科技日报-国产新成果破解云安全难题
来源:-- 时间:2024-07-26 17:05:23
当下,云计算已成为大数据、物联网、人工智能等新一代信息技术和数字经济快速发展的基础支撑,随之而来的是云安全面临着越来越多的挑战,甚至被认为是各类安全风险的集中爆发地。
7月24日,记者从位于济南高新区的山东乾云信息科技集团有限公司(以下简称乾云信息)获悉,由该公司与泉城省实验室、北京工业大学、山东大学等七家单位研制完成的“乾云可信云操作系统”通过成果鉴定。以中国工程院院士孔志印研究员为首的专家组认为,该成果完全由国内自主实现,结合信创国产软硬件生态,可将云安全的控制权真正掌握在自己手里。
“云共享”带来诸多新风险
“传统的计算机体系结构特别强调计算效能的提升,而忽视了自身安全能力的构建,这相当于一个人没有免疫系统,只能生活在没有污染的环境中。”谈到云安全,乾云信息董事长刘春向记者表示,目前各行各业都已大量使用云资源,享受租用云服务带来的低成本和便利性,但云服务中信息的产生、存储、管理、交互和重用过程均存在很大的安全隐患;恶意租户可通过云共享资源对其他租户设陷、窃密或攻击;身份验证机制薄弱会导致入侵者可轻松获取权限控制容器、虚拟机等云资源,甚至对云计算基础环境进行破坏……
如何理解上述安全问题?刘春向记者举例:云计算的环境风险之一就好像快捷酒店的房间,每天都有不同的人入住,如何确保房间的犄角旮旯没有被坏人安装摄像头和窃听器?如果每天都全方位排查一遍,时间、经济、人力成本会非常高,根本不可行。反过来,我们将被动防御转为主动防控,假如一个房间由床铺、椅子、电视、电脑、电话等上百个部件构成,我们将这些部件全部纳入主动防控范围,让其有问题便自动报警、自动暴露,这便是“乾云可信云操作系统”的三大创新点之一——拥有“操作系统可信主动监控和隔离机制”,实现云计算环境安全风险的主动发现和实时处置。
据了解,该成果是国内首个实现“可信计算+云计算”双体系架构的云操作系统。但这种将可信计算安全机制与云计算环境有机结合意味着什么?
刘春表示,比如一件名贵的衣服,如果烧了一个洞,“打补丁”并不是好的选择,因为既不好看又与衣服原来的质地不搭。可信计算与云计算的结合既不是打补丁,又不是再买一件新衣服,而是相当于用一种新机制新材料做成衣服,具备了防水、防火、防电等多重安全特性,杜绝受损打补丁的可能。“这就是自我免疫能力,从根本上、从体系结构上解决了安全问题。”刘春说。
“封堵查杀”无法解决新问题
当下,云计算和大数据时代的到来,对数据安全和隐私保护提出了更高要求。2023年,Sysdig发布的《2023年全球云威胁报告》显示,云中的攻击移动速度很快,侦察到威胁和造成严重破坏之间的间隔可能仅几分钟;90%的安全供应链并不安全。
在国家层面上,“十四五”规划和2035年远景目标纲要明确提出了加强网络安全防护、构建安全可信的数字环境的任务。
“云计算安全不能用传统的‘封、堵、查、杀’的老办法去解决,只能用可信免疫的新计算模式和主动防御体系结构来保障。”刘春表示。
操作系统被誉为计算机的“大管家”,负责协调和管理计算机的各种软硬件资源,这意味着任何其他软件必须在操作系统的支持下才能运行。孔志印院士认为,“乾云可信云操作系统”有别于其他单体系架构系统,可以支持包括芯片、存储、主板、整机等硬件系统全链可信,能够实现操作系统、中间件、数据库、应用等软件系统全链安全免疫;有别于其他依靠恶意软件特征库的技术,基于TPCM(可信平台控制模块)对云资源的持续主动度量,可实现云计算资源安全事件的实时感知。
专家表示:“‘乾云可信云操作系统’的研发及产业化,将会进一步加速云计算上下游产业链更好发展和国产化替代进程。”
据了解,乾云信息是一家国资控股、依托国家高层次人才团队组建而成的高科技企业,主要面向国防安全、经济安全和社会安全领域,相关技术成果已在公安、金融、教育、党政等系统得到广泛应用。
