曙光信息產(chǎn)業(yè)(北京)有限公司副總裁邵宗有

        以下為演講實錄：

        連續(xù)兩年談這個問題，主要的原因是云計算的發(fā)展非常迅速。我們根據(jù)這個體系的要求，以及我們對云計算的研究結(jié)合起來做的云安全管理中心。

        我講三個方面的內(nèi)容。第一，介紹一下等級保護(hù)標(biāo)準(zhǔn)體系，法律法規(guī)的制定，以及現(xiàn)在推廣的情況，因為國家很多的單位都在推廣等保的體制。第二，在等保要求下的云安全怎么來實現(xiàn)。第三，云安全管理中心CiOudfirm。

       去年我的報告講了一個理論，就是在當(dāng)前的信息安全技術(shù)下可以比較好的保障云的安全，但事實上在過去的兩年里面，我們并沒有很好的解決一個問題，就是云安全的理論基礎(chǔ)在哪兒，怎么進(jìn)行評價，做完了之后怎么符合國家的相關(guān)的規(guī)章制度。在去年的一年里面，我們認(rèn)為當(dāng)前的等保體系或者等保標(biāo)準(zhǔn)比較好的解決云安全過程當(dāng)中大家普遍關(guān)注的幾個問題，也正因為這個原因，所以云安全的標(biāo)準(zhǔn)大家呼聲非常高，是不是我們依靠等保體系能比較好的解決這個問題，但是等保體系并不是說能夠完全的去解決。非常簡單的一個道理，等保體系更多是根據(jù)物理的數(shù)據(jù)中心、無力的資源，它有很大的指導(dǎo)意義，但是不能完全解決。

        第一，我們國家等級保護(hù)發(fā)展歷程。1994年國務(wù)院147號令《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》。首先是劃分，第二是劃分完了之后怎么實施，還有就是基本的要求，因為這個東西在推廣過程中還要測評，還要認(rèn)證，所以花了4年時間我們建立了保護(hù)的標(biāo)準(zhǔn)體系。08年到10年，國家又建立了測評的管理體系，各種各樣的測評機(jī)構(gòu)，培訓(xùn)各種各樣的測評師，所以一年以后看到人保的落地非常迅速。10年一年，二級系統(tǒng)突破了5萬人，三級突破2萬人，四級突破了100萬人，2011年三級系統(tǒng)增加100%。一些重大的行業(yè)，一些重大的信息中心，我們一邊做等保標(biāo)準(zhǔn)，一邊做云計算，我們的等保標(biāo)準(zhǔn)能不能保證云計算信息中心的安全。

       等保的基本安全要求。安全問題首先是管理的問題，首先它有大量的管理的需求，要有安全管理的機(jī)構(gòu)、安全管理的制度，人員安全管理，哪些人有資格上崗，系統(tǒng)運(yùn)維等等，等級保護(hù)制度和管理的要求是匹配的。另外，它還有很強(qiáng)的技術(shù)要求，包括物理資源的安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全。在云計算里面網(wǎng)絡(luò)是虛擬的網(wǎng)絡(luò)，主機(jī)是虛擬機(jī)，過去我們都是一個一個物理的服務(wù)器，這個和安全還是有很大差異的。等級保護(hù)體系的劃分也是相當(dāng)嚴(yán)格的，分為五個體系，一般的系統(tǒng)就是第三級，全國過了四級的也就是電力系統(tǒng)。所以我們正常的云計算分析，基本上能夠到三級，就已經(jīng)能夠比較好的符合等級保護(hù)的要求。其實二級就已經(jīng)非常復(fù)雜，以后等級保護(hù)    是一個點一個點去評測，所以等級的評價和通過系統(tǒng)復(fù)雜的過程。這是等級保護(hù)的實施流程，你要知道它是一個什么樣的過程，我們的系統(tǒng)是怎樣覆蓋這個過程，要求系統(tǒng)整改，然后驗收測評，它這個生命周期是循環(huán)的。所以我們國家信息網(wǎng)絡(luò)制度的建立和實施，它已經(jīng)從初期的法律法規(guī)的制定到實施，已經(jīng)走過了十幾年的歷程，現(xiàn)在看來推進(jìn)的非常完善。

       云計算中心必須滿足等級保護(hù)的政策要求。云計算中心仍然是一類信息系統(tǒng)，需要依照其重要行不通進(jìn)行分級保護(hù)。云計算中心的安全工作必須按照等級保護(hù)的要求來建設(shè)運(yùn)維。云安全還需要考慮虛擬化等新的技術(shù)和運(yùn)營方式所帶來的安全問題。另外，云中心的安全等級，我們云計算的中心，如果我們要建立一個云安全的體系，我們要通過哪一個級別來通過云中心的保護(hù)呢?地市政府辦公自動化系統(tǒng)，地市政府政務(wù)公開網(wǎng)站。常見的三級系統(tǒng)，省政府辦公自動化系統(tǒng)，省政府的政務(wù)公開系統(tǒng)，省政府公文交換系統(tǒng)，企業(yè)ERP系統(tǒng)，銀行生產(chǎn)網(wǎng)。

        云計算中心的虛擬化安全。虛擬化技術(shù)的大量使用，使得云計算中心的各種資源組成了一個大的虛擬化世界，在這個世界里迫切需要建立安全秩序。分租戶的信運(yùn)營模式要求在虛擬化網(wǎng)絡(luò)里實現(xiàn)安全隔離。通過vSwitch等虛擬網(wǎng)絡(luò)技術(shù)可以事先預(yù)物理環(huán)境相當(dāng)?shù)木W(wǎng)絡(luò)安全隔離防護(hù)。傳統(tǒng)安全產(chǎn)品虛擬化入云可以為虛擬化環(huán)境引入成熟的安全技術(shù)，從而實現(xiàn)四到七層的應(yīng)用安全。云安全其實是基于策略的物理安全，因為在真正的物理信息中心里面，你說你的防火墻設(shè)計一個策略，或者你的服務(wù)器設(shè)計一個策略，這個策略一般是可以物理治理的。你告訴我主機(jī)在哪里，你在使用這些虛擬機(jī)的時候你根本就不知道主機(jī)在哪里，你根本就不知道這個物理資源在哪里。所以你針對這些主機(jī)，針對物理的虛擬機(jī)，你的策略是什么。還有就是安全設(shè)備虛擬化入云的問題，如果出現(xiàn)問題我們可以對它進(jìn)行隔離，但是一臺服務(wù)器虛擬除了4臺服務(wù)器，如果說我們說它隔離，實際它是不是隔離?你用什么樣的技術(shù)，能夠既實現(xiàn)虛擬化的隔離，又能實現(xiàn)物理當(dāng)中的隔離，我們云計算的操作系統(tǒng)對虛擬資源的調(diào)動、分配和管理問題。各類安全設(shè)備虛擬化入云，可實現(xiàn)與虛擬機(jī)綁定的安全防護(hù)。所以做云安全最大的挑戰(zhàn)，你首先還是要掌握這個云安全操作系統(tǒng)以后，你才可以配合你云安全的策略，所以云安全和云操作系統(tǒng)是不可分割的兩個方面。

        CIoudFirm的內(nèi)涵。第一是安全管理，把它嵌入到語音的安全管理中心;第二，我們在虛擬的環(huán)境下，怎么樣在物理資源下推動虛擬安全。CIoudFirm設(shè)計目標(biāo)及指導(dǎo)思想。目標(biāo)：作為獨(dú)立體系華產(chǎn)品嚴(yán)格參照等保要求設(shè)計、開發(fā)、力求達(dá)到合規(guī)、實用的設(shè)計目標(biāo)，滿足等級保護(hù)二級要求。我們把CIoudFirm分成兩塊，第一是管理運(yùn)維，第二我們把物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全備份恢復(fù)。CIoudFirm的設(shè)計思路：第一，安全管理平臺，云計算中心安全基礎(chǔ)市的配置管理，包括對虛擬安全設(shè)備鏡像的管理。第二，安全運(yùn)維平臺。云計算中心的日常運(yùn)維管理，對系統(tǒng)運(yùn)行狀態(tài)、異常事件等各種安全事件進(jìn)行監(jiān)控、記錄、維護(hù)。第三，等保合規(guī)性平臺。云計算中心管理制度的管理、文檔記錄、方便進(jìn)行管理。這是CIoudFirm運(yùn)維效果。安全防護(hù)，虛擬機(jī)的設(shè)計，安全云計算中心未來有12個屏幕，6個屏幕監(jiān)控資源，6個監(jiān)控是監(jiān)控云安全的設(shè)計和相關(guān)的防護(hù)。

       最后總結(jié)一下，等級保護(hù)體系是云計算中心建設(shè)運(yùn)維的指導(dǎo)標(biāo)準(zhǔn)。云計算中心的安全必須在等級保護(hù)的框架內(nèi)進(jìn)行建設(shè)，同時充分考慮虛擬化和運(yùn)營等新的安全問題。現(xiàn)階段基于vSwitch等虛擬網(wǎng)絡(luò)安全技術(shù)和安全設(shè)備虛擬化運(yùn)用是切實可行的手段。CIoudFirm的設(shè)計思想不僅要保證云計算中心的管理安全和運(yùn)維安全，同時要起到保障合規(guī)性的效果，保證云計算中心在動態(tài)運(yùn)營的過程中始終滿足等級保護(hù)的要求，切實達(dá)到相應(yīng)的安全級別。