【IT168 专稿】云计算发展到今天，可以说是一路高歌，也可以说是一路坎坷，其实任何一种新的技术从出现到落地都会有一个过程，也会遇到许许多多的问题。云计算也不例外，从Gartner提出这个定义开始，云计算就开始不断的在探索中前进。当然，其中遇到的问题也不少，云的安全问题就是一直困扰着云计算大踏步向前的一股强大阻力。时至今日，所有的云计算提供商、IT厂商以及专业的安全厂商他们都在为解决云的安全问题进行着不懈的努力。

　　云计算是一个庞大的项目，云的安全也面临着很多方面的问题，如：云的端点安全、云自身的安全、云的传输过程安全、用户的身份准入安全以及所有涉及云的软硬件的等等安全问题。3月底，椒图科技发布了JHSE安全云解决方案，它基于椒图主机安全环境系统，帮助用户解决云计算信息系统中基础架构平台的安全问题。

　　JHSE安全云解决方案通过增强型RBAC、BLP、DTE三种安全模型的联动运作，对操作系统的安全子系统(SSOOS)进行重构和扩充，同时还采用了N+2层拓扑结构，可对物理上分散的各级系统进行集中管控，为云计算环境提供体系化的安全防护。此外，还具有网络拓扑自动生成、异构网络集中管理等功能，可以提升云计算系统的运维效率。

▲JHSE安全云解决方案部署

　　传统操作系统的安全隐患

　　目前黑客攻击层出不穷，甚至有愈演愈烈之势，针对网络、操作系统、应用等各个层面的攻击行为，最终目的是为了获取主机中的资源和权限。对用户来说核心是保护操作系统中的数据信息，而保护操作系统安全则成了这一切的基础。

　　传统的操作系统一般都有一个管理员账户，这样的模式有一个缺点，权力过度集中，只要拥有了管理员权限就可以对服务器所有的资源进行任意的操作。还有一点就是目前应用层的软件增多，很有可能一个应用软件的漏洞，就可能导致其它应用受到影响，甚至严重影响到操作系统的安全。

　　JHSE安全操作系统

　　操作系统的安全主要包括以下几个方面：保密性、完整性、可用性、可靠性，JHSE可对服务器操作系统的安全子系统(SSOOS)进行重构和扩充，重构后的安全子系统可利用增强型DTE生成安全域，每个安全域中均具备增强型RBAC模型，以实现资源的动态隔离和强制访问控制。

　　1、增强型DTE模型

　　DTE模型是有效实施细粒度强制访问控制的安全策略机制，其中安全域隔离技术作为构建可信系统的基本要求之一，是操作系统核心强制执行的一种访问控制机制。其特点是通过严格的隔离，阻止安全域内、外部主体对客体的越权访问，实现保密性、完整性、最小特权等安全保护。

　　2、增强型RBAC模型

　　在基于角色的访问控制（RBAC）中，权限与角色相关联，用户通过成为适当角色成员而得到这些角色的权限。这样就可以极大的简化对权限的管理。

▲RBAC安全模型示意图

　　3、增强型BLP模型

　　BLP模型的基本安全策略是“上读下写”，高安全级别主体只可以读安全级别比它低的客体，低安全级别主体只可以写安全级别比它高的客体，同级别主客体间可读写，“上读下写”的安全策略保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动，从而保证了敏感数据不泄露。

▲BLP安全模型示意图

　　为了对系统资源进行安全、合理的的控制，JHSE还采用了三权分立的办法：系统管理员、安全管理员和审计管理员。而不同的管理员之间又相互独立、相互制约。

　　写在最后：云计算能否大规模的落地，安全问题是其中的关键部分。而云计算的安全问题又不像传统单机的安全，一个杀毒软件就可以搞定，云计算安全需要一整套的安全解决方案，对云计算落地过程中的每一个环节、每一个步骤的进行安全防护。可喜的是我们看到了更多的厂商推出了针对云计算的安全产品和技术，而我们接下来要做的就是将这些整合成合理的、成熟的解决方案，就像几年前的安全老三样：防火墙、入侵检测以及防病毒就可以保障网络安全一样，云计算安全也需要这样的一个方案！