2011 RSA大会前瞻 张焕国解读可信计算与云安全

RSA信息安全大会将于11月2-3日在北京召开，这是继去年之后，RSA大会第二次在中国举办。在今年的RSA大会开幕前夕，作为演讲嘉宾之一的武汉大学计算机学院教授、博士生导师张焕国今日接受了CNET的采访，就RSA大会演讲主题、可信计算及其与云计算之间的关系、以及相关信息安全话题进行了探讨。

2010年10月，RSA大会第一次走进中国，张焕国应邀参加并在会上做了主题演讲。他感觉，第一届RSA中国大会办得很成功，从组织上和效果上来说都非常好，听众踊跃程度很高。无论主题报告还是分论坛，去年大会的议题非常多，都是听众所关心的，议题内容覆盖面也比较宽，企业、学校、研究机构各方都能在大会上找到自己所需要的信息，相信今年的RSA大会能够更成功。

图：张焕国教授在2010年RSA大会上演讲

张焕国表示，RSA大会在中国举行是个好事情，给了我们与国外同行沟通交流的机会，在技术领域，可以相互促进发展，对有业界、学术界、研究机构等任何一方都是有好处的。

中国可信计算发展

他透露，自己今年在RSA大会的报告主题将围绕可信计算与云计算安全，中国可信计算的发展与可信计算联盟的关系等展开。

张焕国介绍，中国的可信计算是与国外是同步发展的，在2004年之前，我们是自己独立发展的，2004年之后，与国外的可信计算联盟（TCG，Trusted Computing Group）共同学习和发展。中国可信计算的水平处在世界的前列，我们制定了自己的可信计算技术规范和标准，而且可信计算的产品已经得到实际应用。

回顾中国可信计算的发展，可以追溯到1999年底，一家企业与张焕国教授接触，提出可信计算方面的需求；2000年正式开始做可信计算的研究；2003年7月15日，可信计算的核心芯片和计算机研发出炉，通过国家密码局的安全审核；2006年，中国可信计算开始制定相关规范和标准。

张焕国指出，全球只有两家制定了可信计算规范和标准，一个是TCG，一个就是中国，我们与TCG的技术规范相比，有相同点也有不一致的地方，不同的地方，一方面是中国在可信计算上的创新，另一方面也有我们的差距所在，因此，中国可信计算与TCG相互沟通和学习，共同成长发展。

云计算与可信计算

谈及可信计算与云计算之间的关系，张焕国解释，云计算不能离开可信计算，可信计算支持着云计算的发展。可信计算是提高计算机系统安全性的技术，能够增强计算机的安全。在典型的云计算运营模式下，更需要计算机的安全可靠与可信，可信计算可以作为云计算的基础技术。

作为RSA大会技术委员会的成员，张焕国还负责本次大会可信计算与云计算方面演讲投稿的审核工作。他介绍，今年演讲稿件的质量很好，云计算安全的议题比较集中，相对可信计算会多一些，可信计算的概念提出已有10年的历史，相比之下，云计算的概念更新一些。安全可靠可信已成云计算发展过程中的一个非常重要的因素，RSA大会专门有这样一个议题，给云计算安全方面的研究提供了一个帮助。

对于云计算的安全，张焕国认为，云计算的模式是用户数据的集中管理，无论公有云还是私有云，无论系统的大小的本质都是一样的，都要在几个方面做好云计算的安全部署：在物理方面，像数据中心、机房的供电、防火、防震等是否稳定可靠；在硬件方面，服务器、网络设备、计算机的稳定运行；在软件方面，要做到安全、可信、可靠；在管理上也不可忽视，三分技术七分管理，基础设施背后要有好的管理，出了问题后的事后处理也很重要。要做到云计算真正的安全，这几方面是综合在一起的，缺一不可。

此外，张焕国的研究领域还包括可信计算机测试和评估软件系统，他指出，在物理电子上的软件可靠性测试基本上都已实现，但云计算目前还处于有无的发展阶段，随后才是考虑质量保证测试的问题，因此，在质量保证措施上，在云计算、可信计算测评技术的发展上要稍慢一些。

从实验室走向应用

对于高校这样的学术界而言，面临的一个很重要的问题就是，如何使研究成果真正快速的走向应用。张焕国也强调，科学技术的发展最终都要走向应用，技术研发、理论研究要与实际应用相结合，学校与企业，彼此有着各自擅长的领域，互相影响、优势互补，相互合作对双方都有益。

以武汉大学为例，1992年就开始与企业展开合作，很多研发产品都实现了规模化应用。在云计算和可信计算方面，2007年，武汉大学计算机学院与EMC北京研究院合作可信计算产品，用可信计算来增强云计算基础设施的安全，合作产品已经在市场上推广应用。

张焕国说，武汉大学在国内信息安全学科起步最早，2001年在中国开设了第一个信息安全专业，设有空间信息安全与可信计算实验室，与几十企业开展合作，还负责863项目的很多课题。武汉大学的学生在实习阶段都会参与老师的科研团队，有着实践经验，招聘时受到很多大企业的青睐。

信息安全是双刃剑

面对层出不穷的信息安全问题，张焕国表示，能源、材料和信息是现代社会发展的三大支柱，我们都生活在信息中，哪里有信息哪里就会有安全问题，信息安全是信息的影子，是长期的永恒的话题。随着社会信息化脚步的加快，信息安全问题已成为老百姓人人都关心的问题。信息有时超过物质利益，为了获得某种利益，黑客逐渐走向规模化、组织化，形成地下产业链，叫卖木马病毒。信息安全甚至上升到国家层面，美国就把网络空间作为国家安全五位一体其中很重要的一个方面。

他坦言，社会发展有矛就有盾，有盾就有矛，都是双向的，技术上也是，任何一个技术都是双刃剑，技术在不断发展，你知道了攻击的技术，就会明白防御的技术，了解了防御的技术，就会懂得躲避防御的技术，攻击与防御是相互竞争促进发展的。

张焕国建议，信息安全的实现不要只在技术上下功夫，还要在人的品德教育上、法制教育上、管理层面等其它方面入手，与技术结合起来，保障信息安全。

(责任编辑：刘芬)