我今天主要講的是云計算和大數(shù)據(jù)時代的信息安全。實際上云計算和大數(shù)據(jù)方面的信息安全比較廣泛，因為信息安全牽扯到很多方面，包括系統(tǒng)漏洞，計算機的安全、以及數(shù)據(jù)安全等等。在這里我主要講信息安全當中和密碼技術(shù)相關的數(shù)字安全問題。

我主要講的是以下幾個方面：第一，云計算和大數(shù)據(jù)的安全需求。第二，高性能、高可靠性的密碼解決方案。第三，關于非結(jié)構(gòu)化的搜索加密的問題。第四，云計算當中虛擬化環(huán)境受到的攻擊。

大數(shù)據(jù)信息安全需求

首先，看一下云計算和大數(shù)據(jù)在信息安全方面的需求?，F(xiàn)在，云計算和大數(shù)據(jù)主要特點，一方面是，超大規(guī)模。包括計算能力、存儲、用戶等等。另一方面是，資源共享。包括計算資源，存儲資源，網(wǎng)絡資源。

在資源共享的同時，用戶之間的隱私如何保護、多個虛擬機之間如何兼容，以及它們彼此之間數(shù)據(jù)的隔離性和安全性等問題，都是我們要思考的。云計算和大數(shù)據(jù)帶來了一種海量數(shù)據(jù)的處理，特別是半結(jié)構(gòu)化或者非結(jié)構(gòu)化數(shù)據(jù)的處理。這是云計算和大數(shù)據(jù)帶來的信息安全的需求。

密碼解決方案

在信息安全領域密碼技術(shù)是解決信息安全的技術(shù)之一，而且應該說是作為數(shù)據(jù)保密的一個最核心的技術(shù)。密碼技術(shù)可以實現(xiàn)一個數(shù)據(jù)的保密加密，也可以實現(xiàn)身份的辨別。密碼技術(shù)在信息領域提供了一些安全服務。現(xiàn)在，在云計算和大數(shù)據(jù)方面，包括安全多方計算，不經(jīng)意傳輸，全同態(tài)緊密，代理重加密等，都成了密碼專家研究的方向。數(shù)據(jù)庫加密的問題，真正在實際當中使用，還是一些密碼的使用技術(shù)，包括如何高性能實現(xiàn)密碼運算。原來大家以為密碼是數(shù)學家的問題，密碼算法的安全性是一個數(shù)學證明，但最近十幾年以來，工具越來越多，實際上我們?yōu)榱斯テ埔粋€密碼算法，或者把數(shù)據(jù)解密，不一定要攻擊密碼算法，也可采用一些旁敲側(cè)擊的算法來進行。

在密碼算法的基礎上，我們要知道云計算和大數(shù)據(jù)與以前的信息系統(tǒng)相比，就是計算能力的提升，在這種情況下，在云計算的平臺上部署一個密碼算法或密碼系統(tǒng)，就需要非常高的處理能力。比如說，關于大數(shù)據(jù)的加密，我們可以實現(xiàn)10Gbps的數(shù)據(jù)加減速度。SM2可以達到幾萬次每秒，這種高性能的運算能力，可以實現(xiàn)云計算和大數(shù)據(jù)后端的海量數(shù)據(jù)的加密，以及多用戶的并行密碼運算處理能力。

我們認為數(shù)據(jù)的安全，首先是存儲的安全，另外還有一個數(shù)據(jù)安全傳輸?shù)母拍?。我們可以實現(xiàn)大數(shù)據(jù)，海量數(shù)據(jù)TB級的大數(shù)據(jù)文件的傳輸。

從2004年開始，我們在開發(fā)云安全密碼平臺，我們開發(fā)這個平臺實際的需求，是來自于金融、銀行領域后端的一個密碼算法的梳理能力的需求。現(xiàn)在這樣一個平臺，我們已經(jīng)在中國建設銀行、中國郵政儲蓄銀行，進行了全面的推廣。大家現(xiàn)在有建設銀行的卡和賬戶，實際上后端的處理、后端對銀行卡身份信息的驗證、以及后端取款、交易，都是調(diào)用我們的密碼設定來實現(xiàn)數(shù)據(jù)安全的。我們這個平臺主要就是把大數(shù)據(jù)量的密碼設備融合在一個平臺當中，實現(xiàn)一個高速的密碼識別能力，以及密鑰的統(tǒng)一管理。在這里它可以有密碼卡、密碼機，還可以部署一個CBN的系統(tǒng)，單點登錄等等。它的客戶端可以實現(xiàn)桌面的安全、桌面的加密、文件的安全傳輸，包括智能鑰匙等等，這個平臺上不但在銀行里可以使用，它還可以在保險、大型企業(yè)、醫(yī)療等行業(yè)和領域中使用，這個是我們比較成熟，也是推廣度較大的云安全密碼服務。

非結(jié)構(gòu)化的搜索加密

我們公司在比較前沿的云計算和大數(shù)據(jù)方面做了一些研究工作。這些技術(shù)和工作，有的我們已經(jīng)形成了產(chǎn)品，有的還是作為一個技術(shù)來引領。

第一部分，關于在云存儲中的非結(jié)構(gòu)化數(shù)據(jù)的加密。這些年以來，隨著社交網(wǎng)絡，各個行業(yè)信息化的發(fā)展，很多數(shù)據(jù)由原來單純的數(shù)據(jù)表格的形式，變成了非結(jié)構(gòu)化的數(shù)據(jù)和非結(jié)構(gòu)化大文件的數(shù)據(jù)，這個時候，加密就成了一個問題。

另外，隨著云計算的發(fā)展，我們現(xiàn)在很多用戶，不管是個人用戶還是企業(yè)用戶，都在建立云的存儲平臺，包括各種網(wǎng)盤，如360網(wǎng)盤或者百度網(wǎng)盤，大家都把自己的照片，把自己的文件存在網(wǎng)盤當中。在這種情況下，怎么保證遠端云存儲的安全，這是我們公司一直研究的問題。一種情況是，你放上去以后安全性是不可控的，完全是云服務廠商給你提供。他可以加密，也可以不加密，這個你是控制不了的。

你把一個加密文件存在遠端之后，你怎么獲?。磕阍谠贫舜鎯?shù)據(jù)的時候，你可能存儲了海量的數(shù)據(jù)，有一天我想獲得其中一部分數(shù)據(jù)，這是一個解鎖的問題。一個辦法是，從云端把所有的數(shù)據(jù)全部下載下來，然后把數(shù)據(jù)全部解密，解密之后我得到想要的那部分，但是這種效率非常低。另一個辦法是，需要把所有的文件都要下載下來，還要完成一個加密，這個對存儲，對計算能力都具有非常大的挑戰(zhàn)，效率非常低。

現(xiàn)在，云存儲方面可搜索的加密，是我們在做的一些密碼的體制。我把很多的文件存在遠端的云端，當我想得到某一個文件的時候，我可以進行搜索。

自主研發(fā)的重要性

現(xiàn)在，云計算非常大的一個特點就是虛擬化。一臺服務器上可以有多個虛擬機，多個用戶共享一臺服務器中相同的CPU資源，相同的硬件設備。在這種情況下，雖然是云的操作系統(tǒng)，也給每個用戶界定了不同的時間，或者一個氛圍，但實際上它仍然存在一些攻擊的問題。

從1949年密碼學成為一個學科以來，對密碼算法的攻擊始終有一批數(shù)學家在做相關研究。不過，從1997年以后，有一些密碼學家開始提出一些涉及到攻擊的問題，密碼算法不再是單純的數(shù)學問題，而是一個信息系統(tǒng)的問題。信息系統(tǒng)比如說要想攻擊一個密碼算法，要想獲取用戶密鑰，我不需要從數(shù)學方法分析，可以通過信息系統(tǒng)進行分析。在運算的過程中，可以通過電磁輻射，通過用戶CPU消耗的電量，通過聲音，甚至通過加密的解密時間，包括一些熱量等等，都可以獲取。

比如說，有個用戶建立一個虛擬機，攻擊者也是一個虛擬機，攻擊者和虛擬機通過編寫一些程序，可以獲取在相同的服務器上運行的其他虛擬機的密鑰。所以現(xiàn)在云計算環(huán)境當中，受攻擊的可能性是非常大的?，F(xiàn)在，國內(nèi)的云計算產(chǎn)品，大部分還是采用了國際上的開源代碼。在這種情況下，它受攻擊的可能性非常大。只有能夠自主開發(fā)云計算虛擬化的產(chǎn)品，才能保證能夠抵抗攻擊。

國內(nèi)也好，國際也好，采用了很多SL協(xié)議的代碼，這是開源代碼，一旦暴露出問題，大家誰都不能幸免。所以只有具備自主開發(fā)能力，才能保證信息安全。

（根據(jù)孔凡玉在第七屆中國信息主管年會上的演講內(nèi)容整理而成）