真人做爰A片免费观看茄子视频/午夜射精日本三级/少妇被猛烈挺进爽爽A片软件/欧洲精品免费一区二区三区/精品无码成人久久久久久

主講

主旨演講：可控可信云主機——構建大數據安全基石

　　我給大家分享的題目是《可控可信云主機——構建大數據安全基石》。和傳統的數據中心建設相比的話，有兩個基本特征，第一個特征是大數據，第二個特征是云計算。大數據是資源，只有經過深度挖掘以后它才能產生價值。作為云計算，它是以一種服務的方式去呈現。這兩者之間的關系有人說是油和車之間的關系，大數據是油，云計算是車，車多了沒有油的話，這個車是沒有價值的，第二個觀點是說大數據是一個礦產，礦產需要挖掘，那挖掘的設備和機器是什么，就是云計算這樣一個設備，在這里頭安全是非常重要的。

　　下面我們說什么是云主機，我們說現在軟件定義計算，軟件定義計算，軟件定義存儲，軟件定義安全，這所有的構成我們都可以分到云主機的概念下，原來的主機是物理服務器，隨著信息化的技術,隨著分布式計算的技術，使得我們的計算資源、存儲的資源、網絡的資源都可以按需去進行分配和使用。我們說云主機面臨什么樣的威脅?這是今年斯諾登爆料，說美國的NSA它對私有云的安全的評估，從這里能看到，實際上它覆蓋了從硬件、固件、虛擬化，再到中間件，再到上層的應用，以及底層的網絡，每一個層面我們都可以看到有相應安全威脅的存在。

　　我們再分析一下云主機的安全威脅。我們說傳統的安全威脅依然存在，比如病毒、木馬依然存在，但還面臨新型的威脅，比如說虛擬化所帶來的一些新的安全的風險，像虛擬機的逃逸，包括對虛擬機的管理，這都是新技術帶來的新的風險。同時我們還看到，這也是去年斯諾登在德國的報紙上報道，美國的NSA針對計算機的NBR、顯卡等等的有一個特定的APT攻擊的工具。今年業界也挖掘了一個針對硬盤所制作的一個APT攻擊的武器，我們這里說的是網絡的武器。還有一個問題，剛剛陳愷博士也談到這個問題，我們都說云服務商和云租戶，云租戶把我的數據都放在你的云平臺，租戶不希望你的云服務商、你的云的管理人員能看到我的數據，怎么來解決這個問題?這里面是一個信任的問題，剛剛陳愷博士談到信任是安全的第一要務。最后是一個根本的感覺。這個感覺怎么來提供?怎么在租戶和服務商之間建立一個信任關系，這里面涉及到技術的問題，涉及到法律的問題，也涉及到了管理的問題，我們說可信計算是作為解決這個信任技術的有效手段之一。可信計算和傳統防護的措施相比，我們可以看到在這里頭，剛剛在前面介紹，在硬件和固件的層面，傳統的安全防護手段是缺失的，就使得我們的安全防護缺少一個根基，可信計算就會在硬件，在家電啟動的時候就給它提供相應的保護。在操作系統引導的過程中，讓你的安全控制優先于你惡意代碼的啟動，我想這是一個根本的信任的開始。接著往下逐步過渡到這樣一個操作系統的啟動，再過渡到操作系統的安全，再過渡到網絡的一些對等的信任的東西。

　　從我們這個角度來看，云計算安全的應對方法是在現有的縱深防御的技術體系架構之上，再增加可信計算的體系。昨天沈院士也在這個地方談了，通過可信計算來增加系統的自身的運營能力。這一張圖是一個可信計算的基本原理，首先從家電加載的開始，建立一個可信的密碼芯片，一個信任鏈;其次也是基于這樣一個密碼應用，實現這樣一個設備自身的證明;最后對密碼里頭核心的密鑰存到這個芯片里面，提供一個安全存儲的空間。從目前來看，應該說可信計算發展了將近二十年，目前已經走過了技術和標準體系建設以及產業生態鏈形成的階段，目前正處于規模化應用推廣的階段。這是中國可信計算產業的布局，我們可以看到這個產業鏈還是非常長的，從底層的可信密碼的芯片，再到中間的廠商，再到操作系統的廠商，再到主機整機的廠商，再到需虛擬化，再到上面的應用，涉及到每一個層面。這是中國可信計算的技術機構，這也是沈院士從1998年開始帶著國內相應的工業部門、廠商以及院所一塊兒形成了自己的一個可信計算的體系，這體系里面涉及到密碼、芯片、主辦、軟件、網絡、應用。這體系里面相應的標準，首先是有這樣一個密碼標準，我們有自己TCM的密碼標準;其次是芯片、主辦、軟件、網絡，再往下是相應的配套標準;最后要形成一個體系，所謂的體系要在網絡、辦公等要得到可信計算的應用推廣。應該說我們會有自己的創新，首先在網絡的連接層面，我們從端對端的對等的認證，到提出一個雙系統對證的認證協議，再到芯片層面，我們這樣一個做法是由可信芯片先啟動，再去加載這樣一個CPU。整體上說它是以一個可信計算模塊為原件，構成一個軟硬件一體的信任鏈，覆蓋到底層的服務器，再到虛擬機，再到上層的應用。

　　我們談可信云主機，這個云主機要提供的服務是什么?它是可信的計算尺的服務，底層是可信的服務器，對它這樣一個計算資源進行抽象以后，通過這樣一個虛機的操作，對底層的可計算資源進行抽象，對上形成一個可信的計算服務出來。這是一個典型的應用，這是Google有一個文章，說谷歌在內網放棄了內網防火墻，其實不是，隨著國內的移動設備要接入到它的內部網絡，它實際上是在追求這種端到端的可信的連接，這種可信的連接是它的設備、人員、應用、業務三個是一體的動態授權的控制過程。這個是剛剛陳博士沒有講的，這是微軟的一個東西，這是在微軟原來的技術上，基于這樣一個云租戶的應用，它的密鑰是由租戶自己來控制的，對租戶的虛擬網絡磁盤實現整體全盤的加密。這也是一個應用，對一些關鍵性的業務，比如說某一些銀行業務，某一些特定的安全部門的業務，它希望它的業務只在特定的地域，特定指定的服務器上在這里運行，隨著虛機漂移的技術，使得用戶對你不信任，我們現在也有這一類的基于地理位置的應用和可信計算的應用。

　　這是我們浪潮的云主機的目標，首先底層是自主的，中間這個層面是采用可信計算的，來彌補原有的計算架構的不足，上面我們是以軟件的方式來提供相應的安全服務，這是我們的目標。這是我們現有的云主機安全可信的技術架構，可以看到它覆蓋的云主機的每一個層面，在這樣一個硬件和固件層面，我們已經掌握了可信服務器研制的技術。在虛擬化這個層面，我們正在開發虛機的可信準入的產品。在操作系統這個層面，我們有操作系統的安全基線以及計算資源的控制。在應用層面，我們正在研發一些功能。在用戶行為的角度，我們會基于黑客對服務器的攻擊行為，對計算尺里頭不同層面的認識對它進行系統的分析，查處中間的異常，會有一個整體的進出，是我們軟件安全企業架構的技術，把這些技術揉合到一塊兒，以安全服務的方式去呈現。這是我們去年發布的云主機安全產品可信解決方案1.0的版本，左邊是以可信服務器為根基，到操作系統我們會對操作系統進行安全加固，包括對操作系統可信的引導。在應用層面，業務系統通過可信實現對業務系統的保護，避免用戶在安全配置上的復雜性。后面是我們相應的產品，這個方案也是目前跟很多單位和行業進行的應用推廣的工作。

　　謝謝大家!