2013年5月16日第十四届中国信息安全大会在京召开，本届大会的主题是“信息安全新机遇——大数据，BYOD，SDN，云安全”。浪潮电子信息产业股份有限公司信息安全事业部总经理张东在大会上介绍了浪潮云数据中心计算环境安全解决方案。

　　应该说在云计算环境下，安全问题可能比原来的环境会更加地复杂，我们说引入云计算，云计算把更多的应用、把更多的数据放在后端，把计算资源、存储资源、网络资源作为一种服务共享出来。在这种情况下，传统的很多安全问题，身份安全、网络欺诈、网络攻击并没有减少，在这种情况又出现很多新的安全问题。

　　第一在云计算数据中心里，业务规模越来越大，因为我们把东西都集中在后台，在这里应用的模式也是非常复杂，原来的数据中心可能只有百台机器，但是集中在云计算数据中心之后可能是上万台机器，而且是不同的用户，完全是你不可控的用户，用户不知道自己的东西放在那儿，管理员也不了解用户在这里放了一些什么。特别是在中国现在的环境里，我们的数据和应用大部分都是跑在国外的一些硬件、软件，这种情况是非常普遍的，我们说句比较形象的比喻，就是你的数据和应用就像我们在别人庭院里养，实际上操作系统、数据库都无法保证自主可控，这个安全问题是非常严重的。

　　在这里面的传统挑战，是外部的接入的安全、高效和可靠。在云计算数据中心是一种服务，我们对服务是有要求，这里面有一个很关键的是我们传统讲的可靠性，实际上从广义上来讲，这个服务的可用性和可靠性是每天的一部分，在这里我如何保证云计算数据中心能够持续不断的提供服务，同时这个服务是稳定可靠，我承诺你，比如说你在云计算数据中心申请的一个虚拟机，要求有2个CPU、10G内存，但是是云计算数据中心持续报端保证这种供给，如何保证数据中心里面的资源分布均衡，是保证服务可靠性的因素。

　　第二，整个系统的运维控制和安全， 刚才讲到云计算数据中心会越变越复杂，传统的系统都有自己的认证、自己的管理，对于一般管理员来讲，整个数据中心慢慢变得可管理性越来越差，天天面对这些设备、资产都是很头疼的事情，如何能够有效的提升系统运维的效率和保证在这里所有的用户是不是可以统一进行管理，所有的资产是不是可以统一进行管理。这个数字大家都很清楚，70%的风险都是来自内部，对于内部的人员和管理控制是非常重要的。

　　第三，安全的集中管理，我们刚才讲到云计算在这种模式下很多传统的安全威胁仍然存在，在这种情况下很多传统安全设备还是要用的，但是在一个很庞大的云计算数据中心你可能要用的东西非常多，还是要有防火墙、身份检测等等设备，再加上那么多的设备，设备上跑了那么多虚拟机、那么多数据库，如何在系统出现故障的情况快速定位，或者说这里可能会出现一些安全事件，比如说安全攻击事件，攻击点在哪个地方，从什么地方开始，这种集中管理也是对整个管理系统一个很大的挑战。

　　在这里最核心的挑战，就是我们的虚拟机，我们知道系统总是要跑在主机上，在传统安全解决方案里，不管是硬件、网络一层，还是在传统的服务器和主机上，实际上防的还是我在物理机层面解决这个问题，前面有很多同行已经讲到在虚拟机情况下怎么解决，比如说做防火墙的虚拟化，做各种网络安全工具的虚拟化，让虚拟机和虚拟机怎么隔离出来，这里面还有重要的一点，就是我的多个应用跑在一台物理机，怎么保证应用和应用之间的真正隔离，这一点也是大家把应用放在云计算数据中心一个非常大的担心。理论上来讲，怎么着这些虚拟机也是共享一台物理机的内存、一台物理机的硬盘，这个空间是不是真的能够隔离开。

　　现有的操作系统的安全问题，应该说国内的安全操作系统也做了很多年，但是很现实的一个问题国外操作系统的占有率仍很高，大部分人还是在用windows，大部分还是在用IBM、HP、Solaris，上面存在的哪些安全问题如何能够解决，这里面大部分商用的操作系统只能达到二级的要求，自动访问控制，在这里如何增配到我们系统有三级、四级的要求，这也是我们在这个时代面临的一个很大的挑战。

　　这里就讲了一些要求，我们商业操作系统往往都只能到这一层，很难在提那么高，而在我们很多关键业务领域需要它有更好的安全防护。

　　小结：在云计算时代，安全的文化并不比原来少，而是随着我们应用和资源的聚集，安全的问题可能比原来更多。在这里可能传统的很多安全手段仍然是要用这里面，但是我们这里面要讲的一个关键，就是我们的云计算数据中心如何来保障它从接入到应用、到我们所有的操作，一直到最核心的主机，能够保持安全。在这里我们就提出我们自己云计算数据中心的安全解决方案。

　　从这个理念上来讲还是比较简单的，做安全大家都知道，不管是计算环境、网络环境，还是什么环境，我们在这里做到的所有访问一定要授权的人才可以做，有授权人的要保证访问自由，不授权的人要保证访问不到，简单来讲是不是可以让他进来，进来干什么，能够真正做到安全可靠、可追溯。

　　从整体来讲整个数据中心的安全就包括以下几个部分，刚才讲到在数据中心外围的边界可能要依靠传统的手段，进入数据中心之后：

　　第一是接入安全，接入安全就是保证我们每一个应用都能够被安全、高效的访问，前面讲到第一是保证能访问到的人经过授权的，而且不是非法攻击进来的。

　　第二所有的访问从接入层进入到后台系统上，我们要求每一个后台的主机都能够被安全防护，这种安全防护是处于主机自身的，对操作系统进行加固，能够达到三级以上的保护。在虚拟环境下操作系统的控制、内存的保护等能够用到虚拟化环境里面。刚才讲到主机防护是针对每个机型，在数据库还是需要人来管理，对人的每一个行为、操作数据库、某个应用都要经过我们集中管理平台对于它进行控制。

　　最后，我们整体的一个监控管理，能够快速的定位整个数据中心可能出现的一些安全问题，快速的找到一些故障点、一些安全点在哪里。

　　首先是接入安全，我们知道云计算数据中心所有的应用也都是要通过网络接入出去的，当然在网络层面可以有加密、防火墙，但是到了主机之前，我们还是要对应用进行一些安全的保证，首先第一就是负载均衡，我们讲云计算里面很重要的一点就是服务质量，如果你没有一个好的服务质量保证，这个云计算数据中心基本上就是失败，在这里我们通过前端的设备将我们的所有的请求能均匀的分布到后台去，当前端需要申请资源的时候，我们就从云计算数据中心里分配足够的资源给前端的应用来进行使用。

　　这里面可能大家来讲这不是一个简单的负载均衡器，传统的负载均衡器主要是针对网络请求，比如说后台有10台机器，有一个动态请求就挪到10台机器上。比如说后台的服务器上现在跑了三个应用、三个虚拟机，三个虚拟机的量很大，这时候就需要找另外一台服务器把虚拟机迁移过去。因为我们知道其实想动态的伸缩虚拟机是很难的，这时候需要再迁移资源，增加更多的资源来应对前台的请求，这时候就需要这个时候和后台云计算的环境进行互动，来调用新的接口创造新的资源，这就在云计算数据中心进行高效的分配。

　　除了负载均衡以外最重要就是对流量迁移，我们知道现在大部分的应用还是API协议为主，这里内制了一些API的防护手段，对后台有威胁的就进入不到我们后台来。

　　刚才说接入，接入如何很好的使用，把后台的增个服务能力展现出来，到主机一端可以使用起来，这页是在操作系统层面如何来保证安全，在这一层实际上我们刚才讲到商业的操作系统很难提供一个更好的安全防护，像windows是一个普通的访问控制列表，对谁可以用、谁不可以用进行控制，满足不了我们三级以上的要求，这里面很重要的就是三权分立，对进入系统的访问者进行分级、分权，不同的人可以访问不同的地方，对特殊的文件、访问进行保护。

　　通过这样一套系统可以使我们对一些可能没有发现的攻击形成防护，我们知道现在常用的防护攻击的手段是杀病毒，或者是病毒检测往往需要知道特征，根据特征来判断你是不是异常的，但是现在主机后台一套完整的保护体系，其实你前端特征没有识别出来，不幸让病毒和木马进来，但是有一套控制系统存在，仍然会限制在能干的活里面而做不了更多的事情，入侵的应用原来只能访问三个文件，进来以后还是只能看三个文件，不可能获取更多的权限破坏我更多的系统，不可能把我更多的文件偷走，不能让我们的系统瘫痪，这种情况下可以有效的防止，刚才讲很多攻击是明天的，永远是攻击者比防护者走的更快的。

　　浪潮的SSR产品就是符合等级三保的产品，装在系统上就可以满足原来系统的要求，有三权分立、更高的安全保护。

　　安全审计，刚才讲到我们所有的行为是要靠人去做的，前面讲的不管是接入，还是主机防护，防的都是一些机器的行为，如何保证这个人在计算管理操作的时候他的安全，这里要对所有人的行为进行授权，当你要进入这个系统、访问某一个操作的就需要授权，需要账号的授权、访问的授权才能够访问，如果做了一些非法操作，系统就会马上发现，来制止这种行为，并且进行报警。

　　应用安全，或者是安全管理，如何对复杂的一个云计算数据中心里所有的设备进行管理，在这里能够快速的定位我的问题，比如说网站无法访问，或者是OA系统慢等等，所有的定位实际上是基于我们对于整个系统里面所有的安全事件、所有的运营事件的监控，把数据收集上来进行一个综合的分析。

　　这就是我们SM产品，通过我们刚才讲到从前端的接入到安全接入、安全审计、到安全管理，让云计算数据中心实现高效、可靠的进入，实现对人的整体控制，并且实现对整个机房整体的管理。

　　客户价值二，我们与等保的对应，所有的产品是等级保障三级以上能够对应起来的。

　　客户价值三，是根ISO27001标准的对应，整个数据中心的运维都是符合这个标准。

　　案例1：云计算数据中心，主要是山东云计算数据中心，在这里面主要是为政府提供一些服务，在没有上传到系统之前大家想的也比较简单，原来的数据中心把机器堆在一起，把服务、数据放在里面就完了，因为上的系统不像企业以前的系统那么简单，人也复杂，很快就被人放了木马、漏洞进来，通过我们整个SSR的产品整体加固来讲，使得被人上传了很多东西，实际上对他攻击的影响很小，并没有把他更多关键数据给偷走。

　　案例2：是一个银行的案例，关于我们整体交忽，交互产品在这里使用的一个案例，通过对于它整体的后台资源的平衡，以及对web应用的防护，使后面遭受攻击的可能性进一步下降。

　　浪潮的信息安全我们其实是从1996年开始做，在这之前也做过网络安全设备、安全设备，从2004年开始推动整机保护开始，把我们的主要精力转移到主机安全，如何通过增强现在的商业操作系统，包括windows和luxci来提升中国计算按照环境的水平，我们做了十年，一直致力于主机安全的设备。这里面取得了很多成绩。