任務(wù)。
針對(duì)云安全,國(guó)際互聯(lián)網(wǎng)信息辦公室張恒做了題為云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理模式探索的主題演講,他表示:“在互聯(lián)網(wǎng)+行動(dòng)計(jì)劃的推動(dòng)下,云計(jì)算已經(jīng)成為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的重要因素,成為構(gòu)建服務(wù)型政府的創(chuàng)新舉措。同時(shí)政府是使用云計(jì)算面臨著和廣大云使用者相同的,面臨管理挑戰(zhàn)和安全挑戰(zhàn)問題。政府部門從政策標(biāo)準(zhǔn)到實(shí)施,統(tǒng)籌加強(qiáng)政府云服務(wù)網(wǎng)絡(luò)安全管理。制訂了相關(guān)標(biāo)準(zhǔn),明確了6個(gè)不變,即安全管理責(zé)任不變,資源所有權(quán)不變,司法管轄關(guān)系不變,安全管理水平不變,堅(jiān)持先審后用不變的原則。并對(duì)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全進(jìn)行統(tǒng)一審查,降低云計(jì)算安全風(fēng)險(xiǎn),增強(qiáng)政府實(shí)用云計(jì)算的信心。政府也非常歡迎企業(yè)為網(wǎng)絡(luò)管理貢獻(xiàn)力量。”
而在全面介紹“可信計(jì)算池技術(shù)”之前,蔡一兵博士同樣強(qiáng)調(diào)了云數(shù)據(jù)中心所面臨的風(fēng)險(xiǎn),他表示:“數(shù)據(jù)中心‘云化’進(jìn)程在國(guó)內(nèi)越來(lái)越熱,但由于云數(shù)據(jù)中心宕機(jī)事件、數(shù)據(jù)泄漏事件此起彼伏,這些已經(jīng)影響到了用戶遷移到云端的信心。云計(jì)算基礎(chǔ)架構(gòu)的演進(jìn)帶來(lái)了多項(xiàng)安全挑戰(zhàn),在基于新技術(shù)進(jìn)行架構(gòu)變革中,用戶單機(jī)環(huán)境下的傳統(tǒng)安全技術(shù)已無(wú)法適用于云端,必須要基于新安全理念進(jìn)行云端防御。因此,在云數(shù)據(jù)中心已經(jīng)成為網(wǎng)絡(luò)空間戰(zhàn)略攻防目標(biāo)的情況下,下一代數(shù)據(jù)中心融合架構(gòu)將包含‘硬件重構(gòu)+軟件定義+主動(dòng)免疫’這三個(gè)關(guān)鍵要素,安全免疫將高度融合到系統(tǒng)架構(gòu)中。”
在演講中,蔡一兵博士闡述了“白+黑”的安全策略,這不僅是浪潮針對(duì)云數(shù)據(jù)中心的安全策略重大創(chuàng)新,也是業(yè)內(nèi)首次對(duì)云基礎(chǔ)架構(gòu)安全策略有效性的全面整理。他指出:“白安全策略主要是面向合法者,通過‘完整性度量+最小權(quán)限+白名單’等安全機(jī)制或技術(shù),來(lái)識(shí)別并控制有限的合法者集合;而黑安全策略則面向的非法者,識(shí)別并控制有限的已知攻擊集合。對(duì)于云數(shù)據(jù)中心來(lái)說,兩者各有優(yōu)劣:白安全策略難以解決合法者的非法行為的問題,黑安全策略難以解決非法者未知攻擊的問題。所以要實(shí)現(xiàn)主動(dòng)免疫,“白+黑”兩種安全策略要緊密結(jié)合,不能割裂來(lái)看。“白+黑”關(guān)系,就如同中國(guó)太極圖。白是基礎(chǔ),要從底層硬件開始,只有這樣才能有效抵御硬件層面的非法控制和更高級(jí)的、有組織的APT攻擊。”
三層信任鏈構(gòu)建可信計(jì)算池,“主動(dòng)免疫”能量巨大
就如蔡一兵講到的,“免疫”一詞的說法來(lái)自云安全安全策略中普遍使用的“白名單”技術(shù)。而浪潮通過不斷創(chuàng)新將其與主機(jī)硬件和虛擬技術(shù)進(jìn)行了再次融合,以可信芯片為根,從系統(tǒng)加電開始,逐層向上提供完整性保護(hù),構(gòu)建操作系統(tǒng)、VMM、GuestOS和頂層應(yīng)用的軟硬一體化信任鏈,為云數(shù)據(jù)中心提供了從“被動(dòng)”到“主動(dòng)”轉(zhuǎn)變的防御能力。
“近幾年,中國(guó)的可信計(jì)算產(chǎn)業(yè)蓬勃發(fā)展,從技術(shù)標(biāo)準(zhǔn)到產(chǎn)業(yè)生態(tài)環(huán)境等一系列條件都已基本具備,而現(xiàn)在正是將其規(guī)?;牧己脮r(shí)機(jī)。”,蔡一兵博士表示,“從單機(jī)可信到計(jì)算池可信,是浪潮近幾年主攻的技術(shù)方向。計(jì)算池可信技術(shù),縱向要解決覆蓋服務(wù)器硬件、虛擬化、GuestOS三層的虛擬主機(jī)信任鏈構(gòu)建問題,橫向要適應(yīng)虛擬主機(jī)遷移過程信任度量和動(dòng)態(tài)管理問題,整體上還要適應(yīng)大規(guī)模、彈性擴(kuò)展、管理自動(dòng)化的云計(jì)算管理要求。”
軟硬件一體化解決方案 展現(xiàn)浪潮信息安全實(shí)力
本屆大會(huì)設(shè)立了百余場(chǎng)的專業(yè)演講,信息安全界的“大佬們”不但深入探討全球信息安全最新發(fā)展趨勢(shì),更借助這個(gè)平臺(tái)分享了最前沿安全技術(shù)研究成果及最佳實(shí)踐。
作為中國(guó)主機(jī)安全的第一品牌,浪潮在本屆盛會(huì)上全面展示了云主機(jī)安全可信解決方案V2.0。浪潮軟硬件一體化云主機(jī)安全整體解決方案由可信計(jì)算池解決方案和云主機(jī)安全解決方案構(gòu)成,覆蓋了云數(shù)據(jù)中心IaaS層的服務(wù)器硬件、虛擬化軟件及操作系統(tǒng)等部分??尚庞?jì)算池解決方案主要面向云服務(wù)商IaaS層計(jì)算安全,由浪潮可信服務(wù)器、計(jì)算池可信管控軟件、浪潮服務(wù)器虛擬化軟件組成,能夠按照云租戶的需求,提供具有可信免疫能力的虛擬可信服務(wù)器。云主機(jī)安全解決方案主要面向云租戶GuestOS安全,由適用于私有云和行業(yè)云的大中型企業(yè)及政府客戶,國(guó)內(nèi)主機(jī)安全市場(chǎng)占有率第一的浪潮主機(jī)安全增強(qiáng)系統(tǒng)SSR產(chǎn)品,以及適應(yīng)于公有云小微企業(yè),全免費(fèi)的“云戟”網(wǎng)站安全服務(wù)組成。
此外,會(huì)上蔡一兵博士還就浪潮可信服務(wù)器在安天公司的追影威脅分析系統(tǒng)、洛陽(yáng)銀行的關(guān)鍵業(yè)務(wù)底層平臺(tái)可信遷移的成功應(yīng)用,以及在警務(wù)云計(jì)算軟硬件一體化安全保障應(yīng)用等典型案例做了介紹。其豐富的內(nèi)容和頗具創(chuàng)新的觀點(diǎn)給與會(huì)嘉賓留下了深刻印象,使“企業(yè)云安全實(shí)踐論壇”成為關(guān)注的焦點(diǎn)。