众人网络何长龙：众人科技安全云管理方案

      ZDNET至顶网CIO频道 9月1日 北京报道（文/王聪彬）：8月31日，在工业和信息化部软件服务业司、电子信息司的指导下，由工业和信息化部软件与集成电路促进中心（CSIP）联合企业主办的“基于安全可控软硬件产品云计算解决方案推介大会”在国家会议中心召开。

      以下是上海众人网络安全技术有限公司CTO何长龙主题演讲全文：

      首先感谢工信部软件司，CSIP，给我们企业提供这样一个平台和机会，也很荣幸我们被我们的云安全解决方案被选中，另外感谢各位从上午坚持到现在，说明是对我们云计算的一个支持。我今天下午跟大家沟通是基于云安全管理解决方案，主要是从这几个方面给大家做一个汇报。

      众人科技提出的云安全管理是统一帐号管理，包括认证管理，以及受权管理，监测管理为综合的管理方案，主要用在云安全计算管理资源，上午我们院士都提到云其实在云计算里面云安全是非常重要的，包括刘部长在第三条也重点说到云安全问题，我们在这里是从云本身存在相应一些安全缺陷提出我们解决方案，比如说云里面最重要一个缺陷就是里面有一个超级用户可以对云里面所有资源进行分配，管理调配，包括弹性的一些配制等等，这里面如果限制他们的一些身份或者权力，如何知道谁在使用这些资源，需要云身份，统一管理，受权审计相关云安全服务，通过安全监测技术提高云对环境，资源，木马病毒恶意攻击防御能力，本解决方案主要牵头单位是众人科技，还有知道创宇，中科红旗提供操作系统相关平台和实施。

      大家都清楚，现有IT系统里面，大家提倡多边界管理模式，我们业务系统划分不同业务区域，不同业务系统，不同业务边界，大家原来有一个域的概念，传统观念不存在一些资源调配，传统业务有较清楚的域边界，等级保护主要工作也提出业务属性和等级划分评估，真正达到云时代提出云资源专门有一个平台，基于这些云资源平台为相应金融服务，安全监控服务，交通调度大量公共设施云服务，提供专业云服务模式，业务系统通用资源平台比如说存储，资源的云存储，另外各业务系统交叉越来越普遍，边界越来越复杂。

      基于前面传统业务边界到云平台以后业务边界复杂以后，在身份，就体现的尤为重要，云身份管理是实现云环境下按需服务的一个战略先导也是云安全基础的基础，这里面大家看一下在现有我们有了云资源平台，有了不同的行业服务平台，比如说金融服务平台，交通服务平台，还有一些其他公共社会服务平台，我们怎么统一一些帐号管理，但点登录，认证基于数字证书认证等等，从帐号认证授权以及监测都需要相应统一服务。

      这个整体解决方案一个架构是基于云现有基础设施，比如说现在大家很多的都有相应一些存储，相应的一些集群，基于这些基础设施为基础，提供了一个什么呢，身份管理本身也是云里面基础的基础，所以实践上身份管理也是要从ias层开始，到SAAS，要有云身份认证云授权管理基础设施，包括云密码服务，这种服务将为上面paas，saas提供相应身份服务，包括云监测一个审计等等相关的基础设施服务，基于为这个基础为各种应用服务提供相应的统一的身份管理，授权和相应的监测服务。

      总的来说作基础层面实现数据资产统一管理，实现了计算资源统一管理，运维日志安全监测统一管理，实现身份标识，认证策略，授权策略相应服务，整个系统功能大的方面因为我们本身可以基于这个平台，有的要把身份统一管理，在云层面在这个里面把身份云身份服务作为一种服务再提供给相应云服务设施，这里面提供相应的标准和认证接口，提供相应应用接口，第一个我在提供服务可以提供相应通讯接口，给接触设施提供相应的一些认证和相关的身份服务，另外在应用层面对现在云服务业务，云业务提供相应一个比如说是统一的管理，帐号管理，授权管理，访问控制。saas层本身云服务也要提供相应应用接口，便于更好的管理云资源，和你的云服务，这里面重点要强调，安全可控。

      安全在这里面前面大概提到基于哪几个方面，认证授权，还有审计，监测这样一些资源对你本身现有资源进行一些安全的确认，认证和授权。另外要达到一个可控，要基于我的资源相关设施进行相应授权，才知道第一谁访问了我的资源，谁正在使用我的云资源，谁没有使用，谁释放了我的云资源，统一在我的云平台对我的资源进行相应调配，整个云身份管理才能知道创宇知道安全监测技术，定期对管理各类资源进行安全检查，进一步增强管理系统本身的安全性，也提高了管理类系统整体运行安全性，杜绝来自内部病毒感染，的安全隐患。

      这里面从功能上讲，几个方面，第一集中式管理模式，提供统一身份管理，解决你是谁，在我云资源里面本身云资源是在统一的用户管理下是一个开放式服务，我知道谁在用这样的资源，另外资产帐号管理，可用的帐号，相当你这个帐号本身是不是在我的授权范围内可用，是我许可帐号，帐号授权去了哪，相当你能做什么等等，你去了哪是属于帐号一个授权，现在大家对传统防火墙有些了解，防火墙相当于一个大楼门卫，进大楼的时候问你要去哪，允许不允许进去，我要给里面打一个电话，确认许可你进去，另外去哪个房间，实际上防火墙是不管不了这块，一进去实际上可以到每个部门拜访一下我们解决云里面帐号授权管理。

      另外进去以后能做什么，云资源大家都在共享这些资源，在使用这些资源，能用哪些资源，另外监测审计做了那些事情，要留下一些为便于取证相关做一些服务。整个解决方案技术特点优势，不加状任何客户端代理，加装服务器端引擎，不影响任何网络拓扑，不影响任何业务数据流，支持集群方式，集中管理还有分布式部署。

      在方案具体部署里面说一些简单例子，现有本身云业务平台里面，云业务运行与支撑平台，我们以这个平台为例，里面有网络运维层，有平台运维，应用运维，还有一些数据运维，是一个运维的一个体系，这个本身当前在一些实际案例中已经在使用，有一些设备厂商要对这些相关系统进行服务，还有外包开发商，外包开发人员对我这个系统进行服务，另外还有云平台管理人员，要进行相应在这个平台里面使用。这种情况下原有运维角色交加重叠，安全风险大，管理难度偏大，这种情况下怎么部署，在整个云资源里面，部署相应设备，增加提高安全监控和审计，部署之前所有人员包括厂商，集成商，能源还有分支机构一些网管，开发外包人员，运维一些直接进行社会操作维护，另外当设备违法修改执行其他非法mimi，进行恶意配制，现有环境中很难定位到人，是哪一个人，什么时候做的，其实是很难定位的，无法进行责任认定和故障分析，这种情况下，如果部署这样云解决方案，每个自然人对应了一个相应的的主帐号管理平台专门帐号，登录设备重帐号，进行一个唯一对应，审计人员可以方便从平台查出是谁，什么时间登录哪些资源，产生了一些什么结果，很方便实现责任认定和故障分析，设备从帐号密码可以更新，还有对设备进行定期安全检查，实现管理规范化，从人员管理，角色，帐号管理，密码还有权限访问控制，另外在操作管理上面实施监控，操作相关记录等等，对设备本身做了一些管理，设备帐号管理，密码定期修改，设备安全检查，实际操作中里面有不同资源，到不同IP地质可以授权谁来用，这是一个大范围的一个部署的一个，现在由一个全国运维监护系统，有一级单位，有不同省级监控点，对省级一些资源进行监控，包括应用服务存储服务，这种情况先需要进行相应的一些部署，比如说在你的应用服务器群，数据库，企业应用集中发布和授权，对应用进行系统访问控制，对认证进行核心的一个接入，这是一个全国部署模式。

      下面简单介绍一下我们公司，我们公司是在信息安全行业算是一个新兴企业，07年成立，但是发展速度很快，现在注册资金已经是6千万，获得国家发明专利12项，正在申报有11项，方案五大优势，唯一参加制定国家相关的动态密码等相关技术和认证标准，唯一完整产业链就是具有芯片研发，后台系统研发，终端产品生产，形成整体云安全解决方案，另外自主知识产权，20多项专利申报，包括自主知识产权全部为自主研发和生产，先进生产工艺，齐全产品线我的汇报到此结束谢谢大家。