云時代需要與之匹配的安全解決方案。單點的、被動的傳統安全方案無法滿足云計算虛擬、動態、異構的環境。正是基于這樣的考慮，浪潮在2014“Inspur World”浪潮技術與應用峰會上宣布推出云主機安全產品解決方案，以可信服務器為根基，通過構建從可信服務器、虛擬化安全、操作系統加固到應用容器安全的完整“信任鏈”，實現完整、主動的安全。

“老三樣”解決不了新問題

“當前我國安全防護的現狀是仍然傾向老三樣，防火墻、入侵監測、防病毒。” 國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥在浪潮Inspur World大會云數據中心安全分論壇表示，云安全的發展遠遠滯后于云計算和大數據的發展。

與傳統數據中心相比，云數據中心存在新的安全風險。這些風險包括新的技術和應用模式。比如針對虛擬化的Rootkit攻擊，一旦被攻破將波及整個業務系統，而不僅是單臺服務器暴露在危險之中，已經實現虛擬化的數據和資源將會產生連帶風險。

此外，傳統安全威脅也在云時代被放大，云計算平臺是一個通用的平臺，其上可以運行多種多樣的網絡應用，因此也可能帶來各種不同的安全威脅。這幾年最危險和最隱蔽的高級持續性威脅攻擊(APT)也瞄準了云數據中心，通過鏈路層、網絡層、系統層、應用層(Web、數據庫等)等各個層面，把擁有大量關鍵業務數據的云主機作為攻擊目標。

那么，云時代的需要什么樣的安全保護?

基于可信計算構建“信任鏈”

“可信計算改變了傳統的‘封堵查殺’等‘被動應對’的防護模式，形成‘主動防御’能力，滿足云數據中心安全需求。” 沈昌祥為云安全指明了方向，并且從應用效果來看，“已經證明可信計算對于國內多類計算機設備和操作系統來說，是完全可行的有效的網絡安全技術和管理措施。”

可信計算是指在計算的同時進行安全防護，計算全程可測可控，不被干擾。具有身份識別、狀態度量、保密存儲等功能。其核心思想是通過在硬件上建立計算資源節點和可信保護節點并行結構，從平臺加電開始，到應用程序的執行，構建完整的信任鏈。

完整的信任鏈在可信計算中最重要的一環。華中科技大學計算機學院的鄒德清教授指出：“在云系統安全構建上，需要分析云系統動態復雜性特征，研究面向海量實體復雜信任關系的信任模型、信任基、信任度量和判斷等。”即達到體系結構、操作行為、資源配置、數據存儲、策略管理上的整體可信。

構建信任鏈的優勢在于，從安全技術上講，其將可信計算從單機擴展到虛擬化和分布式結算，保證了云數據中心中各種行為的可控性，此外云主機系統在數據處理和業務運行中的完整性、保密性和可用性也可以得到充分保障;而從管理措施上講，云主機安全系統采用白名單機制，建立了嚴格的準入制度，并在運行中一級測量一級，一級信任一級，從而實現云計算管理的可控和安全。

以可信計算為基礎，構建完整的信任鏈是解決云時代安全的必由之路。浪潮云主機安全產品解決方案正是踏準時代的節拍而來。浪潮集團信息安全事業部副總經理蔡一兵博士表示：“浪潮云主機安全產品解決方案以可信服務器為根基，構建鏈接固件、虛擬主機、虛擬操作系統和上層應用的軟硬一體化‘信任鏈’，其底層是自主可控，中間是可信，上層是彈性的安全服務，并建立常態的安全管理機制。” 可信計算之外，該方案還融合了操作系統加固、虛擬化加固、虛擬網絡控制等安全技術，可以全面解決云主機面臨的傳統攻擊以及‘Guest OS鏡像篡改’、‘租戶攻擊’和‘虛擬機篡改’等新型風險。

中國亟需自主可控云安全

云安全對中國更為重要。“因為安全的風險不僅來自于云計算本身，還來自于我國在云數據中心的關鍵系統和設備上缺乏自主控制權，缺少可信、可控的安全運行環境。”沈昌祥解釋說，“這樣的結果就是容易遭受‘心臟出血’漏洞、系統癱瘓乃至針對性攻擊等安全威脅?？梢韵胂笠坏┏休d著有關國計民生重要信息的系統被外部勢力惡意攻擊，甚至成為網絡戰的攻擊目標，其后果將不堪設想。”

在云安全領域，以浪潮為代表的一批公司切實推動了可信計算技術的應用，已經實現了國際TPM2.0標準版本，以及中國商用密碼標準算法SM2，SM3和SM4在云計算中的實際應用，帶動整個云數據中心安全產業鏈發展的進程。