云计算核心安全问题及相关技术-国家信息中心.PDF

云计算核心安全问题及相关技术 研究概要 采用总结已有云计算建设应用基础和经验，开展调查与分析，梳 理云计算面临的安全问题，提出针对性的解决思路和建议，最终形成 研究结论的研究思路，以及调查研究法、对比分析法等主要研究方法， 课题组对云计算核心安全问题及相关技术开展了深入研究。 首先，课题组自2011 年开始即承担云计算安全问题方面的研究 课题，所在的政务外网管理中心也陆续在政务外网建设了华为云、曙 光云等云计算平台，先后部署承载微门户、职能网站分析、国家公务 员考试报名灾备系统、云表单系统等多项应用，开展安全邮件、安全 监测等云安全服务及试点，积累了丰富的实践经验和理论基础。在此 基础上，课题组开展了中国云计算市场情况及安全问题调查、云计算 安全研究现状调查，详细对比分析了云计算基础资源池构建的主流技 术，同时针对百度、北京工业大学、CETC 第32 研究所等云计算服务 商、高校和科研机构进行了深入的调研，最终梳理出云计算面临的三 大类安全问题：云计算环境安全问题、云计算服务过程安全问题和云 计算有关的法律法规和标准化问题。 对应云计算面临的三类安全问题，课题组研究并提出了对应的解 决思路和建议，包括建立形成云计算安全防护机制、技术体系和关键 技术，云服务商安全建议和云计算安全政策法规建议，并最终形成技 术、政策两方面的研究结论。 主要结论 云计算的安全问题牵动了 IT 产业链中各个环节的神经，因此特 别需要由统一的主管部门牵头，明确职责分工，带领技术方面、政策 方面、法规方面的相关单位，通过合理的引导，解决云计算核心安全 问题，防止中国在云计算这个大的浪潮中处处落后，争取在世界范围 的发展队列中占据领先地位。通过对安全问题、安全防护机制及关键 技术的分析得出以下云计算安全问题的技术和政策建议： 1) 技术建议 在云计算平台的基础资源池构建时，由于主流的分布式计算技术 和虚拟化技术具备不同的特点，建议根据不同的使用场景来进行选择。 其中，分布式计算技术适合具有强大研发能力、多数据中心、支撑业 务所需服务器以万台计的超大型企业、互联网企业和科研机构；而虚 拟化技术则更适合需要提高已有 IT 资源利用率、信息化部门职能转 变的行业，如政府、电信运营商、IDC 企业等。 而鉴于分布式计算技术在安全性、稳定性和可控性方面具备的优 势以及百度公司在这方面强大的技术研发实力和实际经验，建议百度 公司在该技术模式的推广过程中发挥更大的作用，尽快将其以分布式 计算技术、自主设计的ARM 架构服务器和海量SSD 存储设备为主的技 术解决方案和相关技术服务推向市场，以实现对国外技术产品的替代， 增强安全可控性，保障重要业务系统和服务的连续性。同时，建议相 关企业和研究机构针对云计算服务模式加强对多租户数据安全技术 的研究，并结合可信计算技术进一步保障云计算环境安全。 对于采用虚拟化技术的云计算平台，建议发展具备可控、可管能 力的核心技术，并针对虚拟化特有的安全问题进行深入研究。 2) 政策建议 从国情出发，制定相关的国家法律法规及政策，创造良好的产业 环境，正确引导行业发展。组织成立专业咨询机构，为政策的制定提 供有力的调研、数据支撑。 建立云服务商第三方监管机构，提出并制定安全可行的技术保障 体系、管理保障体系，对公有云服务提供商、私有云建设机构进行约 束。 发挥以百度为代表的云计算龙头企业的技术优势，加强云计算环 境下的数据和个人信息保护，在新的国际形势下确保数据不出境，守 好国门，避免海量用户数据被境外势力窃取和掌控。 同时，百度作为国内最大的搜索公司以及云服务商，具备深厚的 技术储备及丰富的发展经验，建议其在社会工程学方面与政府深度合 作，为政府提供数据挖掘、分析等服务，在国家制定云计算安全政策 法律法规、行业标准时提供全面的基础数据支撑，主动承担更多的社 会责任。 2014 年4 月10 日