云計算將大量計算資源、存儲資源與網絡資源聚集在一起，形成規(guī)模巨大的共享虛擬IT 資源池，在提高可用性的同時，也把安全問題推上了風口浪尖。如何保證云平臺的安全是所有云建設者都需要面對的問題。日前，合肥在工業(yè)云平臺安全建設的過程中，選擇浪潮SSR操作系統(tǒng)安全增強系統(tǒng)（簡稱“浪潮SSR”）對平臺加固，有效提升了云平臺的安全性。

　　工業(yè)云平臺對安全提出了高需求

　　云計算正在深入改變各行業(yè)IT架構的模式，工業(yè)企業(yè)也不例外。大型企業(yè)希望借助云計算應對規(guī)模效應遞減的客觀規(guī)律，最大限度優(yōu)化資源配置，發(fā)揮資源整體優(yōu)勢；中小企業(yè)希望加快創(chuàng)新速度，運用較低成本的信息化手段增強各部門協(xié)同和反應速度。“工業(yè)云”正是在這樣的背景下誕生的。去年，工業(yè)和信息化部提出了“工業(yè)云”創(chuàng)新服務，并將其列入工信部《信息化和工業(yè)化深度融合專項行動計劃（2013-2018年）》中。合肥市是工信部“工業(yè)云”創(chuàng)新服務的試點省市，將通過工業(yè)云服務平臺建設，提供云辦公系統(tǒng)、工業(yè)設計、外勤通等功能的服務能力。

　　合肥工業(yè)云平臺帶來了更高的IT管理性與可用性，給工業(yè)企業(yè)帶來了更強大的信息化能力支撐和商業(yè)模式轉型的驅動力。但是，因為云計算以及虛擬化本身的特點，安全的問題更為突出。

　　與傳統(tǒng)數(shù)據(jù)中心聚集著大量物理服務器類似，云計算環(huán)境中聚集著大量的虛擬服務器。運行在同一物理服務器上的虛擬機之間很容易造成相互攻擊，基于物理隔離和基于硬件的安全防護手段無法防止這種情況的發(fā)生，傳統(tǒng)針對物理機的入侵檢測等安全手段也都需要擴展到虛擬機級別。本地服務器和云端虛擬機使用相同的操作系統(tǒng)和應用程序，進一步增加了攻擊者利用這些系統(tǒng)和程序中的漏洞進行遠程威脅的可能。當程序在本地和云平臺之間移動時，虛擬機更容易受到攻擊。

　　在云計算環(huán)境中，虛擬機的動態(tài)遷移是系統(tǒng)的常見狀態(tài)，但是這種常見狀態(tài)給安全策略下發(fā)帶來了難題，在物理服務器之間克隆和發(fā)布虛擬機，安全策略可能無法保持一致，并且可能因此導致配置錯誤和其他安全漏洞的迅速傳播。

　　此外，傳統(tǒng)系統(tǒng)中的補丁問題在云計算環(huán)境中更為突出。工業(yè)云平臺上，企業(yè)用戶使用云計算資源，需要在自己的業(yè)務范圍之內對系統(tǒng)打補丁。所以，對于補丁的維護更為分散，也就帶來了更大的安全隱患。

　　面對云計算的復雜環(huán)境，如何把安全風險降到最低呢？在工業(yè)云的建設中，合肥市采用了非政府的專業(yè)評估機構參與評估和調查，安全專家認為操作系統(tǒng)是虛擬化環(huán)境的核心部分，只要保證了虛擬機操作系統(tǒng)的安全，就可以從源頭上解決云計算環(huán)境中的這些安全隱患。

　　固本清源 浪潮SSR重塑工業(yè)云平臺安全

　　“針對工業(yè)云平臺的構建情況，浪潮SSR能夠針對物理機和虛擬機進行加固，有效保證云平臺操作系統(tǒng)的安全。”安全專家表示。目前，合肥工業(yè)云平臺上，部署了一整套的浪潮SSR，包括物理機和虛擬機版本，保證了云平臺操作系統(tǒng)的安全。

　　在云計算環(huán)境中，安全的焦點在保證虛擬機操作系統(tǒng)的安全，只要保證了每個操作系統(tǒng)的安全，就可以從源頭上避免虛擬機之間的攻擊以及遠程威脅。浪潮SSR攔截了所有的內核訪問路徑，所有符合云平臺規(guī)則的文件、進程、服務、權限都予以“放行”，不符合規(guī)則的就進行屏蔽。這樣做的效果與重構操作系統(tǒng)原代碼技術類似，而好處是不會影響用戶的業(yè)務連續(xù)性。采用這種方式，云平臺的操作系統(tǒng)中徹底清除了黑客攻擊、儒蟲和病毒感染的“生存環(huán)境”，也就從根本上解決了虛擬機之間攻擊的問題。

　　浪潮SSR打造安全操作系統(tǒng)環(huán)境

　　針對虛擬機遷移帶來的安全策略不一致問題，SSR通過在云計算環(huán)境里實施安全區(qū)域隔離，保證不同區(qū)域采用不同的安全策略，有效化解了安全策略不一致的問題。

　　給操作系統(tǒng)打補丁的問題在部署浪潮SSR之后也不再是問題，因為浪潮SSR不需要依賴病毒行為特征庫來識別攻擊，而是采用白名單防護技術。只要配置好SSR安全策略，管理員不再需要針對操作系統(tǒng)開展升級、打補丁等工作內容。從發(fā)現(xiàn)漏洞到修補漏洞的‘真空期’也不存在了，系統(tǒng)具有了相當能力的‘免疫’能力。

　　“浪潮SSR幫助工業(yè)云平臺實現(xiàn)了安全能力的重要提升，保護了云計算系統(tǒng)中重要數(shù)據(jù)和應用的安全，從根本上免疫了目前各種針對云計算操作系統(tǒng)的攻擊行為，防止了病毒、蠕蟲、黑客攻擊等對云計算操作系統(tǒng)和數(shù)據(jù)庫的破壞。”安全專家表示。

　　目前，云計算的應用范圍已經逐步擴大，云環(huán)境的安全問題更為突出。浪潮SSR通過主動防御機制有效地保護了云平臺，為化解云計算應用中的安全威脅提供了一種重要選擇。