在信息安全领域有一位教授曾经被主持人这样特别地介绍过:“关于张教授我就不多介绍了,如果有哪个人还不知道张教授,只能说明你在信息安全领域涉入的还不够深”。在2011中国RSA信息安全大会即将召开之际,笔者有幸采访了这位颇受业界尊敬的教授,他就是RSA大会2011信息安全国际论坛程序委员会委员、演讲嘉宾武汉大学张焕国教授。的确,张焕国教授在密码学、可信计算、抗量子计算密码等方面有着资深的造诣,他开发了中国第一个“可信PDA”和“可信计算机测试和评估软件系统”,其主要研究方向为信息安全、可信计算、云计算、容错和计算机应用。
中国的可信计算与世界同步
在2011中国RSA信息安全大会上,张教授将演讲有关云计算与可信计算的主题报告,介绍可信计算的发展、中国可信计算的发展,中国可信计算与国际可信计算联盟TCG之间的关系等。采访过程中张教授介绍说,中国的可信计算研究与国际可信计算联盟TCG几乎是同时起步,2004年以前中国国内的可信计算研究一直处于独立进行状态,那时的国内研究人员还不知道国际上有可信计算联盟。2004年之后,双方开始有所交流,但了解仍然不够深入。张教授希望通过本次主题演讲,加深互相之间的了解,推进国内与国际可信计算研究之间的交流。目前只有中国和TCG制定了各自的可信计算规范和标准,从整体而言中国的可信计算处于国际前列。
云计算离不开可信计算
在2011年中国RSA大会选题中,云计算的安全问题明显比较集中。那么,可信计算与云计算之间存在着怎样的关系?张教授认为,通俗说可信计算是提高计算机系统安全性的技术,是一种计算机安全技术。需要计算机的系统都会涉及可信计算,系统里的计算机安全可信才能保证整个系统的安全可信。云计算里的数据中心、虚拟化等都依赖于各类计算机系统,云计算的工作模式使得安全、可靠、可信的问题更加突出,云计算更需要计算机的安全可信。只有确保云计算里计算机系统的安全可信,才能确保云计算的安全性,可信计算正在成为云计算的安全基础。
现在国内很多单位都有自己的大型计算中心,但利用率不高,如果能够采用云计算方式,将大大节省资源。而当数据大集中后,安全性的考虑就变得不可避免。张教授举了一个例子,云计算就仿佛是银行,里面所保存的“钱”是企业的数据,只有云计算变得可信,企业用户不用担心保存在里面的数据会丢失泄密,云计算才能更加顺利的落地并为更多的人所接受。
如何打造可信的云计算
现在国内许多地方都搭建起了公共云系统,国内各大型企业也在考虑搭建自己的私有云系统,那么使得公共云或者私有云系统安全、可靠、可信,都需要从哪些方面着手进行安全防护呢?张教授认为需要从物理层面、硬件设施、软件设施、运维管理、应急响应五个方面综合进行防护。
1、在物理层面,也就是云计算云端系统所处的机房,需要考虑供电的持续稳定性,需要注意温度、防水、防火、防震、防潮、防雷、防静电等机房环境安全性问题。
2、硬件设施,也就是构成云计算系统的硬件基础:计算机、存储器、网络通讯设备等等,这些设备本身需要稳定、安全、可靠。
3、软件设施,即驱动硬件设施正常运行的操作系统、应用软件、管理软件等,仅仅硬件安全、可靠、可信还不行,与之相关的软件也要是安全、可靠、可信。
4、运维管理,在信息安全里有句行话,叫“三分技术,七分管理”。云计算是一个很庞大的系统,汇聚了密集的硬件、软件设施资源,如果没有好的运行管理,那么就不能发挥每个设施的全部作用,也容易出现各类安全问题。针对云计算系统的基础设施,提供安全、可信、可靠的管理,这也就意味着给用户提供优质可靠的云计算服务。
5、应急响应,虽然采取了以上安全防护措施,但并不意味着就可以完全避免问题的出现。这就需要考虑后继的备份、应急、响应、维护等事前预防、事后处理措施。
张教授同时也谈到,云计算系统是否安全、可靠、可信需要一套有效的测试系统对其安全性进行评估,但受制于云计算标准尚未出台的原因,云计算系统安全性评估测试的研究工作尚无法展开。
安全——永恒的课题
从科学技术发展来讲,学术研究的价值最终体现在应用上,而这些应用可以分为“可为人们使用的产品”和“对世界的认知”两大类。通过企业与学校的合作会更有利于科学研究的进行。从2007年开始,武汉大学就在与EMC北京研究院合作研究如何利用可信计算增强云计算基础设施的安全。
最后,笔者借用采访过程中张教授的一句话做为本篇文章的结束语:信息安全是信息的影子,有信息的地方就有安全问题。信息安全是一个长期的,永恒的一个课题。