雲計算安全論壇：從加密、雲安全架構到可信計算面面觀

【CSDN現場報導】第六屆中國雲計算大會于2014年5月20-23日在北京國家會議中心拉開帷幕。 本次大會立足實踐，以國際化的視野，説明出席者瞭解全球雲計算技術的發展趨勢;從應用出發，探討交通、醫療、教育、金融、製造、數位娛樂等行業領域的實踐經驗;並通過技術專場、產品發佈和培訓課程等方式， 深度剖析雲計算大資料的核心技術。

中國科學技術大學資訊處理中心主任、教授 俞能海

「雲計算安全論壇」在中國科學技術大學資訊處理中心主任、教授俞能海的主持下，正式開始。 雲計算的落地和行動裝置的普及向資訊安全提出了新的挑戰，產生了新的IT環境下的新問題，如公用雲資料安全、專用雲防禦、移動支付安全等。 本論壇中安全領域的專家、學者就雲計算安全所面臨的問題，以更加務實科學的態度提出我國雲計算安全發展的特色路徑與突破方法。

中國科學院軟體研究所研究員 張敏

中國科學院軟體研究所研究員張敏首先發表了演講「密文檢索——打開雲存儲加密桎梏的金鑰匙」。 雲計算已經成為不可逆轉的技術趨勢，對於個人來說，每個人每天在網上都會產生大量的資料，其中包括主動公開的資料，如網上曬的圖片和文章等。 還有很大一部分是我們希望自己獨享或者跟自己親近朋友才分享的資訊，比如商業上重要的文檔或者自己個人覺得比較敏感私密性的照片等等。 但是這些個人隱私資料也都是存儲在互聯網上或者在服務商的伺服器上，加密成為確保這些資料安全的重要手段，但是加密會帶來使用上的不方便等等，其中最大的一個問題是查詢和檢索的不便，於是產生了密文檢索的需求。

密文檢索的目標是支援使用者查找遠端伺服器上的密文資訊。 廣義的密文檢索包括可搜索加密和外包資料庫加密檢索。 可搜索加密是指通過關鍵詞對非結構化的資訊，如文檔進行檢索。 可搜索加密又分為對稱可搜索加密(SSE，使用者既是密文資料生成者，又是密文資訊檢索者)和非對稱可搜索加密(ASE，密文資料生成者與密文資料檢索者並非同一人)。 外包資料庫加密檢索，是指標對結構化資料的檢索，但是 存儲在伺服器上的資訊全是密文資訊，伺服器並不掌控我的金鑰。 張敏在演講仲介紹了密文檢索目前的發展狀況與未來的趨勢。

張敏所在的中科院軟體所中，TCA實驗室研發的「雲存儲安全支撐平臺」已經實現了演講仲介紹的密文檢索功能。 現在國家標準草案「雲存儲安全技術要求」當中也有密文檢索的相關要求，張 敏認為密文檢索技術正從科研走向實用化，未來或將成為雲計算中心、資料中心不可缺少的組成部分。

國家電腦網路應急技術處理協調中心副主任、總工程師 雲曉春

國家電腦網路應急技術處理協調中心副主任、總工程師雲曉春帶來的演講是「提升基於網路大資料的安全分析能力」。 國家電腦網路應急技術處理協調中心每年年初，都會發佈上一年國內互聯網安全實踐的情況。 根據今年3月份的最新資料，我國仍面臨大量來自境外位址的攻擊威脅。 2013年，境外有3.1萬台主機通過植入後門對境內6.1萬個網站實施遠端控制，雖然境外控制主機數量較2012年下降4.3%，但所控制的境內網站數量卻大幅增長62.1%。 從所控制的境內網站數量看，位於美國的主機居首位，共有6215台主機控制著境內15349個網站，平均每個主機控制2.5個境內網站，較2012年(約1.4個)增長78.6%。 其次是中國香港，控制境內13116個網站，較2012年大幅增長179.5%。 排名第三的是韓國，控制境內7052個網站，較2012年下降11.1%。

在網路釣魚攻擊方面，針對我國的釣魚網站有90.2%位於境外，共有3823個境外IP位址承載29966個針對我國境內網站的仿冒頁面，分別較2012年增長54.3%和27.8%。 從承載的釣魚頁面數量看，美國仍居首位，共有2043台主機承載12573個釣魚頁面，中國香港和韓國列第二、三位，分別承載4500個和1093個釣魚頁面。

雲曉春認為基於網路大資料的安全分析能在4個方面發揮作用：第一，在感知安全威脅方面能夠找到一些解決辦法;第二評估安全狀況;第三，預測安全趨勢;第四，追根溯源安全根源。 根據國家電腦網路應急技術處理協調中心中心在今年年初發佈的2013年國內互聯網安全情況，境內1090萬台主機被境外2.9萬個伺服器控制，政府機構、基礎電信企業、科研院所、大型商業機構的網路資訊系統多次遭受攻擊 。

基於網路大資料的安全分析可以從四個步驟構成分析的流程，第一步，提交任務，因為所謂大資料不存在靈丹妙藥說一個方法能夠解決所有問題，它一定是有針對性的，針對不同的安全目標，針對不同的安全場景，針對不同的安全任務， 要有不同的分析方法，因此第一步就是要對任務分析，抽象安全場景，對安全目標進行確定。 第二步，有了這個場景和目標以後，就可以瞭解到我們的資料來源到底有哪些，理解我們的資料，構想相應的模型。 第三步，有了相應的模型，要選擇控制項，設計流程，小樣本單步測試，多維度驗證。 最後一步，在模式庫裡面確定分析邏輯，設置合適參數，最後把整個分析任務、分析模式固化。 這是我們認為基於大資料安全分析應該的安全分析流程。

阿裡雲安全部安全專家 沈錫鏞

阿裡雲安全部安全專家沈錫鏞的演講題目是「雲計算安全感」，這也是阿裡巴巴安全部第一次出現在雲計算大會上。 目前阿裡雲有大量使用者，在使用者分類跟一般的雲相比比較複雜，有大家傳統認為的中小網站，也有像政府、電商等，在輸出形態上也有很大的差異，沈錫鏞的演講主要從政務行業使用者角度，解讀了使用雲計算服務安全的困惑。

阿裡雲在和客戶尤其政務客戶接觸的過程中，被問到最多的就是資料安全如何保證、使用者是不是能夠被有效隔離等等。 沈錫鏞認為雲安全服務是雲服務商預設就應該提供給客戶的。 為什麼這麼講?雲計算環境下，不能使用傳統的防火牆了，但是事還是要做，所以在雲安全服務過程當中必須打造傳統使用者需要的安全功能。

如何打造呢?沈錫鏞認為具有以下特徵的雲平臺能滿足需求：

具備低成本、高精度、大規模的安全防禦架構;

平臺自身具備完整的資料安全保護能力;

全面合規，對行業使用者來講，尤其是政務和金融使用者來講，這是一個最基礎的要求。

最後沈錫鏞用「若非建雲、焉知安全，若非安全、焉敢入雲」結束了演講：很多人覺得上了雲不安全，但是你想不到可能雲中的資料更安全，因為雲端可以讓做到很多以前做不到的事情。

360公司首席隱私官、副總裁 譚曉生

接下來，360公司首席隱私官、副總裁譚曉生在演講「基於大資料分析的網路攻擊檢測」介紹了如何用雲計算技術解決安全問題。 360作為安全公司是被別人攻擊的重點，作為一個安全公司如果說你被別人滲透過來，惡意的樣本被載入等等影響是非常大的，甚至會關係到國家安全層面的東西。

而且，現在的安全問題已經不是過去傳統的釣魚、掛馬等，新型的攻擊方式如APT攻擊才是今天網路安全防範的重點和難點。 譚曉生認為APT攻擊的精髓是攻擊已經不再局限于僅利用 電腦的弱點和漏洞，而是結合社交工程學，利用人的弱點。 現在的安全防禦應該基於四個假設：

系統有未發現的漏洞;

系統有已發現的漏洞 未修補;

系統已經 被滲透;

員工不可靠。

比如，360對員工的密碼要求是最低15位，而且必須是多種組合，360有兩台伺服器是專門7*24小時對員工密碼進行暴力破解的，只要能被破掉的必須改。

譚曉生還介紹了360通過大資料的即時視覺化對攻擊進行分析的幾個例子。 360的大資料平臺採用了Hadoop和Storm技術，資料量：

即時監聽100G頻寬，每天清洗之後存儲資料是50TB，對一個攻擊回應時間是10秒

存儲&計算伺服器規模超過15000台 總存儲資料量200PB，每天新增1PB

每天計算任務20000個，每天計算處理資料3.5PB

譚曉生認為在現在的網路安全防範，包括雲計算思維或者公有雲的防範，有一招是現在不得不用的，就是基於大資料全流量監聽，聽下來之後在裡面找異常攻擊。 這裡面需要解決的問題是資料的隱私保護問題，因為你把所有的資料都聽下來了，包括在辦公室出口和核心交換上做的聽包，對大家的日常郵件等都能聽到。 企業員工簽署協定就要接受這樣的監管，但是如果把它應用在更大的公有雲範圍內就會有隱私的問題。

雲安全聯盟全球首席戰略外交官 李雨航

雲安全聯盟全球首席戰略外交官李雨航在「雲計算安全論壇」帶來的演講為「化干戈為玉帛」，李雨航介紹了雲安全聯盟總結的九大雲安全威脅：

Data breaches

Data loss

Account or service traffic hijacking (帳號劫持或服務流量劫持)

Insecure interfaces and APIs (不安全介面/應用程式介面)

Denial of service (拒絕服務攻擊)

Malicious insiders

Abuse of cloud services (濫用雲服務)

Insufficient due diligence

Shared technology vulnerabilities (共用技術中的漏洞)

十大安全雲：

Identity and Access Management (IAM) – 身份雲

Data Loss Prevention (DLP)

Web Security

Email Security

Security Assessments

Intrusion Management, Detection, and Prevention (IDS/IDP)

Security Information and Event Management (SIEM) – 安全監控雲

Encryption

Business Continuity and Disaster Recovery (BCDR)

Network Security

Gartner認為其中的身份雲和安全監控雲是需要引起重視的。 目前，雲安全聯盟中國辦事處已經正式成立，華為和國內多家研究機構加入了聯盟。

圓桌討論環節

最後，武漢大學教授、博士生導師張煥國主持了最後的圓桌討論環節，英特爾雲安全解決方案架構師李彥，華為技術有限公司雲計算安全架構師葉思海，書生安全雲CTO、天津書生軟體公司總經理金友兵共同討論了「 端到端中國可信雲基礎設施和解決方案」。

張煥國首先介紹了可信計算技術產生的背景：大多數不採用雲計算的原因是擔心雲的「資訊安全與隱私保護問題」，可信計算技術就是產生于這個原因，目標就是提高電腦資訊系統的可信性讓使用者相信。 2012年6月，武漢大學、英特爾、國民技術、華為、百敖、中標軟體、道裡雲，共同發起成立了中國可信雲計算社區。

英特爾作為硬體廠商也在推出相應的解決方案，李彥介紹了英特爾的可信執行技術(TXT)、可信計算池(TCP)、開放式驗證(OAT)。 華為在這方面首先完成了可信雲伺服器的開發，並且實現了產業化。 葉思海認為以實現產業化為目標，以重點應用為切入點，實行產學研合作開發，是發展我國可信計算技術與產業的一種有效途徑。