【IT168信息化】
近日,由长风开放标准平台软件联盟主办、中国科学院软件研究所协办的2011云计算安全技术国际研讨会,在京召开。会上来自行业内的专家、学者、用户等就云计算安全等话题进行了讨论。
以下是来自中国移动研究院信息安全研究所副所长杨光华精彩发言
▲中国移动研究院信息安全研究所副所长杨光华
我讲的主题是云安全服务,即利用云的方式提供安全服务。
中国移动的云计算基于三种模型,提供两种业务模式。一种是内部应用,即私有云,将所有的支撑系统都放在内部云上。第二种是第三方服务,移动在内蒙古准备建一个万级数量服务器的云计算中心,提供公众云服务,在南方基地也有一个,主要给中小开放商提供云服务。
第一,云平台提供的基础服务设施,成本低,可以在高效的平台上降低人力资本。第二,高性能。第三,资源共享。第四,按需服务,按需服务需要我们理解怎样利用云计算提供弹性计算,进而提供一种安全服务。第五,提供创新来源,通过SaaS提供安全服务,建设业务创新。
中国移动的大云是用各种技术平台搭建的,当然也不排除用第三方公司提供的云计算平台。大云系统在中国移动的很多应用中已经得到了应用,例如应用最多的是其中一个数据挖掘系统,中国移动有六亿多用户,如此多的消费行为需要用云计算平台最典型的高性能计算能力做数据挖掘和存储。
云安全服务从三个层面讲。运营商希望在云端有所作为,安全服务主要集中于智能终端的安全服务以及网络接入的各种安全探征,保证管道是干净的。中国移动有大量的政企客户,大概500多万个对外节点(公有IP), 500万个节点的安全态势,用一套工具很难完成,希望用云平台实现此安全态势感知。
可管理的安全服务一年有二三十亿美金的市场量值,基于IDC的这些服务,可以把安全进行集中提供,把安全保障转化为第三方服务提供给用户。中国移动不管是流量检测平台,还是恶意代码检测等类似于运营商大规模的网络安全监测都建立了很多专业子系统,此检测系统做好的话能够给用户提供安全服务。
目前我们进行的尝试还有利用云平台的虚拟化的基础设施SaaS,将漏洞扫描与此结合,把安全评估服务能够更大范围的提供给各种用户。
云清洗是相对于流量清洗服务的概念。中国移动通过云清洗的概念,希望把需要做安全检测的流量,通过一些标记和流量重新分配的技术,把需要清洗的服务调度到流量检测的平台上。这个能够达到分层清洗,通过不同阶段提升全网的清洗能力
智能终端的云安全服务,也是利用了云的能力。现在有一些手机软件把代码检测考虑放到云端处理,是一个将终端应用在云端的发展方向,移动希望手机杀毒软件在云端处理后铺设到终端,终端只需要存储一些标识即可。
以上服务涉及到八种关键技术。第一是统一样本的分析中心,怎样去把全网的设备采集到的信息(包括是恶意信息)做分析,第二是全网的虚拟化安全设备,第三是相当于云清洗的电信级流量按需索引,第四是多设备间的风险关联和联动,这个是基于安全的态势感知,在这些漏洞之间的风险怎么做关联分析课题。 第五,异常连接发现模型研究,黑名单里面有很多恶意攻击签名,我们希望可以建立正常的业务行为基线即白名单模式,这样可以减少原来的IDS所谓的联合攻击检测不到攻击以及误报的一些问题。第六是扫描任务的资源调度分配算法研究。第七是云计算安全服务整体技术路线研究,这个主要是重大专项和国家标准制定的项目。
关键问题:第一,我们所谓的云计算安全服务,大家是不是认可的?尤其是在中国,服务的运营模式大家是不是认可?我们希望自己完全掌握一套体系,不希望让人远程能够看到。这个模式最好的切入点就是IDC,只要设备在IDC里面,这个安全服务一定会实现。第二,需要科研院所、设备厂商以及运营商联合研究的一些关键技术。