9月23-25日，中国规模最大的信息安全专业会议2013中国互联网安全大会(ISC)在北京国家会议中心举行。本次大会由中国互联网协会和 国家计算机网络应急技术处理协调中心(CNCERT/CC)指导，360公司主办，CSDN参与承办，旨在为国内外关注互联网安全的行业同仁搭建最新的信 息安全技术与解决方案的交流平台。

云安全一直制约着服务的采用，对比传统应用环境，其涉及的领域更广，影响也更加深远。在2013中国互联网安全大会(ISC)23日下午启动的云计算安全论坛上，众多业内专家对云领域的安全问题进行了深入的剖析，并分享了各自的相关实践。

云安全联盟中国分会理事 赵粮

1. 有度量才有可信，建立在标准上的认证可以更好的取信用户。在云计算安全论坛上，赵梁首先分享了CSA在云计算安全领域的收获。赵粮认为云环境下，传统威胁依然存在，同时新的威胁又被不断揭露。这种情况下，更可信的云生态环境建设需要整个业内的努力。赵粮从《云安全指南》入手，从3个方面分享了CSA的观点：

首先，云安全所面临的挑战。通过赵粮了解到，在CSA本年度发布的Top Threasts中，排名第一的就是数据泄露和丢失。期间，赵粮更对Security assessment（可靠性评估）、SIEM（安全信息处理）、Network Security（网络安全）等方面进行深入分析。其次，赵粮将目光放到了CCM（安全控制矩阵）上，他认为既然云计算是计算的外包，就会涉及到各个行业 的标准，因此想取信用户，有一个认证要方便的多。这里就涉及到了CTP（cloud Audit），在小规模情况下借助第三方的认证不失为一良策。最后，赵粮还结合了CSA下的CTP项目分享了体系、标准及度量的重要性，分享了CSA的 CCSK相关认证。

上海优刻得信息科技有限公司CEO 季昕华

2. 攘外必先安内，给用户分三六九等，有效降低内部安全隐患。季昕华首先分享了外部攻击的类别，其中包括：

• 网络层：DDOS，ARP 欺骗，DNS 欺骗
• 系统层：缓冲区溢出，Heap 溢出，格式化字符串，整形溢出
• 应用层：权限配置，缓冲区溢出，格式化字符串，整形溢出
• Web 层：SQL注入、XSS/CSRF、文件上传、任意文件下载、越权问题
• 核心：输入&输出

随后他提出了攘外必须安内的这个观点，以优刻得的实践入手，分享了云提供商的必备锦囊：

1. 避嫌：拒收容易遭受攻击的用户，比如假药、性用品。国内云平台基本上每个月攻击的次数超过300次，用户扛不起，必须先躲起来，让大公司往前冲。
2. 隔离：不同用户之间的隔离是非常大的挑战。主要归结于亮点：首先，鉴于交换机安全手段的失效，必须做不同用户的隔离；其次，需求不同类别用户之间的隔离。
3. 安内：用户中可能存在恐怖分子，他们攻击其他用户或者是平台之外的用户。在优刻得使用了基于用户ID的网络隔离、VM隔离、ARP广播隔离、ARP欺骗防范、Vlan隔离等众多措施。
4. 防止来自服务内部的威胁：首先，控制员工权限并做相应审计；其次，严把上下游生态链的合作；最后，安全防护设备的云化。

360公司系统部总监 唐会军

3. 主流的DDOS攻击类别，及云服务防DDOS攻击策略。DDOS攻击，是所有互联网企业，云服务厂商不得不面对的问题。最近一次，是8月25日CNNIC遭受的攻击，由此可见典型DDOS攻击的威力。360公司是如何迎战DDOS攻击的？360公司系统部总监唐会军做了精彩的分享。

在他看来，主要DDOS攻击有以下几种：

• Syn Flood
• ACK Flood
• UDP&ICMP Flood
• Connection Flood
• Challenge Collapsar 

针对这些攻击，360制定了360 DDOS攻击防护体系，唐会军说：第一层是入口的路由器或者交换机；第二层是负载均衡，所有在线服务都涉及到负载均衡；第三就是WEB服务器，360为DDOS攻击主要围绕三层非常简单的体系结构来做的。

有意思的是，DDOS攻击体系里没有用到第三方很专业的防火墙。以经常用到的SYN Flood攻击来看，360有一个核心部分就是LVS，这已经在各大互联网公司中广泛使用了。目前360基于LVS做了深度的定制和开发，增加了很多功能 和模块，比如针对SYN攻击的LVS。一般来说，含有这个功能的设备是很贵的，而360采用开源LVS软件，实现了Syn Proxy功能。其以TCP协议为主，性能1000万PPS/台。再如，Syn Proxy功能利用了Syn Cookie原理，降低了握手阶段内存消耗。如图所示。

除此以外，还有Connection Flood，ACK Flood，Challenge Collapsar，负载均衡，WEB服务器等多方面的技术分享。

唐会军表示，一系列防护手段已经帮助360不需要太多人工干预，就可以静悄悄地把这些问题解决了。同时，360还面对中小网站推出了网站卫士的业务，DDOS防攻击等安全策略如出一辙。

杭州安恒信息技术有限公司技术总监 杨永清

4. 大数据产生的原因、价值及大数据领域的关键技术。杨永清从四个方面剖析了大数据：背景背景、定义、大数据之于安全、数据本身的安全。

杨永清表示，大数据形成的主要动因是应用驱动，在天文、气象、医学、气象、交通等领域，特别是公共服务领域具有广 阔的应用前景。在政府职能的变革上，应该重视应用大数据技术，盘活各地云计算中心资产：把原来大规模投资产业园、物联网产业园等改造成智慧工程；在民生领 域，应用大数据技术，提升服务能力和运作效率，以及个性化的服务，比如医疗、卫生、教育等部门；解决在金融，电信领域等中数据分析的问题：但受困于存储能 力和计算能力的限制，只局限在交易数型数据的统计分析。

随后杨永清对大数据整个领域的关键技术进行了剖析，其中包括：分析技术、大数据平台技术、大数据安全与隐私保护技术、大数据完整性保护面临的挑战、大数据安全的挑战、数据备份和恢复。

拿云时代执行董事&首席战略官檀林

5. 连接性的暴发带来的安全隐患，及5个创业热点的防范手段。檀林结合一些国际上新兴的云安全公司，介绍全球云计算安全领域的主要热点创业领域以及对云计算发展的影响和趋势。包括： 

• 虚机安全保护与微隔离
• 云中的身份和访问控制管理
• 基于大数据分析的实时威胁管理
• 云安全治理
• 云应用安全网关和数据加密

期间檀林通过5段视频，5个安全公司用例，分析了每种解决方案的实现原理，最后还分享了该公司的解决方案。

道里云CEO 毛文波

6. 软件定义网络，网络虚拟化与云安全。整个产业都在软件定义数据中心和硬件复兴之间寻找着一种微妙的平衡。其中，最引人关注的是SDN(软件定义网络)。所以道里云信息技术（北京）有限公司CEO毛文波将演讲主题定在《SDN，网络虚拟化与云安全》时，格外引人注目。

在他看来，成熟的服务器虚拟化技术已经使CPU处理器、磁盘等资源池化，做到了召之即来，挥之即去，也做到了对应用层的透明与隔离。但相形之下，网络资源池化的紧迫性开始显现出来。

尤其是IT逐步迁往云计算时，租户网络设置与防火墙控制都成为软件，但控制与数据流的集中点处理模型仍然 未变。业内也有一些尝试，比如私有云OpenStack的零碎交换机整合做法，软化了交换机，但与CloudStack、桉树、OpenNabula一 样，各有各的制约。

除此以外，OpenFlow交换机与协议，尝试对网络做编程控制，也处于起步阶段。在毛文波看来，从技术上看，网络可编程其实是个简单问题，不值得闹革命，只有网络虚拟化弹性大规模可扩展（并网）才是云网络的重点。

但对应云计算的需求，分布式虚拟化网络资源的根本就是自动并网形成无限大二层。在并网技术方面，可以使用 全球分布数据库+VMM通过一致映射方法，使虚拟机组成的逻辑网络在全球范围一致并始终映射到底层物理网络，使逻辑网络与物理网络彻底去除耦合。显然，用 数据库+VMM做Overlay的优势很明显，逻辑网的无边界增大一步到位。无需共享数据中心内部网络拓扑，跨数据中心操作问题得到了彻底解决。

圆桌会议

7. 透明（可信）、身份、可见性、隔离、数据（可用性、完整性和保密性）共谱云计算安全乐章。上海优刻得信息科技有限公司CEO季昕华担任主持，嘉宾分别是云安全联盟中国分会理事赵粮、360公司系统部总监唐会军、杭州安恒信息技术有限公司技术总监 杨永清、拿云时代执行董事&首席战略官檀林、道里云CEO毛文波，他们就上述关键词对发表了自己对云安全的深刻认识，并就国内外的云安全问题展开 了讨论。