2013年1月13日,北京大學英杰交流中心一層陽光大廳可謂是濟濟一堂、盛況空前,“第三屆中國云計算應用論壇”在此隆重舉行。本次論壇由北京大學信息化與信息管理研究中心和北大CIO班教務辦公室主辦,CIO時代網承辦,北達軟協辦。各企業、信息中心負責人、信息化行業權威專家、云計算專家、有關企事業單位和媒體代表200多人薈萃于此,就云計算與下一代信息化應用模式、基于云計算的共享基礎設施應用、基于云計算的共享平臺應用、基于云計算的物聯網應用、基于云計算的移動應用等主題侃侃而談。

 
  國家信息化專家咨詢委員會委員、中國航天工程咨詢中心研究員曲成義先生做了“云計算應用的機遇與安全挑戰”的主題報告,他在報告中指出,云計算的虛擬化、服務化、集約化帶來應用效果的同時,也帶來安全挑戰。曲老師高屋建瓴的講解獲得在場嘉賓的一致認同。以下為演講實錄:
\
 
 
 
 
國家信息化專家咨詢委員會委員、中國航天工程咨詢中心研究員 曲成義先生
 
  各位專家、代表大家好!剛才寧老師就云計算下一代發展戰略做了一個全面的報告。下面我對云計算的發展機遇與安全跟大家一起探索。
 
  大家知道,當前信息化信息技術為信息化帶來了很多新的機遇,包括云計算、移動互聯網、物聯網、三網融合、智能化位置服務、Web2.0以及大數據等,這些領域都帶來了很多新機遇,今天我主要對云計算帶來的機遇和挑戰做發言。當前信息化的發展,虛擬化、物聯化、移動化、智能化以及融合化、服務化正在成為當前時代的新趨勢。云計算的基本理念,這方面就不談了,大家都很熟悉。云計算的特點,一個是把信息化的資源顆粒化,比如說存儲、計算、軟件、數據、管理資源,這些資源虛擬化而且被顆粒化以后形成各種資源池然后統一整合進行管理,而且資源池本身具有服務化功能,這些資源可以重組、協同、聚合,也可以提供服務,而且這種服務也是具有彈性的。所以云計算的特點是這“五化”:資源虛擬化、資源顆粒化、資源服務化、結構彈性化、資源集約化。虛擬化、服務化和集約化應該是在研究云計算中包括它的應用結構安全上,要認真考慮的。
 
  當然云計算帶來了云終端設備多元化和個性化,各種各樣信息終端都可以成為云計算的終端,給客戶提供非常廣義的服務。云計算現在正在成為當前信息化的發展新趨勢,從最早的網絡計算、效用計算、軟件、按需計算到現在的云計算,這是IT信息化服務的重要發展趨勢。
 
  云計算早期的一些案例,大家也都知道,從最早的2003年亞馬遜,到2007年IBM、2008年微軟的云等等。云計算的支撐環境包括它已經形成一套云計算的開放標準,這些開放標準被國際標準化組織認可,也得到廠商參與。這些云的開放標準對提高云的可用性、安全性、管理服務都有著非常重要的推動作用。另外一定要重視云在企業架構的平滑過渡,保護原來投資下如何進一步發揮云的作用。
 
  云有很多種類型,最開始是內部云,建立部門高效的數據中心,從內部計算中心的集約化、虛擬化、自動化角度首先推動內部數據中心向內部云來推進,所以說云計算是可以先從數據中心的虛擬化開始。這方面包括服務器虛擬化、存儲虛擬化、應用虛擬化、平臺虛擬化、桌面虛擬化。這樣一些虛擬化,剛才寧老師也講了,它確實帶來了非常可觀的好處和效益。也有一些統計,有的說虛擬硬件資源的利用可以提升效率5到6倍,有可能把能耗降低3倍。當然了各個媒體統計的不一樣,但是它所帶來的效果非常明顯,而且虛擬資源的自動遷移時可以實現不停機,另外保證用戶能夠在自動遷移到正常的虛擬機上,所以說在云計算的情況下,業務的次序性就會有很大提升。另外虛擬化的管理能夠提高效率,應用程序的部署原來可以由“日”的時間降到“分鐘”的時間,快速部署。另外可以資源可以自動的調度分配,平衡物理機的利用。統一管理多個虛擬機、統一部署操作系統和應用的升級,這都是云計算所帶來的一些好處。
 
  美國發布了“聯邦政府云計算戰略”,美國現在已經將2400個中心通過云計算的實施以后,在2012年就關閉了450個中心,2015年能降低到436個,為什么呢?因為云計算虛擬化、集約化、服務化可以大量節省成本、提高效率,這個效果是非常明顯。我們國內有的部門已經啟動了,已經開始嘗到云計算帶來的甜頭。從內部云走到私有云再到公有云,這是云的各種類型。那么首先我們要構建好私有云的技術框架,從頂層設計開始構建一個良好的布局。
 
  靈活高效的云有幾種模式,比如私有云、混合云、公有云。私有云,它的特點是它可以按照單位需求進行定制化,而且效率比較高,安全性和隱私性比較好,高可用性;公有云是做好標準化及利用已有的互聯網基礎設施,可以提供高度靈活性,能夠快速部署、按需提供服務。這是當前云計算中私有云、公有云、混合云的模式。通用的云計算服務模式有三種:SaaS,軟件即服務;PaaS,平臺即服務;IaaS,架構即服務。這三種模式,各個部門可以根據自己的需求,企業可以根據市場要求來構建某一種云的服務模式。它們各自都有自己的應用場景; “災備云”里頭就很有發展前景。一個災備云可以同時為多個計算機用戶提供災備服務。所以說它在這方面具有很大優勢;現在還有部門做GIS云,好處也非常明顯,把自己地理信息系統搭在云上,使GIS成為一種多元化、可共享服務,來提供SaaS的地圖服務、PaaS的內容和功能服務、IaaS數據技術中心服務。這方面有很多國際上的案例,像亞馬遜的GIS云,節省資源,提高利用率效率。GIS云將會有力支撐,比如現在我們都搞智慧城市,例如智能交通、智能電網、智能物流等等,GIS云都能發揮很好的作用。
 
  當前是大數據時代,美國2012年3月發布了“大數據研發計劃”.大數據特點是:量大、結構多樣、價值密度低。大數據需要海量挖掘,成為現實,機器、學習、人工智能、數據倉庫。推進大數據智能存儲科學架構有效挖掘,所以大數據應用面很寬。那么云計算將會有力支撐大數據管理、挖掘、服務。隨著大數據時代到來,云計算平臺是成為大數據的有力支撐。 “大數據云”現在正在快速推進。為什么呢?因為有這種需求。2012年全球產生的數據量為2.8ZB.而且當前的大數據除了原來的結構化,現在大量出現非結構化、半結構化的數據,比如手機、城市設想、醫療視頻燈。光北京就有3.8萬個攝像頭,每月累計的數據量大數據10TB,云計算就是一個非常好的支撐平臺。云計算當前應用空間非常廣闊。北京市正在提出政務云、醫療系統提出醫療云、電力將來有電力云,交通云、城市云等。而且很多城市推進城市的云平臺和云應用,北京有“祥云計劃”、上海有“云海計劃”、廣州有“天云計劃”、無錫也提出云平臺。國家云計算“十二五規劃”提出云計算要作為重要部署和重大惠民工程。
 
  當然我們要關注一些其中的關注點,比如如何注重節約成本、嚴謹的流程、采用新技術的方式跟云結合起來、最大回報率,還有我們不光看到云計算帶來的好處也要看到它所帶來的安全挑戰。要給予高度重視,使云能夠健康發展。云計算系統安全的全局對策。比如科學劃分云計算的安全保護等級、構建云計算的安全保障體系、做好云計算安全測評和風險評估。保證云計算帶來好處的同時使它健康發展。
 
  云計算的安全重大事件,有很多。2011年谷歌云平臺郵箱大規模用戶隱私泄露、2011年亞馬遜云計算中心宕機、2011年索尼網站用戶隱私泄露等。不重視它的安全同步進行,這個后果也是非常嚴重,所以重視云計算的安全挑戰,國際上云安全聯盟提出了七種云計算安全的風險,概括的還是很全面的。比如說云計算惡意利用的問題、強化API防范惡意攻擊的有效性、重視用戶隱蔽流程的有效管理、提升云組建在虛擬化重組中的強隔離能力、密鑰使用等等。這七條云計算安全挑戰很有實用價值,值得我們在建立云的時候認真思索參考。
 
  美國政府的云計算安全與對策,他們提出“聯邦風險和授權管理計劃”、“聯邦云計算戰略”,這都起了重要作用,比如怎么保證云安全的評估和授權的透明性、云計算的風險模型和安全基線、根據云數據的安全敏感性定兩條基線和17類模型,等等。這些對于云安全推進非常重要。美國審計署也提出了關于云服務的安全對策,都產生了很多重要的作用。美國政府問責辦也提出了關于云的七大安全挑戰,因為美國已經建立了很多政務云、商務云、醫療云,他的問責辦也提出了七個問題,當然這不單單提給美國,其實對于我們也有參考價值。比如說系統實時監控和物理存儲可視化不落實、安全能力評估與安全級別保障不落實、云計算安全部署和安全服務知識不足、如何驗證云服務商的安全保障能力、數據遷移和互操作的安全有憂慮等等,美國先走一步,總結了這些經驗對世界各國都有重要的參照價值。
 
  所以對于云安全的關注點要從風險管理、法律和電子證據獲取、合規性與審計、信息生命周期管理、可移植性和互操作性、業務連續性和容災、事件響應與容災、應用安全、加密與密鑰管理,我想這些問題都是在云計算建設過程中的安全值得高度重視的。所以對云來說也應該是從物理安全、網絡安全、系統安全、應用安全、數據安全,全面對云計算安全進行治理。
 
  云計算面臨的安全挑戰要歸納起來主要是三大方面,“三化”:虛擬化、服務化、集約化。虛擬化和服務化、集約化給用戶帶來很大的應用效果好處,同時也帶來了安全挑戰,比如說虛擬化給管理帶來很大脆弱性、服務化給用戶的可視化和可核查性帶來一些問題、集約化應用包括用戶邊界隔離和可控性問題。這些問題在構建云的時候都要認真思索。
 
  云計算虛擬化安全問題和治理對策,比如虛擬鏡像文件的加密存儲和完整性檢測。虛擬機多用戶的隔離與加固。虛擬機運算痕跡的徹底清理。有的用戶會發現它的存儲器上存的東西,它不存了,沒清除到,別的用戶一上去還能看到。就是說虛擬化帶來了很多新問題。像虛擬機的強制訪問控制、虛擬化的脆弱性檢查、虛擬化的“等保”與“分保”的安全處置、虛擬機的實時監控與管理、虛擬機的安全遷移、虛擬機的資源利用、等等,這都需要引起我們的高度重視。虛擬化中身份鑒別與訪問授權。比如帳戶有效管理、強制身份認證、鑒別、訪問授權、實時監控、審計、最小化和嚴格的特權管理,這些都是云計算中虛擬化帶來的一些風險,我們要給予高度重視。服務化帶來的安全問題與治理,我們都知道SaaS、IaaS、PaaS服務,這樣對于服務商有個嚴格管理和嚴密的規則,另外對于服務機的完整和清晰。包括服務人員的嚴謹管理和最小特權。大家知道,以前計算中心是你的管理人員在管理,哪個服務器在干什么,都很清晰。可是在云服務的情況下,一概不知。為什么?那是因為由服務商、服務人員服務的設施在處理,所以對于服務人員的嚴格管理和最小授權,服務模式的可控性要重視。還有服務的實時監控的可視化問題。有時候用戶根本不知道自己的程序在哪個服務器上運算,誰來管理這個系統,所以這都是一些帶來的新問題,當然現在也有一些機制、標準正在做;大數據虛擬化的安全治理。比如存放位置合規性問題。比如說虛擬化放置的位置怎么能告知第三方確認。另外服務結束以后,數據的痕跡徹底刪除,等等。在虛擬化的情況下,大數據計算中帶來了很多問題也是要認真解決的;云的創新思想也推動了信息安全框架的更新。比如說在底層結構的虛擬化,在未來防御規則中防控和隔離的問題,等等。所以在云計算的情況下也給信息安全框架的更新帶來了新的理念;云計算服務模式的安全控制,大家都知道。SaaS、PaaS、IaaS模式,都有不同的安全機制,這方面也都要認真考慮。
 
  因此云安全的部署主要是解決好云安全集約化、虛擬化、服務化帶來的風險和挑戰。云模式也啟動了信息安全技術模式新階段。最早從防病毒開始,然后到安全產品部署、安全體系建設,現在進入了云安全模式,我想這是信息技術發展的新階段,以及帶來的新機遇和挑戰。
 
  我的發言就到這里,謝謝大家!

責任編輯:admin