主持人：
      我们第二位演讲者是陆永康先生，是Sonic  WALL的技术总监，毕业于香港理工大学，获得工程学识学位，陆先生在网络行业有二十多年的工作经验，在IT行业经过厂商、经销商、咨询服务多种类型的公司，在整体的网络安全规划部署上来，更为熟悉，并且参加了政府金融、航空等网络项目，他的题目是确保云环境中的应用安全，从应用角度如何考虑，给我们带来新的思路，大家欢迎陆先生演讲。

陆永康：
    大家下午好！我是陆永康，是代表Sonic  WALL公司，Sonic  WALL是一个网络安全设备厂家，今天我们是从网络层次看看云计算能够提供一些意见给大家，如果你们有机会要部署一个企业的云或公共云的时候，有什么地方要注意的，尤其是在网络层次上。

    云是一个刚开始的阶段，但是我们看到越来越多的公司已经投放了一些资源去做一些自己企业的云，或为了省钱的直接给公共云提供服务。最简单的例子，这个推动力可以给企业省钱，如果不可以给企业省钱，没有人会买的东西。这是很简单的， 每一个用户也会问到这种问题。

    云计算公共云，不需要买什么设备，服务器、网络投资完全不用。只是给他们交一个月费。提高多少带宽、用户量多少，都通过这个计算提供。操作系统打补贴都可以省钱，企业都愿意把目前的IT设备转到云计算上的。

    另外一个部署方面，是比较简单的，比如说很有名的应用，像CRM，已经有很多做好的应用，个别的公司可能有他们特别的要是，只要通过很简单的部署，就马上可以用。这个定植很快，没有什么负担，请一个人去维护、做一些备份也要钱，全是云计算可以搞定，不用担心。

    可测量性，动态分配资源，存储、记忆、带宽、连接数都可以动态增加或减少。应用软件不是24小时使用，白天的时候，员工上班的时候使用量会大，那时候可能CPU使用量不够，可以动态增加服务器，处理能力就增加。下班没有那么多需求，就可以减少。基于这个原则，用多少算多少，从成本的考虑，从月费的考虑，云计算是有他的卖点。我们是看到云计算越来越流行，是这个原因。

    这是一些趋势，美国一个杂志提到十个趋势，我把两个拿上来给大家看。说的是一些私有企业建的云，一般提到公共云，一些大的跨国企业建立自己的云，可以省一些成本。

    现在目前来说，很有名的公司，他们提供这些企业的云，基于公共云，他们已经很努力去推这个方案出来，我们看到越来越多的公司往这个方面走。我们整个销售的系统、技术支持、售后服务，所有的东西都是在销售上跑的，全球的员工无论是中国大陆还是美国，也可以通过云技术来运作，然后我们可以最新的信息。
    说那么多云的好处，云真的那么完美吗，一点缺点都没有吗？云计算威胁我们要探讨一下。这里说到很多人因为企业应用以及语音上面，有什么问题出现？不用自己的服务器，网络设备不是自己的，是云计算中心的，没有权力改造网络设备配制或调整服务器等种种设备，问题出在这里？在人家手下，如何确保你的应用数据是安全，这是很关键的问题。

    云，从用户的角度来看，我们是用浏览器，有一个统计，目前来说，有一个八分比，目前我们的生活习惯，打开笔记本还是上网，用浏览器，可以用微软的，基于这种方式来和应用联起来，把信息拿下来。

    云的结构，云的最底层是Intel，没有Intel就没有云的计算，云的计算把所有的东西集中在云中心里。没有网络基本上不行。云有一个特点，结构是云计算中心不可能你一个客户。要收集很多用户，他们越多用户来说，生意就越作越大。  越多用户时资源就可以调配，共同分享。包括服务器、软件、存储、网络。问题就出现了。

    这些数据怎么保证是安全？我们有一个图，在云计算中心，现在用了很多服务器，某一个用户有一个应用软件，在三个服务器上跑，怎么知道你的数据不会和另外一个客户的数据混起来？怎么保证？好处是有，但是不好的地方没有控制。

    一般我们把云看成一个服务而已，我们很多也说了，是一个服务，提供一个服务给你，不要管里面有什么，你在里面跑，公司的运作可以通过手段来完成就可以。

    应用方面把不同的应用隔离，服务器上跑不同的软件，出现死机的形式，服务器没有反映的时候，怎么办？用户的应用怎么可以很快的恢复？这是另外一个问题。

    存取控制，用户进入云的时候有密码，密码进去才有一个授权进行访问内部的资源，怎么控制？不是单一的用户，现在可能有几百个用户、上千个用户，云计算中心怎么确认？也是值得我们想一下的问题。

    在应用层，这些威胁怎么解决？病毒、木马、间谍软件等攻击如何保证用户避免这些问题。

    数据泄露怎么处理？确保不会泄露出去，传输方面的风险也是，有没有完整性，是服务器传到浏览器的时候，中间有没有一些黑客攻击，数据有没有 给人修改过，这都是很重要的问题。

    这是刚才总结碰到的问题，可以很好的控制，网络安全设备、加密，怎么做法可依控制？既可以云的供应商谈，我想要的时候你怎么保证，这是要和他们探讨的，服务的水平怎么样？出了问题的时候，怎么很快的进行恢复？也是一些我们要注意的地方。

    另外一个例子，在云里的虚拟器，第一个用户服务器含有70%的CPU没有用，另外一个客户有用户软件在上面跑。好处是可以动态，这个应用不够的时候，可以动态加一个服务器，可以看到反映很快。

    你们也很忙，要作的事情很多，反映不够快，用户是没有兴趣等待的，这个服务的水平，云计算中心要提供最低起码的水平，用户才能觉得可以。以前有这种反映的时候。

    在虚拟上有一些建议，黄的是外面进入的，可以放一些防火墙，可以把一些病毒、外面的攻击抵挡住。红色是代表抵挡住了，进入不了。另外一个做法，在多个虚拟服务器之间提供安全保护。

    另外一个考虑，大家也知道，浏览器连在云上，99%已经是用安全的WEB，所有的数据通过互联网业是加密的。加密的时候，有一个SSLVPN设备，要进行解密，防火墙，解密之后可以看到数据报的内容，可以拿下来，不让通过，提供一种保护， 我们叫做干净的VPN。

    云安全措施，从我们的角度探讨一下在实际应用方面我们可以做什么？首先我们先考虑客户端浏览器上，从浏览器连到某一个网站，我们建立的千万不要用公共的电脑，打个比方星期六放假，突然有一个电话，有一些事情要查，没有电脑怎么办？有时候可能去网吧上一下网，网吧公共的电脑风险是很大的，我们建议千万不要。

    实际环境可能还是要用公共电脑，我们怎么去网络的层次解决这个问题？首先，我们要有安全的远程存取服务器，给浏览器第一关连到云，第一点所有的是HTTPS，怎么知道这个设备在公共的不是自己的PC，我们通过一些远程控制，这个功能是在远程储备服务器上的功能，是做什么？做一些查询，会问PC，你现在是什么的操作系统？微软的XP等，你现在有没有打一个补丁，Server是多少，服务器通过查询，远端电脑的浏览器是什么系统？电脑有没有安装防病毒软件，够不够安全？通过这些查询，他就知道大概对方是什么，如果已经打了补丁，又安装了防毒软件，就会把用户放在安全的区域，这个区域是服务器里一些安排。

    如果公共网吧的电脑，没有安装什么防毒软件，或者安装了但版本很低，经常没有更新系统，把这些不安全的东西改善了，发现如果不安全，存储服务器放在检疫区，进行隔离。是有一点设置，可以访问到内部的资源是有限的。或者现在可以给你用，但是在你的电脑里分割出一部分的记忆体，然后把所有的信息放到这个特别的区域，这个区域和系统是分割出来，不会混在一起，控制权在存储服务器上。问题因为是网吧电脑，怕有病毒感染，所有的文件下载下来，下载到电脑的隔离区域上，这些信息不会被访问到，因为不安全。所以受感染病毒或受攻击的机会，通过这些手段可以把数据有问题的电脑进行隔离。

    还有下载下来的文件存到硬盘，是不允许存的，可以关机，没有关电脑，在起来，拿到里面的东西是乱七八糟的东西，拿到也没有用。通过这种安排，从安全角度来看，从云的切入点已经做了第一道防线，受感染的机会大大的减少，不敢说百分之百，但总有一些漏洞。根据我们的经验，这种安排目前还可以，没有什么问题发生。

    云安全措施，要有防火墙保护，DOS和DDOS，要做好这方面的保护。云计算中心是几百个用户一起用的，不是你每一家企业，要做的好一点怎么隔离。登陆以后，客户区到哪一个区，不应该去到那里，要做好防火墙的规划。
    UTM主要是有三块，是网关防病毒、入侵组织、反间谍软件，病毒影响比较大一些，入侵也是有，还有其他的。
    加了UTM设备，也是一个防火墙。也可以分开来做，有很多在云计算中间，网关杀毒是一个设备，入侵是另外一个设备，因为流量很大，独立的设备好一些，效率高一些。我这个连接是HTTPS，杀毒怎么杀，数据已经加密了。一般的做法是首先终止点在远程存储服务器上，出来的时候这个数据已经没有加密了。没有加密之后，就可以通过防火墙UTM设备检查到内容是什么，我有说过，数据怎么保护泄露的问题，比如公司的文件有加密的，不能流入到外面，如何确保？如果要下载一些文件，我们可以在UTM做一些保护，比如WEB有一些机密，通过扫描，如果有机密，就不能让你下载。

    外面其实还有一些文件安全的保护设备，这些可以做的更实。通过用户名，有一些人可以下载，有一些不可以下载，都可以做到。很多很多的解决方案，但是另外一种服务器。

    全是在云接入点上做的，我们应该做网络方面的应用防火墙，其实刚才说过，目前已经80%的流量在互联网上全部是WEB的流量，所以针对WEB方面的保护，应该加强，而且黑客知道，那么多人用，攻击、漏洞都是在微软平台，因为微软比较流行。同时WEB比较流行，80%是WEB流量，所以这方面有一个组织，他们是有一些建议，建议你有WEB的时候，安全怎么做？有很多东西，有一些是操作方面的过程，有一些网络方面的过程，有一些其他的等等来保护WEB的运作，保证是安全的。

    有一个组织叫做PCI，是网上购物去，去淘宝买东西用信用卡，去年也听到VS的信用卡资料被人盗用了，事情搞的很大，其实这些事情是黑客做的，是网上的犯罪分子做的，为什么要做？他们是有钱的，盗用人家的信息，把这些信息卖给其他人，VS信用卡拿到别人的资料，复制一个信用卡可以购物，背后有钱推导黑客做这些非法的事情。所以有规定，做网上的买卖，通过用信用卡，必须要遵守这些规则。经常见到的攻击，SQL  injection，可以通过这个手段，如果没有这些保护措施，你的数据库是很危险的。

    这些是一些WEB应用防火墙，可以提供的服务，可以保护在WEB上交易或是通信方面免受到我们知道的攻击。
    刚才说浏览器和云接入点，云中间有很多数据中心，数据中心也是Intel，所以互联网也要，每一个数据中心总出口有红色防火墙、黄色的WEB应用的防火墙，这种做法在网络层次已经保护到，不能说百分之百，因为每天都有新的病毒出来，至少98%以上，已经知道的问题可以解决。

    数据中心里面要用这种服务的时候，要和他说这个补丁有没有升级，补丁怎么打？多长时间打？这个数据的保护，有没有加密，这些种种的问题，买服务之前要问他们。

    密码怎么保证人家用户用暴力入侵的手段，通过电脑自动化来填用户名和密码进去，现在在国内有很多银行，登陆网上银行看到了，除了填写密码，还有一张图，后面有一些背景图案，上面有一些字，是用机器分辨不到，但是人可以看到，是另外一种安全措施。

    另外日志、监控、报表，每一天给我一个报告，审计一下有没有黑客攻击，有几百客户，我只有兴趣看自己的，整个云方面介入的时间，表现是否达到我的要求，也是我们要注意的地方。

    今天我要讲的就到这里，希望我们从网络方面为大家带来一些建议，以后你们用这个云的时候，有一些地方要注意，或自己建立企业云的时候，你们可以注意一些地方，谢谢大家！

主持人：
    谢谢陆先生，陆先生四十分钟正好用完了。如果大家有问题，我建议大家琢磨一下，听完下面的讲演之后，在提出自己的问题。