[ 導讀 ] 許教授是我們中科院中國科學院高能物理研究所研究員，是實驗安全實驗室首席科學家。我們國家第一個互聯網安全的研究專家，他在互聯網安全方面取得了非常多的成果，并且很多技術也變成產品，同時還指導安全專業方向的研究生，他給我們帶來演講題目是云計算的安全監控與取

中科院中國科學院高能物理研究所研究員許榕生教授演講全文：

    現在請大家先看一段錄像，這是真正的云計算現場，可能很多人沒有看過云計算，經常問我云計算看不見抹不著。這個圖象是掛在我的辦公樓門口一進門的大屏幕上，屏幕24小時轉，做的非常好。這個軟件是適時的，24小時運作，我再放幾個其他的。這個閃亮點具有超級計算的一點一點，看到歐洲非常多，因為我們高能所是國際物理研究的一點云，一下跳到北京，只有北京、臺灣、香港有高能物理云。歐洲很厲害，幾乎所有大學里，都參與了科學實驗。

    這個軟件可能看到，每隔三分鐘數據更新一次，由英國的倫敦一所大學做的，時間點都是英國的時間。這是適時的數據跟進，做成地球轉動，每一個點的大小反映他們的整個云的能力，包括CPU的數量，存儲的大小，以及其他的一些東西。

    特別要提到，有一些細節的，有一些紅點表示占用的資源，空余多少，我們國家溫總理去看了一下，覺得很意思，國家科技部的人去了，問什么時候做的，已經十年了。在我們國家很少。門口一大批云計算專家名單，很多是我的朋友認識。曾經問過我，替國家寫云計算的標準，到底國家云在那里？可以去我家里看了，我們家門口就有一片。開始講我的報告，我們是在運營過程中間。

    我來自于中科院中國科學院高能物理研究所，今天的報告主要是安全問題，剛才是一個歷史介紹，可以看到這張照片，是05年的時候，國外通信公司給我們北京國家的科學院科學家提出，提供網格計算，將來云計算的通道的基礎設施。我知道當時拿到中國的時候，由于電信的規定，這條線在上海、北京都不能登陸。可以看到在邊上轉的時候在香港落地。有一點影響中國的網絡發展，以及網格、云計算的發展。沒有這套東西是不行。

    最后中國經過多方努力，現在把北京和香港聯起來，我們又和俄羅斯聯系起來，才能進入主干道。這條專線，大概是一季的主干線。全球的作業調度，可以看到一些紅線，從歐洲飛到中國，這都是調度。這是我們平常科學家手里填的報，按照這個模板填寫，里面用到什么數據、軟件。

    目前的情況下，大量做軟件是自己提供，對方只提供一些各個地方的基礎軟件，可以用他，大部分是自己來寫科學計算的需求。當時我們有很多數據需要處理，數據需要自己選定，可以在自己的存儲上，也可以在世界某一個地方的存儲上。

    用戶可[FS:PAGE]以隨時觀察作業送進去以后進行的狀態，完成了沒有，做到什么狀態，做到什么程度，排隊到那里，可以刪除、提交，這是目前看到整個的運行情況。

    這張圖片把軟件照下來進行的解釋，紅是占用，綠是空余，每隔三分鐘顯示，這是英國人做的東西，非常好。

    我們北京加入云的俱樂部，是有規定的，首先自己要有足夠的CPU，投資要到位，然后還要有一個季以上的高速網絡，目前還沒有做到這么高的水平，做到三分之一的水平。存儲現在可能是幾十個PB。通道也還沒有做到。

    可以看到我們的機房，架子還空著，還要繼續填充進去幾千個CPU，大量的存儲設備，磁帶機、磁帶庫。
    有一些照片可以看一看，國家投錢給我們做的，由于我們自身需求，很多人不知道搞云計算專家做到這個程度。我們也有一些成果，我們做的很早，中科院中國科學院高能物理研究所是中國在國際上選的中國CA認證中心，要參加這個俱樂部，比如某一個大學，需要使用這個全球的網格，云計算的資源，可以和我們說一下，我們給你發一個CA認證機制就可以了。但是并不是所有的人都行，有一定的授權。比如說，針對高能物理，可以包括醫學生物天文氣象、海洋等科學計算的，商業目前還不行，這是國際慣例。現在談的很多云計算，這是這么多年以后，商業部門看到了這是一個趨勢，他們提出來概念，名字起的很好聽，原則是都是這些東西，可以起更加新潮的東西，這是一個階段性的成果，需要更新。

    今天重點報告是針對安全問題，今天講的東西都是依據自身親身體驗來說的，只是針對某幾點來說的，并不是所有問題包含在里面，安全是一個非常復雜的問題。

    其次特別要談到，前面有很多人談到存儲問題。加密的問題也不在的范圍之內。

    今天講的問題主要針對什么？在和電子對抗的時代，反恐怖時代面臨的基礎設施，投資下去的恐怕是幾個億的錢，才能做到試運行或可開放的平臺，在這樣的情況下，你們面臨的威脅可能并不被很多人認識到。
    這里提到去無錫交流，無錫政府有一個點，有一個太湖云，我針對他們的事情提了一個問題，云安全有幾個關鍵因素需要探討。無錫政府很支持，給了九十萬美金，所以今天還有一個充分的結果來介紹。我們也在無錫舉行了一個國際網絡安全會議，數據保密、CA等等。

    在我看來，我們的加密，我們的CA，這些在防御的戰役[FS:PAGE]上都是被動的，我們要探討對抗的時期，什么東西需要更加準備，心理上要強大。

    這篇文章是別人寫的，對于云計算有幾個風險，如果幾個風險不解決好，用戶就會很擔心。

    第一條運營商對每一個存儲都要掌握，用戶提交作業，提高的知識產權，甚至機密數據文件，能否保證？最后一條，IBM公司有人提出，不要象Google作了一半就跑掉。委托他做這個計算，難免會有問題，需要考核、調查，作為云計算的運營商，能否配合，能否同意調查，這都是一系列問題需要探討，不但是技術問題，還有法律問題。

    作為運營商來說，自身確實也需要考慮，這個安全，在我們看來，有一些致命的問題對于云計算。一個單點的故障會影響到整個安全，是復雜的，不象水廠、電廠，破壞一點沒有問題。北京的水不一定敢喝，要燒，國外的水拿來就可以喝的。

    這些例子就是說象Google多次發生故障，就是某一個地方受到故障，就會癱掉。

    利用云的環境去做事，講的很好，比如利用云環境攻擊別人，這也是很好做到的。現在發的垃圾郵件，利用一個界面來發，你的CPU很強，發幾億垃圾郵件，你也不知道，你只收費，這就可能造成我們很被動，很尷尬的情況。

    虛擬服務器是我們的基礎技術，幾千臺計算機的管理，面臨非常繁重的任務。更新換代沒有辦法，安全問題，我們就是說虛擬機的漏洞在那里？這個問題一定要搞清楚，這個問題還在研究過程，還在不斷被發生的問題，如果搞不清楚，我們的系統非常脆弱，比如藍色藥丸在內的一些攻擊已經證明虛擬機有很多漏洞的。

    其次，針對這種漏洞也好，常規的網絡上的弱點，現在很多攻擊工具，我們有病毒，有木馬，有各種各樣的工具，造成CPU死機，這些工具我們統稱為惡意代碼。在研究所有一個認證，是不是我們的成員，是就可以了，至于做什么作業是他們的事。因為我們是科研人員，大家都是好人，不會輕易破壞。現在云計算針對所有人，全社會各種各樣的人都有，如果僅僅是一個認證機制，就象我們小區裝了一個桿子，還是可以進來的。剛才看到，前面幾位報告講的很好，用WEB探討，要注意他本身帶防火墻，不要輕易在公共地方用他。云計算這些措施必須要。

    今天講的這些東西可能也是在他們某一些的補充，或是一些共同的地方。首先是從我們總的看來，如果是云計算的環境，應該具備幾個方面，一方面服務可用[FS:PAGE]性，系統很穩定，漏洞那么多，隨時容易被這種意外事件，更不要說恐怖分子來了，危險的就睡不著覺。

    傳輸安全大家也說了，這是惡意代碼行為，雖然是我們的用戶，哪一天神經病了，要殺人了，上來不拿刀，惡意代碼立即摧毀服務器。昨天在公安局提出，這幾個地方有危險，銀行也有危險了，是真是假要我們辨別，我們的技術已經可以做到了，這些問題要注意。隱私的尊重，取證和審計追蹤，如果絕對的安全，出現問題，怎么辦？需要取證，我們云計算的運營商應該有這種準備。

    我們現在做的相關工作：

    怎么對惡意代碼的檢測，這很重要，過去是不管的，現在要管的。
    云計算安全監控管理，這是需要做的，如果有的人覺得監控不好聽，隱私就出來了，世界上監控做的最好就是美國的技術，中國的技術還有好幾年才能跟的上，我們的云計算一定要有監控。
    云計算威脅情報收集研究。

    云計算環境的網絡取證，除了網絡取證，還有服務器、CPU的取證，有一些細節在說。

    風險評估怎么看待，前面有人提到，已經做了一些工作。

    我們認為，還要在云計算環境建立非常好的安全管理平臺，這個平臺就可以看到很多狀態是處在紅色警戒或藍色、橙色的風險。

    這是我們現在能夠給大家看到的一些東西，也就是說，有幾塊云，中間云的地方，在某個地方，我們放一臺云計算惡意代碼檢測系統，這是硬件設備，我們要設計的。部署在云計算環境中，這個設備對于我們中間進行調度，是要密切配合的。很多作業要經過檢測，不象防火墻，要進行檢測。
    檢測目前來看，拿一個軟件，沒有圓滿的，是惡意還是好的，好在我們有一些國家課題都在做惡意代碼的檢測。能不能做到自動，不一定。這個工作一直在做，我們建立了很多惡意代碼庫，將來就象病毒檢測一樣，游過來就可以通過特征看一看，和我們庫里的是否匹配，如果有危險，有可疑，這個工作要做。我們作為用戶來說，可能前面有一些人說了，必要的WEB工具，同時作業檢測的工作，一定要在我們自己部署的云里來實現，有一些是自己要報警的自己要禁止的。

    如果說這個工作做的好，還有必要建設，我們的代碼不斷要更新，現在的代碼變得非常快，惡性的東西，不是幾個月才出現，有的幾分鐘就做出來一個。怎么辦？惡意代碼的收集，我們研究的[FS:PAGE]過程中需要做好的，在云計算架構底下對惡意代碼模板的收集，要很快，減少惡意代碼響應時間。這里面涉及到如何做惡意代碼的捕獲。

    惡意代碼的行為檢驗模型，以及代碼的分類，代碼的特征提取，以及代碼的控制 ，這些相關的就不展開了。

    監控問題，很多作業確定不了是否惡意代碼，有一些老客戶年年都用，用了幾年，可能代碼有一些惡性，可能被人家利用了，也有可能。對這種情況，我們對有一般作業可能完全放行。象海關有一部分人沒有表現只能先放進來。監控里面有一部分對作業運營的監控，包括所帶進來的資源、數據，以及運作過程中前前后后產生的后果，一套有經驗的安全監控方式來實現，這我們怎么做的？落實到CPU，某一個結點說，作業最終落到某一個結點，送到國外，就不管了，不在我們的控制范圍。在我的作業范圍能夠判斷這臺機器的前后是否出現惡意代碼，有沒有特殊的情況？

    這些工作，我們兩個方案來做：一個方案在預先的結點上部署安全代碼，對一定的參數進行檢測，超過一定就要報警、提示等等。有很多安全評估的問題，除了這個工作之外，我們說還可以做一些負載統計分析、安全態勢分析，有助于我們整個云計算環境的安全的把握。

    這幾個圖片是目前在平常用的，比如說某一個流量的可控范圍里出現異常，或某一個地方的CPU出現問題，某一個地方交流出現超符合的問題，都可以看到。

    如果說我們目前做的工作是其中的一小步，要做的工作還很多。前面說了，也就是采取一萬個措施，也不能保證網絡是安全的，現在的信息時代技術是千變萬化，已有的技術推出來之前是欠考慮，先做起來在說，這樣的話，服務器的漏洞照樣被人攻擊進去，堵塞也被堵主，安全問題是一直以來需要面對的。蓋一個大樓，有保險來保證，云計算的環境投資下去，新浪、搜狐都沒有保險，如果出現問題，就白癱。計算機取證、網絡取證、數字取證是目前國際上非常好的一項技術，在國內由于各種原因，大家不太注意。因為怎么樣取證？取證很重要的條件，取得證據。

    我們家里電腦壞了，被別人偷偷安裝了東西，你要報告，去哪里報告？只能找中國公安局、網監局，叫做別人來做，司法部門不認可。IBM有很多私人偵探，拿到硬盤或證據，他可以到司法部門探討，這是需要判刑的。中國的案子非常多，在檢察院經常來問我，這手里東西是證據，只能參考。司法部門還不懂證據，只能[FS:PAGE]認數碼東西、錄像帶的東西，這幾個技術已經解決了。如果修改或偽造作假，有技術可以作證出來。但是計算機記錄下來的東西，文件變化、時間、作者都可以修改，目前情況下這是一個難題，但是在國外針對這幾個問題已經取得一定程度的進展，中國目前還沒有，從技術上來看，也可以引進來，這就是網絡取證技術。說起來很簡單，類似于IDS，不做警告、報告，旁邊存了一臺取證機。

    同時我們可能在一些服務器上，把日志情況備份到這臺取證機上，這臺取證機硬盤非常大，做的非常精致，可以捕捉證據的機器，象記錄儀一樣。可能幾個月回過頭來查，這臺機器曾經誰訪問過，都可以提供過。盡管法律上不能作為證據，作為內部檢測，內查還是可以的。

    除此之外，后面的這臺機器，分析機上，不是適時的，對證據進行分析認證，提交報告用的。這順應了云計算環境可能需要這樣的取證系統。

    由于將來是一個海量的量級的證據記錄，所以我們必須把收集部分存儲收集部分用各種各樣最先進的技術做出來，安全的調度管理平臺，能夠對這些數據的轉移、傳輸、分析得到安全保證。

    剛才那個圖是集中式的，這個是分布式的，可能國家部委在東西南北都有分布的云，每一個地方的證據收集怎么進行分析，這些設計都有專門的目前的海量技術來匹配。

    特點是什么？要部署的好，分析的技術和軟件要開發，技術難點在于存儲管理有很多沖突，這些如果將來設計到海量的數據存儲，存儲的時候很快就會遇到很多廠商提供在貴的設備，都會遇到困難。

    在這方面的技術借助與歐洲核武力研究中心、美國維斯康辛大學、上海交大等的技術力量，分工主要在傳輸、加密、存儲等證據的保護。

    另外，針對這樣的云計算的環境，我們確實對虛擬機要特殊研究，有很多硬盤分析的，幫助我們把證據提交，面對虛擬機需要重新考慮，對虛擬機的文件是在一個虛擬架構下的，文件結構直接產生的文件結構是不一樣的，這樣的文件提取分析需要增加工作量，這個工作并沒有很清晰，我們正在做。
    數據挖掘技術，剛才說的國外都是針對海量技術來做的。

    風險評估，就不說了，今天很多也提到了。

    安全管理平臺，就是一個層次，每一個層次，用戶和管理員在上面通過管理門戶，可以進入到中間部分，中間這一塊有接口進來以后，有各種各樣[FS:PAGE]的安全模塊，每一個模塊都掌握，PPT可以給大家看。

    把所有的信息收集以后，提交一種可視化的圖象，每一個結點每一個機器出現什么狀態，這些軟件都要深入的開發出來。

    未來的趨勢還有很多，包括云計算安全模式的更新，這是我們非常關注的，怎么快速反應，快速的感知是我們國內和全球都面臨的問題。國內還希望提出一些標準，我看恐怕一時做不出來。
    謝謝大家！

主持人：
    謝謝許榕生教授精采的報告，我們還是把問題放在最后的時間。

【聲明】物流產品網轉載本文目的在于傳遞信息，并不代表贊同其觀點或對真實性負責，物流產品網倡導尊重與保護知識產權。如發現文章存在版權問題，煩請聯系小編電話：010-82387008，我們將及時進行處理。