2011年5月18日，應(yīng)用與創(chuàng)新第三屆中國(guó)云計(jì)算大會(huì)云基地專場(chǎng)在北京云基地二層舉辦。中云網(wǎng)作為本屆云計(jì)算大會(huì)云基地專場(chǎng)官方指定戰(zhàn)略合作門戶網(wǎng)站和官方指定的合作新聞中心，進(jìn)行全方位的視頻、圖文采訪與直播。

19日下午，“應(yīng)用高峰論壇”在云基地召開，網(wǎng)域星云副總監(jiān)兼CPO畢學(xué)堯出席大會(huì)并發(fā)表主題演講。

 

網(wǎng)域星云副總監(jiān)兼CPO畢學(xué)堯（中云網(wǎng)攝）

以下是網(wǎng)域星云副總監(jiān)兼CPO畢學(xué)堯的演講全文：

主持人：

非常歡迎各位嘉賓光臨北京云基地，我是今天論壇的主持人辛建波，我是云基地公司的董事長(zhǎng)助理。首先我代表云基地對(duì)大家的光臨表示歡迎，大家知道現(xiàn)在我們?cè)谡匍_的是第三屆中國(guó)云計(jì)算大會(huì)的北京云基地的分會(huì)場(chǎng)。今天下午我們的論壇應(yīng)該是云計(jì)算的應(yīng)用與實(shí)踐。

大家今天光臨我們的云基地，也看到了我們北京云基地在云計(jì)算方面的產(chǎn)品和服務(wù)，包括我們的模塊化數(shù)據(jù)服務(wù)的產(chǎn)品、云箱，包括我們?cè)谔摂M化的云計(jì)算操作系統(tǒng)方面的軟件，智能的管理系統(tǒng)的軟件。也包括了我們超云服務(wù)器，其實(shí)通過(guò)大家的參觀和光臨，大家可以看到我們?cè)诒本┰苹匾呀?jīng)形成了關(guān)于云計(jì)算比較完整初具規(guī)模的產(chǎn)業(yè)鏈。今年我們可以認(rèn)為是云計(jì)算運(yùn)用的元年，在這樣一個(gè)元年我們?cè)谶@里歡聚一堂一起來(lái)探討云計(jì)算的應(yīng)用，我覺(jué)得這是一個(gè)非常好的機(jī)會(huì)。

昨天我參加了由北京市一些相關(guān)部委，包括經(jīng)信委、發(fā)改委、中關(guān)村管委會(huì)指導(dǎo)由我們北京云基地和其他兩個(gè)單位主辦的北京市的第二屆國(guó)際云計(jì)算高層論壇，昨天上午在北京飯店舉行，它的主題跟我們今天的主題一樣，都是在講云計(jì)算的應(yīng)用與實(shí)踐。所以云計(jì)算同前兩年的呼之欲出，大家覺(jué)得有模糊的情況存在，一直到今年從運(yùn)營(yíng)商和各個(gè)行業(yè)的普遍應(yīng)用開始，云計(jì)算已經(jīng)從概念，從大家的規(guī)劃落地到應(yīng)用和實(shí)踐。今天下午我們也邀請(qǐng)了幾位嘉賓對(duì)云計(jì)算的應(yīng)用、云計(jì)算的產(chǎn)品、云計(jì)算的解決方案跟大家一起做分享。

下面我們首先有請(qǐng)今天下午分論壇的第一位演講嘉賓，來(lái)自網(wǎng)域星云的副總監(jiān)兼CPO畢博士跟大家分享。

畢學(xué)堯：

大家下午好!

我是網(wǎng)域星云公司的CPO畢學(xué)堯，非常容幸今天下午在這里跟大家分享我們公司針對(duì)云計(jì)算安全提出的一些技術(shù)和解決方案。

首先我花一點(diǎn)時(shí)間簡(jiǎn)單介紹一下網(wǎng)域星云公司，它是一家傳統(tǒng)的安全廠商，目前產(chǎn)品已經(jīng)覆蓋網(wǎng)絡(luò)安全防護(hù)、應(yīng)用與復(fù)制安全、安全管理等多個(gè)領(lǐng)域。目前在信息安全行業(yè)從業(yè)最高最全的資質(zhì)，目前公司有600余人?？赡艽蠹覍?duì)網(wǎng)域星云比較陌生，我們前身是源于1999年聯(lián)想研究院的信息安全研究室在2004年專門成立了聯(lián)想網(wǎng)域科技公司，在今年公司正式更名為網(wǎng)域星云，我們先后推出千兆線速防火墻。今年我們和網(wǎng)域星云進(jìn)行資產(chǎn)重組，兩個(gè)公司會(huì)發(fā)揮各自的優(yōu)勢(shì)，在新一代的計(jì)算環(huán)境當(dāng)中提供新的技術(shù)和解決方案。

我們的業(yè)務(wù)戰(zhàn)略就是這三句話，鞏固網(wǎng)絡(luò)安全業(yè)務(wù)、發(fā)展應(yīng)用安全業(yè)務(wù)、布局云計(jì)算安全業(yè)務(wù)。今天我在這里跟大家匯報(bào)一下，我們針對(duì)云計(jì)算新的應(yīng)用服務(wù)模式，我們?cè)趺凑线^(guò)去已經(jīng)形成成熟的技術(shù)和產(chǎn)品，以提供新的解決方案。

大家都知道安全已經(jīng)成為阻礙云計(jì)算發(fā)展的一個(gè)障礙點(diǎn)，這里面我們認(rèn)為有三類比較大的挑戰(zhàn)，第一個(gè)挑戰(zhàn)就是新的計(jì)算模式帶來(lái)的安全問(wèn)題，從應(yīng)用訪問(wèn)、配制管理以及用戶使用方面都有相應(yīng)的安全威脅。在訪問(wèn)方面用戶數(shù)據(jù)對(duì)用戶是透明的，對(duì)服務(wù)商是不是也是透明的。云資源充分共享利用能否限制越權(quán)訪問(wèn)，在云計(jì)算環(huán)境當(dāng)中的數(shù)據(jù)是不是能夠妥善的管理，能夠防止用戶信息泄露和越權(quán)訪問(wèn)。在運(yùn)營(yíng)商的管理方面也有威脅，在云資源的使用方面會(huì)被發(fā)動(dòng)大規(guī)模攻擊。

第二個(gè)挑戰(zhàn)就是新的存儲(chǔ)模式帶來(lái)的問(wèn)題，包括數(shù)據(jù)的隔離、數(shù)據(jù)的備份、恢復(fù)等等。怎么能夠保證它在不同的系統(tǒng)當(dāng)中安全隔離，在遷移的時(shí)候能夠?qū)崿F(xiàn)安全的銷毀和清楚。在虛擬存儲(chǔ)當(dāng)中怎么能夠?qū)崿F(xiàn)大規(guī)模數(shù)據(jù)的備份和恢復(fù)都面臨新的問(wèn)題，包括遵守法律法規(guī)能夠抵御大規(guī)模的風(fēng)險(xiǎn)，包括國(guó)家經(jīng)濟(jì)和社會(huì)生活的安全穩(wěn)定，其實(shí)都涉及到新的風(fēng)險(xiǎn)管理問(wèn)題。

針對(duì)這幾方面的挑戰(zhàn)，我們目前重點(diǎn)研究第一類挑戰(zhàn)，就是新的計(jì)算模式帶來(lái)的安全問(wèn)題，這里面有這樣幾個(gè)問(wèn)題，換個(gè)角度來(lái)看問(wèn)題有這樣幾個(gè)挑戰(zhàn)。一個(gè)是云計(jì)算環(huán)境它所依賴的技術(shù)大部分還是傳統(tǒng)的網(wǎng)絡(luò)和計(jì)算技術(shù)，它面臨的威脅其實(shí)在傳統(tǒng)的系統(tǒng)中同樣存在。比如說(shuō)拒絕服務(wù)供給問(wèn)題，網(wǎng)絡(luò)邊界也在不斷變化，原來(lái)可見的網(wǎng)絡(luò)部署一下網(wǎng)關(guān)做訪問(wèn)控制，現(xiàn)在很多系統(tǒng)開始虛擬運(yùn)行在一個(gè)主機(jī)當(dāng)中，邊界實(shí)際上退后到主機(jī)當(dāng)中，怎么對(duì)虛擬操作系統(tǒng)進(jìn)行隔離和訪問(wèn)控制，這樣就產(chǎn)生了新問(wèn)題。

我們?cè)谙到y(tǒng)當(dāng)中提供的應(yīng)用，這些應(yīng)用的用戶數(shù)量非常大，訪問(wèn)控制的難度也比較大。怎么樣對(duì)云計(jì)算環(huán)境的應(yīng)用資源進(jìn)行安全的接入控制，可以認(rèn)為是這三個(gè)具體的問(wèn)題。一個(gè)是傳統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題;第二個(gè)是應(yīng)用虛擬化計(jì)算產(chǎn)生新的安全隱患;第三個(gè)是針對(duì)應(yīng)用怎么提供應(yīng)用級(jí)的保護(hù)和接入控制。

針對(duì)這個(gè)挑戰(zhàn)我們提出來(lái)云計(jì)算安全服務(wù)，具體來(lái)說(shuō)就是我們可以提供統(tǒng)一的云安全服務(wù)，包括流量清洗、認(rèn)證授權(quán)、WEB應(yīng)用安全防護(hù)、虛擬安全網(wǎng)關(guān)、安全審計(jì)等五大安全服務(wù)，這些服務(wù)現(xiàn)在我們都有獨(dú)立的安全產(chǎn)品，而且以硬件為主。將來(lái)在云計(jì)算環(huán)境當(dāng)中，除去跟流量相關(guān)的安全服務(wù)以外，還要依賴特定的硬件，其他的其實(shí)都可以通過(guò)軟件以安全方式提供，這幾個(gè)有相應(yīng)的邏輯關(guān)系。

云計(jì)算外圍的網(wǎng)絡(luò)安全防護(hù)，我們重點(diǎn)提供流量清洗，可能有的人對(duì)流量清洗不是很清楚，針對(duì)很大的城域網(wǎng)和廣域網(wǎng)，我們可以設(shè)置專門的流量清洗系統(tǒng)，對(duì)攻擊進(jìn)行識(shí)別、過(guò)濾和控制。在用戶訪問(wèn)應(yīng)用的過(guò)程當(dāng)中我們提供認(rèn)證授權(quán)服務(wù)，可以支持多種認(rèn)證形式，提供訪問(wèn)控制。在云計(jì)算應(yīng)用模式當(dāng)中，以外部應(yīng)用居多，針對(duì)WEB應(yīng)用它又有什么獨(dú)特的安全威脅，針對(duì)運(yùn)行的虛擬環(huán)境當(dāng)中各個(gè)主機(jī)系統(tǒng)來(lái)說(shuō)，我們提供虛擬安全網(wǎng)關(guān)可以進(jìn)行動(dòng)態(tài)下發(fā)部署，或者在一個(gè)系統(tǒng)當(dāng)中多個(gè)虛擬主機(jī)之間可以做到訪問(wèn)的隔離、訪問(wèn)的控制以及攻擊過(guò)濾、病毒過(guò)濾等多種傳統(tǒng)安全網(wǎng)關(guān)提供的功能，最后對(duì)整個(gè)應(yīng)用的訪問(wèn)行為，我們的運(yùn)行情況進(jìn)行安全審計(jì)來(lái)確保用戶在使用網(wǎng)絡(luò)應(yīng)用的過(guò)程當(dāng)中能夠把它的行為和關(guān)鍵的動(dòng)作記錄下來(lái)進(jìn)行事后審計(jì)，整體上是這樣一個(gè)安全服務(wù)。

這是從另外一個(gè)角度來(lái)看這個(gè)問(wèn)題，用戶從網(wǎng)域網(wǎng)上訪問(wèn)云計(jì)算的環(huán)境和應(yīng)用，在訪問(wèn)的過(guò)程當(dāng)中可以選擇使用我們提供一系列安全服務(wù)。包括流量清洗、認(rèn)證授權(quán)、虛擬網(wǎng)關(guān)和WEB安全防護(hù)和安全審計(jì)，這些服務(wù)和云計(jì)算安全環(huán)境同時(shí)存在，提供一種可定制面向應(yīng)用的安全保障。

下面我詳細(xì)介紹一下這幾個(gè)安全服務(wù)的內(nèi)容，包括三大部分，流量檢測(cè)、流量清洗、流量監(jiān)控管理。流量檢測(cè)設(shè)備負(fù)責(zé)對(duì)實(shí)時(shí)分析網(wǎng)絡(luò)各節(jié)點(diǎn)流量，如果發(fā)現(xiàn)每個(gè)比值段有攻擊問(wèn)題，把有問(wèn)題的流量牽引到清洗設(shè)備上來(lái)，把過(guò)濾之后的正常流量再恢復(fù)到網(wǎng)絡(luò)當(dāng)中去，流量監(jiān)控管理平臺(tái)提供管理。在運(yùn)行當(dāng)中是這樣的，首先由監(jiān)控管理平臺(tái)下發(fā)管理策略，同時(shí)監(jiān)管整個(gè)過(guò)程，流量檢測(cè)設(shè)備從骨干路由器當(dāng)中采集數(shù)據(jù)進(jìn)行分析，分析當(dāng)中如果發(fā)現(xiàn)有問(wèn)題下發(fā)清洗命令，由清洗設(shè)備把有問(wèn)題的流量牽引到清洗設(shè)備上，當(dāng)完成清洗以后把正常的流量再恢復(fù)過(guò)來(lái)。如果有大規(guī)模的攻擊發(fā)生，通過(guò)這套系統(tǒng)可以及時(shí)發(fā)現(xiàn)和及時(shí)過(guò)濾。云計(jì)算數(shù)據(jù)中心實(shí)際上跟傳統(tǒng)的城域網(wǎng)數(shù)據(jù)中心是類似的都面臨這樣的威脅，這套系統(tǒng)并行網(wǎng)絡(luò)當(dāng)中，正常經(jīng)過(guò)下對(duì)應(yīng)用訪問(wèn)沒(méi)有影響。

同時(shí)我們還有一項(xiàng)智能流量清洗技術(shù)，可以保證我們發(fā)現(xiàn)問(wèn)題以后把攻擊的源頭找到，找到以后可以就近通知清洗系統(tǒng)把攻擊行為過(guò)濾掉，過(guò)濾掉以后可以做到在整個(gè)網(wǎng)絡(luò)當(dāng)中攻擊被及時(shí)的消除掉。最后不會(huì)到達(dá)被攻擊的網(wǎng)絡(luò)或者系統(tǒng)當(dāng)中。

建立統(tǒng)一認(rèn)證授權(quán)服務(wù)平臺(tái)，這方面我們也有相應(yīng)的技術(shù)積累，目前對(duì)用戶的應(yīng)用訪問(wèn)我們可以提供多種認(rèn)證管理模式，同時(shí)在授權(quán)上我們采用應(yīng)用授權(quán)管理可以實(shí)現(xiàn)細(xì)密度的管理。

針對(duì)WEB應(yīng)用我們提供安全防護(hù)服務(wù)平臺(tái)，這個(gè)又是非常深的技術(shù)領(lǐng)域，針對(duì)WEB攻擊目前也有幾百種，常見的包括腳本等等，及時(shí)是合法的用戶接進(jìn)去以后同樣有可能會(huì)發(fā)起攻擊行為，我們通過(guò)識(shí)別和控制可以保證WEB應(yīng)用正常運(yùn)行。

在虛擬計(jì)算環(huán)境當(dāng)中多個(gè)主機(jī)需要形成新的安全網(wǎng)絡(luò)邊界，在計(jì)算虛擬環(huán)境當(dāng)中我們還可以提供虛擬網(wǎng)關(guān)，對(duì)各個(gè)虛擬主機(jī)之間的訪問(wèn)也可以進(jìn)行訪問(wèn)控制，對(duì)它們進(jìn)行攻擊檢查。

最后對(duì)應(yīng)用訪問(wèn)的行為、流量清晰的情況、對(duì)安全防護(hù)控制的過(guò)程進(jìn)行審計(jì)，可以防止剛才提到的越權(quán)訪問(wèn)以及特權(quán)訪問(wèn)。

最后，我簡(jiǎn)單總結(jié)一下針對(duì)云計(jì)算環(huán)境當(dāng)中數(shù)據(jù)中心外圍網(wǎng)絡(luò)安全保障，我們提供流量清洗服務(wù)，保證大的數(shù)據(jù)中心不會(huì)被供給。在虛擬化計(jì)算環(huán)境下，我們提供網(wǎng)絡(luò)安全保障，通過(guò)虛擬安全網(wǎng)關(guān)可以保證多個(gè)虛擬主機(jī)之間進(jìn)行訪問(wèn)控制和分析過(guò)濾。同時(shí)在云計(jì)算應(yīng)用安全保障，針對(duì)WEB應(yīng)用可以提供基于WEB的攻擊、檢查和過(guò)濾和訪問(wèn)行為的安全審計(jì)。

我今天就把我們針對(duì)新的云計(jì)算應(yīng)用環(huán)境下，把我們現(xiàn)有的技術(shù)和產(chǎn)品進(jìn)行整合，能提供的安全服務(wù)以及怎么應(yīng)對(duì)第一類安全挑戰(zhàn)的問(wèn)題簡(jiǎn)單介紹一下，希望大家批評(píng)指正，我的介紹就到這里，謝謝大家!