丁陈认为,云计算将彻底改变软件使用格局,用户的云计算环境将越来越开放、使用的数据越来越多、需要的云应用越来越多。云安全变得比传统软件重要得多。传统的以防火墙为主的“看门”安全管理将无法管理云计算的安全。云安全是云计算的命根子。尽管很少人能够讲清楚云计算给我们带来的到底是什么样的“安全挑战”,但一个不争的事实、一个云计算必须面对的巨大挑战:“任何传统安全手段将无法保障云计算的安全”。云计算安全必须建筑在一个全新的安全管理模式上。
丁陈分析指出,云计算的安全管理体系结构主要体现在以下几点。
云安全必须从简化运营环境入手
传统软件系统安全管理非常难,最主要的原因是运营环境太复杂、安全管理系统对软件系统没有任何控制权。运营环境无限制地复杂、任何软件应用可能无限制地做任何事情,保障这样运营环境的安全就如同在熙熙攘攘的人海中抓小偷,即使可能,成本也会太高。
“真空云系统”
在一个云计算环境里,不再有传统方式的数据操作。云计算运营环境将被包装成一个独立于物理的计算机系统、任何常规手段都无法访问的“真空环境”。这是云计算安全体系的第一道防线。
“净化云内容”
云计算运营环境里将没有“网络、文件、设备、USB、计算机、互联网”等等,在这个极为“净化”的云环境里,只有“用户、云应用、数据”,而且“用户”是数据、“云应用”还是数据。这是云计算安全体系的第二道防线。
“简化云操作”
在云环境里只有一种操作,就是对数据的操作、对数据的增、删、改、查。唯一能执行这些操作的是系统中通过云计算安全检查并在云计算系统里注册的云应用。云计算安全管理的不是一个传统安全管理体系里的“没有围墙、只有大门”的“防火墙安全体系”,而是只有一个门的“没有窗户、没有下水道、没有通风口的密室”。这是云计算安全体系的第三道防线。
“固化云应用”
一旦一个“云应用”通过云计算的“安防检查”,云计算将为这个“云应用”打上一个“安全封印”。这个“云应用”不得做任何修改、不得“冒名顶替”。如果用户需要修改这个云应用,必须“先出关、再修改、重入关”。这是云计算安全体系的第四道防线。
“安全云扫描”
传统软件产品都由程序组成,而任何现有安全产品理论上无法区别什么是程序、什么是病毒。这意味着传统软件无法从技术上解决云计算安全问题。
彻底解决云计算安全必须从软件自身着手,让软件不再是程序。在“有机软件”体系架构下,软件不再是程序。这让实现“软件X光技术”成为可能。“软件X光技术”就如同飞机场安检设备一样,可以不查看源代码清晰地列出一个软件产品的“所作所为”,帮助用户确定该产品是否安全。用户可以授权/拒绝这些“所作所为”而不需修改源代码、甚至不影响产品的正常运行。这种“软件X光技术”、“软件消毒技术”是云计算云安全的基本要求。
对任意软件产品的所作所为的“知情权”、“可控权”、“软件X光技术”、“软件消毒技术”是保障云计算安全的根本、云计算安全的新地标,是云计算安全体系的第五道防线。