如何構建最安全可信的云計算基礎平臺

　　在下午的分論壇1上，紅旗軟件技術有限公司服務器研發部吳永成發表了主題演講，他重點分享了構建安全可信的云計算基礎平臺的方法和經驗。

　　通用的Linux安全平臺存在著許多安全缺陷，有已知的也有未知的，已知的安全缺陷如普通用戶權限不明晰、特權用戶權限特大，可以查看和篡改影子文件等、許可檢查后仍然保持原有的授權信息，未知的安全缺陷如軟件本身的未知漏洞、配置錯誤和疏忽等等。

　　SELinux正是為了解決安全這些問題而誕生的。SELinux全稱是Security Enhanced Linux，由美國國家安全部(National Security Agency)領導開發的GPL項目，它擁有一個靈活而強制性的訪問控制結構，旨在提高Linux系統的安全性，提供強健的安全保證，可防御未知攻擊，據稱相當于B1級的軍事安全性能。比MS NT所謂的C2等高得多。

▲圖1 SELunix安全架構

　　那么，如何才能構建最安全可信的云計算基礎平臺呢?針對面臨的安全威脅，吳永成提出了構建安全平臺的安全策略，主要從三個方面入手構建安全可信的平臺：類型加強(TE)策略、多級安全(MLS/MCS)策略、基于角色的訪問(RBAC)控制。

　　類型加強策略，將訪問控制到某一個程序粒度。多級安全(MLS/MCS)策略指的是，為信息定義不同的安全級別，不同的用戶只能夠訪問相應安全級別的信息。

▲圖2 程序粒度的訪問控制

▲圖3 使用多級安全(MLS/MCS)策略的數據流控制

▲圖 4 基于角色的訪問控制

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]