大家下午好，我们是高校，高校是关注各种正在发生的热点事件，也关心国家的一些非常重要的行业领域的关键问题。我们这个实验室由沈院士建立的，从前年开始对云计算的问题开始关注，今天我讲的类似也是关于我们国家幕墙建设领域云的建设。一类企业是他们需要快速建立起来一套系统能够快速的投入工作，一类是政府级的国家重要的行业，这些行业他们对信息安全的需求是非常的强烈。今天我想在这个地方跟大家分享这样几个问题，一是云计算的安全风险，二是重要部门云计算设施的建设要求，三是可信云计算体系的安全架构。

云计算的安全风险

数据迁移到了视野之外导致失控

这张图是一个概要图，表现了几种云的不同模式。我们看到云应该是把服务、计算做了一个视觉化的大的改变，所以管理的服务化以及脱离你自己原来的管理，我们能看到提供的这种动态的虚拟化的资源，通过网络方式以服务的形态呈现给用户。这是一个很好的事情。你们不需要东西在哪儿，也不需要资源存在的细节，这种方法也很保险。但我们碰到一个问题，管理权和服务责任这些东西都转移到服务方了，这个时候你的数据迁移到你的视野之外了，这就比较麻烦。我们安全的很多问题都是由于这个特性引起来的。

过去很多单位如果出现一些情况，不管是哪个问题我可以不说别人就不知道，就没有重大的泄密事件的发生。但现在你的东西已经在你的视野之外了，你没有一个可以信赖的自己人的概念。所以，这种信任的问题就比较严重，你必须去转向依赖某些规则，这是一个很大的变革。

资源虚拟化让物理边界被弱化

另外一点是资源虚拟化。资源虚拟化是很好的一件事情，它可以按需生成一些虚拟资源，动态调整一些资源，可以实现资源的迁移。这都是很好的特性，但这个时候我们会看到一些东西，资源虚拟化是靠软件去定制的，它非常灵活。但有两个问题，从名字自讲的很清楚，虚拟化，它没有一个物理边界。这时我们可以看到过去许多由物理边界形成的安全屏障就被弱化了，这会引起许多其他问题。虚拟化带来很多好处，大家虚拟资源的安全边界是比较弱的，这也是一个很大的问题。

关于云的安全有很多很多，刚才谈了两点，一个是数据在你的视野之外，失去了控制。再一个是由虚拟化引起的边界防范能力弱化，这是值得我们关注的问题。

风险来源

简单列一下风险来源。云的经销商对任何一个客户来说他是不可估不可信的，这是风险的一个来源。我们要应对资源的安全，隐私保护等等，这些东西目前看是一个比较大的阻碍云发展的因素，有很多不可信、不可靠的声音让我们不敢大量的发展云的建设。

另外法规在这方面是缺失的。在服务方只能承担有限责任，只在具有有限能力的条件下应对这些难题，使上述的任务变得更为艰巨。你可能不得不依靠一个有限的服务能力服务方由他们提供服务，所以这个问题就变得更难了。

其实我们还看到另外一点，根据统计资料，应该说我们国家在云的这些关键的背景下趋于虚拟化。有很多东西已经外化了，已经不在你的手里，具体实施的时候，这些工具还不是我们掌握的，这一点不是自主的，这种现象已经非常严重的。所以在一个重要部门，信息的管理我们应该遵循哪些原则，这是一个非常严重的事情。沈院士带着北工大其他的同事在国家要求层面做了一些方案。

所做的一些努力

第一，重要部门，政府部门、影响国家运行的重要行业、影响社会生活的重要行业都算重要部门。他们的云设施建设必须遵循我们国家的某些要求，这是一个强制性的规定。因为这些数据内容很多是涉及到机密性信息或者其他信息的。

第二，在我们完成保护要求的时候，按照现有的一些标准，有这么几项。一个是要构造安全的需求环境，二是有安全的虚拟边界。所有这些元素应该在安全管理中心的统一管理之下去运行。一个高等级的信息系统，它的安全设计上必须由这些元素构成。可信的时候我们要做的事情是构建一个保护环境，你的硬件建成一个可信文档。按照国家比较早的一个标准，17859的要求，我们在构建的时候具体设定也有一些标准，构建一些具体的细节。

可信保障要点，要在系统里建立一个可信的环境，对应用系统的行为进行监督。因为在云环境下，很多租户在同一环境下，他有什么行为我们必须在里面做动态的监控。我们强调今后不是盲目的分析行为，而是会基于一些行为声明，去分析他的行为。

注意管理和服务层面问题

实时探索其实有一个思路，我们现在一直在做但没有成熟的经验。要坚持正确的路线，从实际出发，这是一个基本的要求。技术平台应该怎么管理，方案怎么实施，尽管保持原有系统的功能和结构。前面的一些东西不是缺失的，现在正在做，后面的东西是缺失的，我们有一些建设的规范。我们讲对系统构成的设备，那些系统，对它的要求，但是这个系统整体赚钱了以后，50%以上的问题会出在管理和服务层面。这些东西怎么做?现在是处于探索阶段，没有一个规范。所以说对用户你要清楚自己的要求，不是说你把服务委托了以后你就没责任了，出了问题都是你的，到底有什么要求一定要讲清楚，并且能够列举出来，不要泛泛的讲我有哪些方面的要求。并且要求这些要求是用某种手段可以验证的，这样你列举的东西才可以有人给你做保障的，并且最好是能够证明的。

注意服务的边界

再有服务商要清楚你的利用服务的边界可以做到什么程度，要有适当的资质，这些东西都要逐渐的建立。目前来看，我们有产品的认定，但是整体的评估资质我们正在做。希望各个企业在服务规范方面要积极的探索，为将来建立这种规范提供一些实际的经验。

架构基本上，我们会有一个管理中心，有一个可信安全的计算环境，有一个可信的技术边界，通过可信的网络去连接到环境以外的地方。这个跟我们目前的云环境自然匹配，这就是一个课题，在云环境下有什么样的资源是我们自己掌握的。

可信计算环境的建立

从一个具体结构来讲，可以这样说，这只是一种建议。我们还是这样一个元素，一个是在安全管理中心支撑下，有可信的计算环境，有可信的区域网络，也有可信的技术边界。首先在一个独立的计算环境下，我们希望从启动开始就要验证是不是没有被人家改过，还存不存在一种风险。通过这种验证以后，认为这个软件没有被改过，它可以引导起来。然后会检查操作系统有没有被破坏，如果没有被破坏，这样逐渐的建立一个可信的计算环境，进行可信的传递，最后到服务这边。在工作的时候，应用服务应该首先确认自己的计算环境是不是我需要的那一个，因为在云上面你是远程的，你不知道有谁去访问这个东西，如果破坏的话，你要有方法验证破坏的发生。

通过可信网络来保证安全环境里所有的设备都是具有身份的，我们要进行身份的确认，通过可信验证。然后是安全策略，安全策略包含一般安全可信的授权问题。我们要求一个是必须满足等级保护的要求，我们国家面临的所有的大的云的建设，都会承担一些重要级任务。他们要去建设，必然通过这种检查。具体实施的时候，可信、可控、可管是根本，这个根本如果不能实现，我们所有设施的基本检查，虽然所有设备都是达标的，但整个系统可能会存在问题。基本系统要遵循T250的标准。

在整体这样做的时候，一个重要的问题就是服务和管理，这个需要发展。有这么一个原则，从国情出发，积极实践，逐步完善，这是一个逐渐的过程。我们想交流的东西基本就是这些内容，谢谢大家!