曙光信息產(chǎn)業(yè)(北京)有限公司副總裁邵宗有

        以下為演講實(shí)錄：

        連續(xù)兩年談這個(gè)問(wèn)題，主要的原因是云計(jì)算的發(fā)展非常迅速。我們根據(jù)這個(gè)體系的要求，以及我們對(duì)云計(jì)算的研究結(jié)合起來(lái)做的云安全管理中心。

        我講三個(gè)方面的內(nèi)容。第一，介紹一下等級(jí)保護(hù)標(biāo)準(zhǔn)體系，法律法規(guī)的制定，以及現(xiàn)在推廣的情況，因?yàn)閲?guó)家很多的單位都在推廣等保的體制。第二，在等保要求下的云安全怎么來(lái)實(shí)現(xiàn)。第三，云安全管理中心CiOudfirm。

       去年我的報(bào)告講了一個(gè)理論，就是在當(dāng)前的信息安全技術(shù)下可以比較好的保障云的安全，但事實(shí)上在過(guò)去的兩年里面，我們并沒有很好的解決一個(gè)問(wèn)題，就是云安全的理論基礎(chǔ)在哪兒，怎么進(jìn)行評(píng)價(jià)，做完了之后怎么符合國(guó)家的相關(guān)的規(guī)章制度。在去年的一年里面，我們認(rèn)為當(dāng)前的等保體系或者等保標(biāo)準(zhǔn)比較好的解決云安全過(guò)程當(dāng)中大家普遍關(guān)注的幾個(gè)問(wèn)題，也正因?yàn)檫@個(gè)原因，所以云安全的標(biāo)準(zhǔn)大家呼聲非常高，是不是我們依靠等保體系能比較好的解決這個(gè)問(wèn)題，但是等保體系并不是說(shuō)能夠完全的去解決。非常簡(jiǎn)單的一個(gè)道理，等保體系更多是根據(jù)物理的數(shù)據(jù)中心、無(wú)力的資源，它有很大的指導(dǎo)意義，但是不能完全解決。

        第一，我們國(guó)家等級(jí)保護(hù)發(fā)展歷程。1994年國(guó)務(wù)院147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。首先是劃分，第二是劃分完了之后怎么實(shí)施，還有就是基本的要求，因?yàn)檫@個(gè)東西在推廣過(guò)程中還要測(cè)評(píng)，還要認(rèn)證，所以花了4年時(shí)間我們建立了保護(hù)的標(biāo)準(zhǔn)體系。08年到10年，國(guó)家又建立了測(cè)評(píng)的管理體系，各種各樣的測(cè)評(píng)機(jī)構(gòu)，培訓(xùn)各種各樣的測(cè)評(píng)師，所以一年以后看到人保的落地非常迅速。10年一年，二級(jí)系統(tǒng)突破了5萬(wàn)人，三級(jí)突破2萬(wàn)人，四級(jí)突破了100萬(wàn)人，2011年三級(jí)系統(tǒng)增加100%。一些重大的行業(yè)，一些重大的信息中心，我們一邊做等保標(biāo)準(zhǔn)，一邊做云計(jì)算，我們的等保標(biāo)準(zhǔn)能不能保證云計(jì)算信息中心的安全。

       等保的基本安全要求。安全問(wèn)題首先是管理的問(wèn)題，首先它有大量的管理的需求，要有安全管理的機(jī)構(gòu)、安全管理的制度，人員安全管理，哪些人有資格上崗，系統(tǒng)運(yùn)維等等，等級(jí)保護(hù)制度和管理的要求是匹配的。另外，它還有很強(qiáng)的技術(shù)要求，包括物理資源的安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全。在云計(jì)算里面網(wǎng)絡(luò)是虛擬的網(wǎng)絡(luò)，主機(jī)是虛擬機(jī)，過(guò)去我們都是一個(gè)一個(gè)物理的服務(wù)器，這個(gè)和安全還是有很大差異的。等級(jí)保護(hù)體系的劃分也是相當(dāng)嚴(yán)格的，分為五個(gè)體系，一般的系統(tǒng)就是第三級(jí)，全國(guó)過(guò)了四級(jí)的也就是電力系統(tǒng)。所以我們正常的云計(jì)算分析，基本上能夠到三級(jí)，就已經(jīng)能夠比較好的符合等級(jí)保護(hù)的要求。其實(shí)二級(jí)就已經(jīng)非常復(fù)雜，以后等級(jí)保護(hù)    是一個(gè)點(diǎn)一個(gè)點(diǎn)去評(píng)測(cè)，所以等級(jí)的評(píng)價(jià)和通過(guò)系統(tǒng)復(fù)雜的過(guò)程。這是等級(jí)保護(hù)的實(shí)施流程，你要知道它是一個(gè)什么樣的過(guò)程，我們的系統(tǒng)是怎樣覆蓋這個(gè)過(guò)程，要求系統(tǒng)整改，然后驗(yàn)收測(cè)評(píng)，它這個(gè)生命周期是循環(huán)的。所以我們國(guó)家信息網(wǎng)絡(luò)制度的建立和實(shí)施，它已經(jīng)從初期的法律法規(guī)的制定到實(shí)施，已經(jīng)走過(guò)了十幾年的歷程，現(xiàn)在看來(lái)推進(jìn)的非常完善。

       云計(jì)算中心必須滿足等級(jí)保護(hù)的政策要求。云計(jì)算中心仍然是一類信息系統(tǒng)，需要依照其重要行不通進(jìn)行分級(jí)保護(hù)。云計(jì)算中心的安全工作必須按照等級(jí)保護(hù)的要求來(lái)建設(shè)運(yùn)維。云安全還需要考慮虛擬化等新的技術(shù)和運(yùn)營(yíng)方式所帶來(lái)的安全問(wèn)題。另外，云中心的安全等級(jí)，我們?cè)朴?jì)算的中心，如果我們要建立一個(gè)云安全的體系，我們要通過(guò)哪一個(gè)級(jí)別來(lái)通過(guò)云中心的保護(hù)呢?地市政府辦公自動(dòng)化系統(tǒng)，地市政府政務(wù)公開網(wǎng)站。常見的三級(jí)系統(tǒng)，省政府辦公自動(dòng)化系統(tǒng)，省政府的政務(wù)公開系統(tǒng)，省政府公文交換系統(tǒng)，企業(yè)ERP系統(tǒng)，銀行生產(chǎn)網(wǎng)。

        云計(jì)算中心的虛擬化安全。虛擬化技術(shù)的大量使用，使得云計(jì)算中心的各種資源組成了一個(gè)大的虛擬化世界，在這個(gè)世界里迫切需要建立安全秩序。分租戶的信運(yùn)營(yíng)模式要求在虛擬化網(wǎng)絡(luò)里實(shí)現(xiàn)安全隔離。通過(guò)vSwitch等虛擬網(wǎng)絡(luò)技術(shù)可以事先預(yù)物理環(huán)境相當(dāng)?shù)木W(wǎng)絡(luò)安全隔離防護(hù)。傳統(tǒng)安全產(chǎn)品虛擬化入云可以為虛擬化環(huán)境引入成熟的安全技術(shù)，從而實(shí)現(xiàn)四到七層的應(yīng)用安全。云安全其實(shí)是基于策略的物理安全，因?yàn)樵谡嬲奈锢硇畔⒅行睦锩?，你說(shuō)你的防火墻設(shè)計(jì)一個(gè)策略，或者你的服務(wù)器設(shè)計(jì)一個(gè)策略，這個(gè)策略一般是可以物理治理的。你告訴我主機(jī)在哪里，你在使用這些虛擬機(jī)的時(shí)候你根本就不知道主機(jī)在哪里，你根本就不知道這個(gè)物理資源在哪里。所以你針對(duì)這些主機(jī)，針對(duì)物理的虛擬機(jī)，你的策略是什么。還有就是安全設(shè)備虛擬化入云的問(wèn)題，如果出現(xiàn)問(wèn)題我們可以對(duì)它進(jìn)行隔離，但是一臺(tái)服務(wù)器虛擬除了4臺(tái)服務(wù)器，如果說(shuō)我們說(shuō)它隔離，實(shí)際它是不是隔離?你用什么樣的技術(shù)，能夠既實(shí)現(xiàn)虛擬化的隔離，又能實(shí)現(xiàn)物理當(dāng)中的隔離，我們?cè)朴?jì)算的操作系統(tǒng)對(duì)虛擬資源的調(diào)動(dòng)、分配和管理問(wèn)題。各類安全設(shè)備虛擬化入云，可實(shí)現(xiàn)與虛擬機(jī)綁定的安全防護(hù)。所以做云安全最大的挑戰(zhàn)，你首先還是要掌握這個(gè)云安全操作系統(tǒng)以后，你才可以配合你云安全的策略，所以云安全和云操作系統(tǒng)是不可分割的兩個(gè)方面。

        CIoudFirm的內(nèi)涵。第一是安全管理，把它嵌入到語(yǔ)音的安全管理中心;第二，我們?cè)谔摂M的環(huán)境下，怎么樣在物理資源下推動(dòng)虛擬安全。CIoudFirm設(shè)計(jì)目標(biāo)及指導(dǎo)思想。目標(biāo)：作為獨(dú)立體系華產(chǎn)品嚴(yán)格參照等保要求設(shè)計(jì)、開發(fā)、力求達(dá)到合規(guī)、實(shí)用的設(shè)計(jì)目標(biāo)，滿足等級(jí)保護(hù)二級(jí)要求。我們把CIoudFirm分成兩塊，第一是管理運(yùn)維，第二我們把物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全備份恢復(fù)。CIoudFirm的設(shè)計(jì)思路：第一，安全管理平臺(tái)，云計(jì)算中心安全基礎(chǔ)市的配置管理，包括對(duì)虛擬安全設(shè)備鏡像的管理。第二，安全運(yùn)維平臺(tái)。云計(jì)算中心的日常運(yùn)維管理，對(duì)系統(tǒng)運(yùn)行狀態(tài)、異常事件等各種安全事件進(jìn)行監(jiān)控、記錄、維護(hù)。第三，等保合規(guī)性平臺(tái)。云計(jì)算中心管理制度的管理、文檔記錄、方便進(jìn)行管理。這是CIoudFirm運(yùn)維效果。安全防護(hù)，虛擬機(jī)的設(shè)計(jì)，安全云計(jì)算中心未來(lái)有12個(gè)屏幕，6個(gè)屏幕監(jiān)控資源，6個(gè)監(jiān)控是監(jiān)控云安全的設(shè)計(jì)和相關(guān)的防護(hù)。

       最后總結(jié)一下，等級(jí)保護(hù)體系是云計(jì)算中心建設(shè)運(yùn)維的指導(dǎo)標(biāo)準(zhǔn)。云計(jì)算中心的安全必須在等級(jí)保護(hù)的框架內(nèi)進(jìn)行建設(shè)，同時(shí)充分考慮虛擬化和運(yùn)營(yíng)等新的安全問(wèn)題。現(xiàn)階段基于vSwitch等虛擬網(wǎng)絡(luò)安全技術(shù)和安全設(shè)備虛擬化運(yùn)用是切實(shí)可行的手段。CIoudFirm的設(shè)計(jì)思想不僅要保證云計(jì)算中心的管理安全和運(yùn)維安全，同時(shí)要起到保障合規(guī)性的效果，保證云計(jì)算中心在動(dòng)態(tài)運(yùn)營(yíng)的過(guò)程中始終滿足等級(jí)保護(hù)的要求，切實(shí)達(dá)到相應(yīng)的安全級(jí)別。