7月2日上午， 2019可信云大會在北京國際會議中心隆重開幕。2019可信云大會以“智能云網(wǎng)邊，可信創(chuàng)未來”為主題，由中國信息通信研究院主辦。紫光云技術(shù)有限公司首席架構(gòu)師王勇出席并以“從芯出發(fā)，構(gòu)建新時代云安全體系”為主題進行了演講。

紫光云技術(shù)有限公司首席架構(gòu)師王勇 

今天我們可以看到在云上各種安全威脅依然存在，我從07年開始接觸到云計算，到現(xiàn)在差不多有12年的時間，算是云計算的老兵。在過去12年里，包括在硅谷和大陸，可以看到威脅一直伴隨著技術(shù)的發(fā)展存在，威脅的形式會有不同的表現(xiàn)。比如在2019年看到了委內(nèi)瑞拉的事故，英特爾的處理器暴露出它的漏洞，在中國大陸可以看到萬豪的數(shù)據(jù)遭到了泄露，包括最近比特幣的價格創(chuàng)下新高，今年升了一半以上，挖礦病毒肯定會起來，這跟利益相關(guān)。

今天有四類云安全的威脅，云是基于硬件和軟件，硬件和軟件都是人來寫，只要人來寫的東西里面必然有漏洞，再牛的程序員也一定有BUG，一定有漏洞，有漏洞就會帶來數(shù)據(jù)的泄露，今天我認為數(shù)據(jù)的泄露比云上的斷網(wǎng)更嚴峻。網(wǎng)斷了很多時候影響用戶的體驗，網(wǎng)絡(luò)不可訪問，數(shù)據(jù)在今天這個時代是一個核心的資產(chǎn)，是企業(yè)非常核心的東西。

有相關(guān)的統(tǒng)計，當(dāng)一些企業(yè)發(fā)生非常嚴重的數(shù)據(jù)泄露之后，很多企業(yè)的業(yè)務(wù)和聲譽造成了某種程度上不可恢復(fù)的損害。還有API，只要企業(yè)或者說你的業(yè)務(wù)對外提供服務(wù)，很多時候通過API的形式，大家可以反思一下，今天多少個API是真正安全的。

身份認證和訪問往往管理不足，在企業(yè)內(nèi)部或者當(dāng)企業(yè)對外服務(wù)的時候，大家可以反思一下企業(yè)內(nèi)部的數(shù)據(jù)有多少是真正有條有理分級按權(quán)限進行管理的，并且分級授權(quán)，而且不同的數(shù)據(jù)一定有不同的權(quán)限，保證最小的授權(quán)。在公有云，在數(shù)據(jù)更加融會貫通的情況下這個風(fēng)險尤其突出，以前在私有云的環(huán)境下數(shù)據(jù)和系統(tǒng)是割裂開的，系統(tǒng)被攻陷之后不會影響周圍其他的系統(tǒng)。當(dāng)系統(tǒng)統(tǒng)一或者整合之后往往被攻陷之后會連帶更多的數(shù)據(jù)被攻陷。

所以基于以上的危險，我們看到上云迫使企業(yè)更加注重安全，我們可以看到這幾個柱狀圖里面，上云的企業(yè)、更多的企業(yè)會對業(yè)務(wù)進行近期的跟蹤與評估，會使用專業(yè)網(wǎng)絡(luò)產(chǎn)品和服務(wù)。同時也會更多的建立網(wǎng)絡(luò)管理制度。在企業(yè)內(nèi)部，像北京燃氣的朋友分享的，會設(shè)置專門的企業(yè)網(wǎng)絡(luò)安全管理組織。

在我們國家的層面，頒布了各種各樣的法律法規(guī)，這些法規(guī)一個是政策指導(dǎo)性文件，也有一部分是對企業(yè)的業(yè)務(wù)有些強制性的要求，這個也能看到從國家來講對網(wǎng)絡(luò)安全越來越重視，沒有網(wǎng)絡(luò)安全就沒有國家安全。今天網(wǎng)絡(luò)上、云上承載著跟國計民生相關(guān)的重要業(yè)務(wù)。

我們紫光云是紫光集團一個核心的一級子公司，大家都知道紫光集團在芯片領(lǐng)域做了重科技、大手筆的投入。我們的云安全基于非常可靠的，紫光集團國產(chǎn)的芯，這是云安全的非常堅實的基礎(chǔ)，基于國產(chǎn)芯、基于紫光芯生成可信根。安全的理念貫穿了整個研發(fā)、運營的業(yè)務(wù)環(huán)節(jié)，基于此我們對租戶的業(yè)務(wù)提供全方位的覆蓋?；谧瞎饧瘓F的業(yè)務(wù)特征、我們的業(yè)務(wù)特征，客戶往往是大企業(yè)和政府客戶，這些客戶對安全合規(guī)和數(shù)據(jù)的隱私保護非常重視。

舉例，紫光云在連云港市的項目里面，整個連云港市的六大庫全部放在紫光云上，包括公安的數(shù)據(jù)，這也是政府對企業(yè)的信任，同時也是我們企業(yè)能力的體現(xiàn)。這些都是為了能夠達到用戶自主可控的目的。

在云的技術(shù)研發(fā)全流程上，安全從頭到尾貫通，從產(chǎn)品立項開始，有專門的安全評審，對企業(yè)研發(fā)運營崗，凡是跟技術(shù)相關(guān)的崗，會定期進行安全培訓(xùn)。同時在代碼和架構(gòu)方面會定期、不定期的進行各種各樣的評估。在代碼開發(fā)中會進行各種各樣的安全測試，在上線之前與發(fā)布之前我們也會進行發(fā)布與上線的測試。同時針對我們的客戶主要是政府與企業(yè)的特點，我們建立了非常完善的安全事件的監(jiān)控與應(yīng)急響應(yīng)的機制，對政府來講一些重大事件，比如今年建國70周年會有各種各樣的重大事件，重大事件之前我們會進行重大事件的重點保證的相關(guān)工作。

紫光云整個云平臺通過了等保四級，這是國內(nèi)云計算、云平臺能夠達到的最高等級，而且網(wǎng)絡(luò)平臺跟其他的機構(gòu)云有一些不一樣，我們是云平臺過了四級，有的云是拿出來某個業(yè)務(wù)系統(tǒng)，比如金融系統(tǒng)或者部分區(qū)域的系統(tǒng)來過等保四級，我們是全平臺通過等保四級。而且基于紫光的芯片技術(shù)，對用戶的數(shù)據(jù)能夠進行訪問與使用的限制，通過芯云一體的技術(shù)手段，就算我們自己也沒有辦法擅自使用用戶的數(shù)據(jù)。因為企業(yè)自身的基因決定我們不會對用戶的數(shù)據(jù)感興趣拿來做別的，比如做電商、做旅游、做市調(diào)，我們不會碰用戶的數(shù)據(jù)，我們希望用戶拿上來的數(shù)據(jù)之前就已經(jīng)進行了加密，我們會通過技術(shù)手段、通過非?？煽康氖侄巫寯?shù)據(jù)上來之前放到云平臺之前就已經(jīng)加密，云上盤道的全部都是亂碼，自己沒有辦法解開，我們根本不關(guān)心這些事。