9月1日—2日，由工业和信息化部指导，中国信息通信研究院、中国通信标准化协会主办，数据中心联盟承办的“2016可信云大会”在京隆重召开。在云安全分论坛上，中国信息通信研究院技术与标准研究所主任工程师、数据中心联盟政府采购云服务工作组组长高巍对可信云服务安全认证方案进行了解读。

中国信息通信研究院技术与标准研究所主任工程师 高巍

以下是演讲全文：

各位领导，各位嘉宾，大家下午好。

本人并不算安全的专家，这里边仅是代表我们项目组。可信云其实在数据中心联盟以前开展的一个非常有影响力的认证的活动，可信云本身也是在不断发展，从2012年的时候以IaaS为主要有云服务，提供认证。2014年增加了在线测试等等，今年开展了安全的认证，为什么要做安全认证这样一个事情，现在在业界有很多关于安全的认证，其实我们可信云的安全认证跟目前业内的已经在进行在开展的这些安全认证，我们认为有一个划分。第一个是从用户的角度出发，不是从运营商的内部管理，从平台的架构，不是做一个白盒的，我们是做一个黑盒认证从用户的角度出发看服务是不是能够达到安全的要求。第二个是以这种技术风险为分析目标，大家认为认证评测是以管理风险、组织的风险为评估目标，我们是以技术风险为评估目标。什么样的技术风险，我们会详细给大家介绍一下。第三个是采用业界公认的漏洞库，刚才颁发了证书，由业内公认的安全专家对我们的认证结果进行评定。同时为了保证这样一个安全认证的完整性，我们也会涵盖对企业的一些管理方面安全方面评估的部分，这一部分我们是采用采信国内外广泛认可的认证的结果，以这种方式来进行，无论是通过了CSA-STAR也好，通过安全审查也好，通过等级保护也好，我们认为管理层面已经达到了要求，技术层面组织专家评测，第三方测试机构对安全进行测试。

这个测试主要三个方面，一方面是从用户的服务，我们知道现在云计算的服务已经不仅仅是像原来IDC服务一样，出一个机架，供了电、制了冷就ok了，更多的变成一种信息的基础设施，承担的不再是一个服务安全的责任。意味着从我这个Portal进入为客户提供服务的所有的用户。第二是这个系统模板，每个服务商会给用户提供很多的，以云主机为例，会提供很多系统模板，这些模板本身是不是存在漏洞，有没有定期更新、定期补丁这样的策略。第三个是安全配置，是不是在给用户提供的操作系统间，能够为用户提供一些提示。目前我们所说的三方面的评测的内容，确实是因为时间非常紧，大概半年左右的时间，跟我们联盟的成员单位一块，大家一起讨论出方案。这个东西也是在不断迭代过程中的，也希望将来能有专家不断参加到这个过程中。

在服务Portal安全评测大概两个方面，一个是用户访问环节的安全防护，一个是系统渗透测试。在用户访问环节的安全风险防护，不一一解释，一些简单的，比如在密码重置这个环节里，是不是要允许用户来进行验证码尝试，我们的平台是不是能够防止这样的情况出现。第二是系统模板漏洞测试，包括我们对操作系统Linux、Windows 漏洞的扫描，包括我们可能在模板里面提供了一些默认的自带服务的平台，比如Web服务，我们对它的漏洞进行扫描，是不是有其他的不适当的或者多余的开放的端口，都是在这里要扫描的内容。第三个是平台的云主机安全的配置测试，更多是服务商应该有义务向用户去提醒应该进行什么样的安全的基线配置，比如在身份鉴别了会去验证你在系统里面是不是配置用户密码的控制策略，你的密码有效期，你的密码是不是能够提醒用户定期更新。这个对用户来说是一个有益的提醒，这些都是基于服务商把用户安全的考虑作为我们为用户服务的一部分，当然不是强制性的要求，但是服务商应该有这样的义务向用户提醒。

整个认证过程跟可信云类似，首先通过企业，有四家企业已经通过了第一批的试认证，向数据中心联盟提交申请。在申请之中有包括一些基本的产品、基本的服务，企业的基本情况、基本材料进行审核，包括你的资质，运行的时间。由联盟来指定第三方机构来进行测试，目前第三方机构包括信通院、赛宝实验室，这都是我们联盟已经认可的第三方的评测机构。由第三方评测机构出具的测试报告结合我们已有的材料，交给专家组评审，在你测试的结果提交材料之中，风险的情况是什么样的，有没有严重的风险，风险的程度是不是能够符合联盟标准的要求，如果ok，发布结果，不行，这个过程中我们也进行了好多这样的迭代，要进行更改、重审。

整个标准的编制过程中也确实得到了联盟很多成员单位的支持，尤其这里面列出来的包括信通院、赛宝、世纪互联、华为、中睿天下、青藤云等，后续也希望有更多的企业、更多的专家参加到我们这个安全评测的标准的编制过程，包括我们企业认证的过程之中来，把我们这个评测能够做得更好，能够跟我们业内其他的包括政府的认证，包括其他行业组织认证，能够结合起来，能够更好的去保证云服务的安全。

就简单介绍这里。