2010-11-17可信计算和新兴计算(可信计算高峰会).pptVIP

当前主流云计算的一些风格特征 多租户基础架构 Multi-Tenant Infrastructure 水滴集群化 Mass-Droplet 三个( *aaS ) 模型 云的三个服务模型 云软件作为服务 (SaaS). 提供给用户的能力是使用服务商运行在云基础设施之上的应用。用户使用各种客户端设备通过“瘦”客户界面（例如浏览器）等来访问应用（例如基于浏览器的邮件）。用户并不管理或控制底层的云基础设施，例如网络、服务器、操作系统、存储、甚至其中单个的应用能力，除非是某些有限用户的特殊应用配置项。 云平台作为服务 (PaaS). 提供给用户的能力是在云基础设施之上部署用户创建或采购的应用，这些应用使用服务商支持的编程语言或工具开发，用户并不管理或控制底层的云基础设施，包括网络、服务器、操作系统、或存储等，但是可以控制部署的应用，以及应用主机的某个环境配置。 云基础设施作为服务 (IaaS). 提供给用户的能力是云供应了处理、存储、网络，以及其它基础性的计算资源，以供用户部署或运行自己任意的软件，包括操作系统或应用。用户并不管理或控制底层的云基础设施，但是拥有对操作系统、存储和部署的应用的控制，以及一些网络组件的有限控制（例如主机防火墙等）。 层次 + 生命周期 IT概念立方体 构思 开发 部署 运行 维修 消退 空间分布 虚实层次 生命周期 调和、适应 可信计算 中心化的架构体系 结构性比较强 耦合度偏紧 力图控制得更多 … 新兴计算，云 多租户基础设施 水滴群集化 不良定义 … * * * * 可信计算和新兴计算 Trusted Computing and Future Computing Jordan Pan 潘柱廷 启明星辰 首席战略官 中国计算机学会 理事 云安全联盟中国区 理事 /jordan2k /jordan2k /in/jordanpan 可信计算与新兴计算 可信计算 Infrastructure Mobile PC Client Server Software Stack Storage Trusted Multi-tenant Infrastructure Trusted Network Connect Trusted Platform Module 新兴计算 云计算 物联网 移动计算 三网融合 虚拟化 … 可信计算的风格特征 基于TPM的完整性检查 可信计算的风格特征 可信计算的风格特征 中心化的架构体系 结构性比较强 耦合度偏紧 力图控制得更多 到底什么东西变化了？ 在新兴计算的发展中， 我们习惯的内外有别 敏感区 核心区 非敏感内部区 互联网 纵深防御 敏感区 核心区 非敏感内部区 互联网 生产终端 外联业务服务 生产网络 内联业务服务 数据中心 生产终端 办公终端 办公网络 外联网络 运维终端 DMZ 存储/备份 系统漏洞 防WEB业务入侵 系统漏洞 防系统入侵 DB违规操作 远程接入访问 防病毒 接入控制 文档防护 终端审计 终端维护 终端漏洞 接入控制 防违规操作 终端维护 运维过程审计 命令级控制 业务违规操作 业务违规操作 DB防入侵 非法外联 入侵检测 防网络入侵 可信访问控制 网络访问控制 防资源滥用 防资源滥用 互联网行为监管 防网络病毒 防系统入侵 远程终端 管理/监控平台 信息采集 资产管理 灾难备份 数据恢复 防WEB业务入侵 身份鉴别 防网络入侵 业务访问控制 二次身份鉴别 二次身份鉴别 二次身份鉴别 WEB业务漏洞 账户管理 DB漏洞 IT管理网络 Internet 外部业务服务(托管) 远程接入 日志管理 威胁管理 漏洞管理 网元管理 审计管理 远程操作 强认证 SSO 系统漏洞 防系统入侵 业务违规操作 防WEB业务入侵 WEB业务漏洞 可信访问控制 数据防盗 纵深的安全产品和服务覆盖 多层次的安全掌控 各种合规性要求 国际/国家标准 等级保护 CC / ISO15408 ISO 27001 ISO 20000系列 SOX … 机构内部制度 网络安全体系指南 防病毒指南 系统加固手册 防火墙配置手册 入侵事件处理流程 … IATF信息技术保障框架和安全域 3+1 服务域示意图 网络可以按照业务的服务特征分解成4个域 终端域 Client Zone 互联基础设施域 Inter-networking Zone 支撑性基础设施域 Supporting Zone 计算服务域 Service Zone 新变化 终端域 Client Zone 互联基础设施域 Inter-networking Zone 支撑性基础设施域 Supporting Zone 计算服务域 Service Zone 从区域变为空间 From zone to space 互联网: