如何构建最安全可信的云计算基础平台

　　在下午的分论坛1上，红旗软件技术有限公司服务器研发部吴永成发表了主题演讲，他重点分享了构建安全可信的云计算基础平台的方法和经验。

　　通用的Linux安全平台存在着许多安全缺陷，有已知的也有未知的，已知的安全缺陷如普通用户权限不明晰、特权用户权限特大，可以查看和篡改影子文件等、许可检查后仍然保持原有的授权信息，未知的安全缺陷如软件本身的未知漏洞、配置错误和疏忽等等。

　　SELinux正是为了解决安全这些问题而诞生的。SELinux全称是Security Enhanced Linux，由美国国家安全部(National Security Agency)领导开发的GPL项目，它拥有一个灵活而强制性的访问控制结构，旨在提高Linux系统的安全性，提供强健的安全保证，可防御未知攻击，据称相当于B1级的军事安全性能。比MS NT所谓的C2等高得多。

▲图1 SELunix安全架构

　　那么，如何才能构建最安全可信的云计算基础平台呢?针对面临的安全威胁，吴永成提出了构建安全平台的安全策略，主要从三个方面入手构建安全可信的平台：类型加强(TE)策略、多级安全(MLS/MCS)策略、基于角色的访问(RBAC)控制。

　　类型加强策略，将访问控制到某一个程序粒度。多级安全(MLS/MCS)策略指的是，为信息定义不同的安全级别，不同的用户只能够访问相应安全级别的信息。

▲图2 程序粒度的访问控制

▲图3 使用多级安全(MLS/MCS)策略的数据流控制

▲图 4 基于角色的访问控制

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]