从银行看构建可信云计算的安全思路

ZDNET安全频道 06月08日 北京报道： 为期三天的第五届中国云计算大会在阴雨绵绵中度过，放佛和今年的大会主题很应景，聚焦云计算应用和创新，云落地是我们看到和听到最多的。不过，伴随着安全问题，云计算带给人们的似乎也有挥之不去的阴影。

6月7日的云计算安全专题论坛达到了爆棚的热度，用户存在对云计算应用与担忧，现场的专家则提出了云计算安全面临的挑战与应对策略。

针对云计算服务模式和资源池的特征，云安全继承了传统信息安全特点，更凸显了传统信息安全在数据管理和共享虚拟安全等问题，同时改变了传统信息安全服务模式。

从云计算资源池层面来看，一是虚拟化，将存储、计算等资源虚拟化统一管理。二是多租户公用资源，可根据多租户的需求而弹性配置。另外，资源虚拟集中后如何保证不被非法租用。这其中产生的就是如何管控虚拟资源和多租户，即共享虚拟安全。

从云计算的服务模式来看，安全面临的问题一是数据隐私安全，将数据外包给云服务商如何保证数据隐私与安全?二是服务可信性，如何确定云服务商反馈的服务是可信的?失去数据的物理控制及数据位置不确定如何安全，即数据失控风险。

中国科学院软件研究所研究员冯登国表示，面向云计算的数据安全与隐私保护等安全目标，亟需从关键技术、标准规范、测评监督等不同层面构建适应云安全保障目标的技术与服务体系。冯登国从云安全应用服务、云安全共性服务、云安全基础设施服务三方面提出了云安全服务体系的构建思路。

武汉大学计算机学院教授张焕国强调了云计算基础设施和平台的安全可信问题，云服务的安全可信问题和云数据的安全可信问题。只有云计算得到广大用户的信任，用户才会使用云计算，云计算才能发挥实际作用，才能真正成功!

张焕国教授提出了从银行看云计算构建可信云计算的思路，他认为，银行已经得到广大用户的信任，因此银行在世界范围内得到广大用户的应用，在世界经济和金融领域发挥了重要的作用。从资源共享和服务角度看，云计算相当于一个“数据银行”。

因此，云计算的建设应当借鉴银行的成功经验，由此得到一些值得云计算借鉴的技术思想。首先，从云计算中的基础设施、平台与服务来看，同银行一样，云计算也应提供好的服务。好的标准主要是快捷方便与安全可靠，快捷方便、安全可靠就会得到用户的信任，用户信任才会使用云计算。

第二，从云计算中的隐私保护来说，云计算应当保护用户的隐私。张焕国列举了隐私保护技术，包括访问控制、虚拟机隔离、密码技术、匿名技术和阻止利用数据挖掘获取别人隐私。

第三，从云计算中数据的可感知性来看，在云计算中，数据也应是用户可感知的。借鉴银行的做法，比如让用户感知数据的完整性、让用户感知数据的操作日志，让用户感知数据的所属权。

第四，云计算中数据的可控性也应借鉴银行保险柜的做法，由用户控制重要数据的存取和处理。在重要数据加密存储方面，张焕国给出的建议是，让用户掌握一个密钥，云计算管理者掌握一个密钥，同时有两个密钥才能解密。还包括基于USB-Key的用户数据可控性技术。

另外，张焕国教授还提到了云计算的可信性技术，比如可信计算的远程证明技术。还包括云计算的保障性技术，比如云计算完善管理和法律保障问题等。

在论坛上，张焕国教授表达了对中国可信计算的自信态度，据了解，中国已公布了3个可信计算技术标准。可信计算产品产业化方面，比如TPM芯片、可信PC、可信服务器、可信PDA和可信计算平台测评系统，水平不低，张焕国认为，中国已经站在国际可信计算领域的前列。