【IT168信息化】

　　近日，由长风开放标准平台软件联盟主办、中国科学院软件研究所协办的2011云计算安全技术国际研讨会，在京召开。会上来自行业内的专家、学者、用户等就云计算安全等话题进行了讨论。

　　以下是来自云安全联盟中国分会理事、绿盟科技首席战略官 赵粮精彩发言

▲云安全联盟中国分会理事、绿盟科技首席战略官 赵粮

　　CSA(绿盟科技)，2009年成立，到有100多家企业会员，有26000多个人会员，全球有2000多个地区性的行业分会。CSA不但规模发展很快，研究也硕果累累。

　　其中一个成果是《云安全指南》，推出了一个云安全控制矩阵、云安全可信架构，可信云和应用可信云的协议、CCSK的认证。

　　三个网络安全事件。

　　第一个安全事件，马来西亚行动。前不久对马来西亚的攻击造成的损失很大，十几个网站被宕机和入侵。但是在攻击的背后，主要是这么一个工具，工具和方式都很简单。这种攻击相对比较容易，但是收益较小。现在攻击越来越快，越来越成本，从原来的单机演变成基于僵尸的云服务。

　　第二个，索尼的攻击，每次损失很大，财报上是1.7亿的损失，但是可能损失会更多。作为目前安全运维事件，没有足够的信息掌握版本更新换代的问题。

　　第三，RSA遭受的ATP攻击。

　　学术界可能有学术界的研究，工业界可能有工业界的反思。谷歌发现了攻击，然后进一步进行了溯源。IBM发表了攻击的检测方法。但是攻击还是越来越多，并且大家认为它在水面下面的冰山其实还有更多。

　　工业界的安全体系，是一个相对比较落后的体系。我们称之为静态防御，以前的防御叫主动防御，但是进入云计算、移动互联网时代，这个模型受到了很大的挑战，比如防火墙，要基于应用和内容。要想实现这点，就需要很多方面的变革。

　　知己知彼很重要。要打破以前每一个安全系统的竖井或者相互隔离的数据，必须要做到对当前网络当中存在的威胁要心里有数。密网系统，可以更全面的记录攻击者的行为，捕获到攻击者使用的样本，发现一些尚未所知的威胁。

　　在目前云计算的时代，需要有意识的利用业界或者是计算领域在用的先进的技术，例如自动网页分类技术。安全防御方的经济效益要跟攻击方的经济效益要有可比性。

　　下一代安全概念当中。第一，作为安全使用者，需要建立一个比现在要更密切点关系和信任关系，当信任关系需要法律法规和一些行业组织，但是这个信任关系必不可少，少了这个关系就没有办法形成支撑生产力有效提高的体系，作为防御方就不可能跟得上攻击方的步伐。第二个，智能。从内部获得信息经过处理后，以云的形式交付出去。第三，安全系统本身。需要摒弃黑盒子不能灵活迅速升级和互相集成、互相对叉的体系，其实安全系统在SOA方面没有有效的做到这点，在下一代安全或者是云计算时代下的安全体系，需要朝这个方面演进。第四，实时响应。这些安全威胁是时时刻刻发生的。

　　有了以上这四个支柱，在下一代安全体系进行相对有效的分工以后，由于规模效应，可以产生相对专业的情报提供商，和安全服务提供商，把安全作为服务交互。当安全实现了变革后，能够给使用者甚至整个业界带来很多本质性的好处，包括可以变得更加有效。第二个是相对的低成本。第三，把目前这种救火队员的安全实践变得更加可持续和更加有效。

　　围绕这几个安全事件和下一代基于智能的安全体系，从政府到企业需要采取一些行动，促进用户和提供商之间的可信任。但是实际上云计算本身就是基于假设的信任才出现的，另外行业主管或者政府主管部门应该着手建立数据交换和处理、挖掘以及早期预警系统，广泛提供给行业来使用。企业需要建立一定的情报分析能力，跟识别出来的可信提供商建立伙伴关系。中小企业作为使用者，应该勇于采用基于云安全交互的业务。