云時代需要與之匹配的安全解決方案。單點的、被動的傳統(tǒng)安全方案無法滿足云計算虛擬、動態(tài)、異構(gòu)的環(huán)境。正是基于這樣的考慮，浪潮在2014“Inspur World”浪潮技術(shù)與應(yīng)用峰會上宣布推出云主機安全產(chǎn)品解決方案，以可信服務(wù)器為根基，通過構(gòu)建從可信服務(wù)器、虛擬化安全、操作系統(tǒng)加固到應(yīng)用容器安全的完整“信任鏈”，實現(xiàn)完整、主動的安全。

　　“老三樣”解決不了新問題

　　“當(dāng)前我國安全防護的現(xiàn)狀是仍然傾向老三樣，防火墻、入侵監(jiān)測、防病毒。” 國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥在浪潮Inspur World大會云數(shù)據(jù)中心安全分論壇表示，云安全的發(fā)展遠遠滯后于云計算和大數(shù)據(jù)的發(fā)展。

國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥

　　與傳統(tǒng)數(shù)據(jù)中心相比，云數(shù)據(jù)中心存在新的安全風(fēng)險。這些風(fēng)險包括新的技術(shù)和應(yīng)用模式。比如針對虛擬化的Rootkit攻擊，一旦被攻破將波及整個業(yè)務(wù)系統(tǒng)，而不僅是單臺服務(wù)器暴露在危險之中，已經(jīng)實現(xiàn)虛擬化的數(shù)據(jù)和資源將會產(chǎn)生連帶風(fēng)險。

　　此外，傳統(tǒng)安全威脅也在云時代被放大，云計算平臺是一個通用的平臺，其上可以運行多種多樣的網(wǎng)絡(luò)應(yīng)用，因此也可能帶來各種不同的安全威脅。這幾年最危險和最隱蔽的高級持續(xù)性威脅攻擊（APT）也瞄準了云數(shù)據(jù)中心，通過鏈路層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層（Web、數(shù)據(jù)庫等）等各個層面，把擁有大量關(guān)鍵業(yè)務(wù)數(shù)據(jù)的云主機作為攻擊目標。

　　那么，云時代的需要什么樣的安全保護？

　　基于可信計算構(gòu)建“信任鏈”

　　“可信計算改變了傳統(tǒng)的‘封堵查殺’等‘被動應(yīng)對’的防護模式，形成‘主動防御’能力，滿足云數(shù)據(jù)中心安全需求。” 沈昌祥為云安全指明了方向，并且從應(yīng)用效果來看，“已經(jīng)證明可信計算對于國內(nèi)多類計算機設(shè)備和操作系統(tǒng)來說，是完全可行的有效的網(wǎng)絡(luò)安全技術(shù)和管理措施。”

　　可信計算是指在計算的同時進行安全防護，計算全程可測可控，不被干擾。具有身份識別、狀態(tài)度量、保密存儲等功能。其核心思想是通過在硬件上建立計算資源節(jié)點和可信保護節(jié)點并行結(jié)構(gòu)，從平臺加電開始，到應(yīng)用程序的執(zhí)行，構(gòu)建完整的信任鏈。

　　完整的信任鏈是可信計算中最重要的一環(huán)。華中科技大學(xué)計算機學(xué)院的鄒德清教授指出：“在云系統(tǒng)安全構(gòu)建上，需要分析云系統(tǒng)動態(tài)復(fù)雜性特征，研究面向海量實體復(fù)雜信任關(guān)系的信任模型、信任基、信任度量和判斷等。”即達到體系結(jié)構(gòu)、操作行為、資源配置、數(shù)據(jù)存儲、策略管理上的整體可信。

華中科技大學(xué)計算機學(xué)院鄒德清教授

　　構(gòu)建信任鏈的優(yōu)勢在于，從安全技術(shù)上講，其將可信計算從單機擴展到虛擬化和分布式結(jié)算，保證了云數(shù)據(jù)中心中各種行為的可控性，此外云主機系統(tǒng)在數(shù)據(jù)處理和業(yè)務(wù)運行中的完整性、保密性和可用性也可以得到充分保障；而從管理措施上講，云主機安全系統(tǒng)采用白名單機制，建立了嚴格的準入制度，并在運行中一級測量一級，一級信任一級，從而實現(xiàn)云計算管理的可控和安全。

　　以可信計算為基礎(chǔ)，構(gòu)建完整的信任鏈是解決云時代安全的必由之路。浪潮云主機安全產(chǎn)品解決方案正是踏準時代的節(jié)拍而來。浪潮集團信息安全事業(yè)部副總經(jīng)理蔡一兵博士表示：“浪潮云主機安全產(chǎn)品解決方案以可信服務(wù)器為根基，構(gòu)建鏈接固件、虛擬主機、虛擬操作系統(tǒng)和上層應(yīng)用的軟硬一體化‘信任鏈’，其底層是自主可控，中間是可信，上層是彈性的安全服務(wù)，并建立常態(tài)的安全管理機制。” 可信計算之外，該方案還融合了操作系統(tǒng)加固、虛擬化加固、虛擬網(wǎng)絡(luò)控制等安全技術(shù)，可以全面解決云主機面臨的傳統(tǒng)攻擊以及‘Guest OS鏡像篡改’、‘租戶攻擊’和‘虛擬機篡改’等新型風(fēng)險。

浪潮集團信息安全事業(yè)部副總經(jīng)理蔡一兵博士

　　中國亟需自主可控云安全

　　云安全對中國更為重要。“因為安全的風(fēng)險不僅來自于云計算本身，還來自于我國在云數(shù)據(jù)中心的關(guān)鍵系統(tǒng)和設(shè)備上缺乏自主控制權(quán)，缺少可信、可控的安全運行環(huán)境。”沈昌祥解釋說，“這樣的結(jié)果就是容易遭受‘心臟出血’漏洞、系統(tǒng)癱瘓乃至針對性攻擊等安全威脅。可以想象一旦承載著有關(guān)國計民生重要信息的系統(tǒng)被外部勢力惡意攻擊，甚至成為網(wǎng)絡(luò)戰(zhàn)的攻擊目標，其后果將不堪設(shè)想。”

　　在云安全領(lǐng)域，以浪潮為代表的一批公司切實推動了可信計算技術(shù)的應(yīng)用，已經(jīng)實現(xiàn)了國際TPM2.0標準版本，以及中國商用密碼標準算法SM2，SM3和SM4在云計算中的實際應(yīng)用，帶動整個云數(shù)據(jù)中心安全產(chǎn)業(yè)鏈發(fā)展的進程。