7月2日上午, 2019可信云大會在北京國際會議中心隆重開幕。2019可信云大會以“智能云網邊,可信創未來”為主題,由中國信息通信研究院主辦。在下午舉行的云安全及風險管理論壇上,中國信息通信研究院云大所云計算部工程師吳江偉出席并針對《云服務用戶數據保護能力參考框架》和《云計算風險管理框架》進行了云服務安全能力標準解讀。
中國信息通信研究院云大所云計算部工程師吳江偉
感謝大家堅持到現在,我是信通院云大所的吳江偉,今天主要對云服務安全能力系列標準進行解讀,《云服務用戶數據保護能力參考框架》以及《云計算風險管理框架》,在原有的標準基礎上結合一些專家的經驗,以及業內的經驗,我們對標準進行了修訂和新增,可以使各項指標更利于落地,更接地氣,更有利于標準的評估:
本次演講,我主要分三個方面進行介紹:第一云計算安全現狀與發展;第二《云計算風險框架》新增指標解讀。第三《云服務用戶數據保護能力參考框架》新增指標解讀。
今天上午云計算部的栗主任已經對我國云服務市場現狀進行了簡要的介紹,我國公有云市場規模在2018年達到962.8億元,增速39.2%,其中公有云市場規模達到437億元,相比2017年增長65.2%,預計2019年到2022年快速增長階段,到2022年公有云市場預計達到1731億元。
這個是我國私有云市場規模現狀,2018年我國私有云市場規模達525億,較2017年增長23.1%,預計未來幾年保持穩定的增真,到2022年市場規模將達到1172億。
總體來說我國目前云計算安全處于初步發展階段,未來的發展空間巨大。云計算安全系列標準需要制定與優化。云計算安全服務可信也持續發展,包括資源服務可信、產品功能可信,以及安全服務能力可信。當下云計算安全與新技術、新應用密不可分,需要以機器學習、大數據分析做為依托,云態勢感知也是基于大數據產生的云安全產品。
當今社會云安全成為突出的問題,比如2017年6月,亞馬遜AWS共和黨數據庫中的美國2億選民個人信息被曝光,云服務商內部管理的問題也日益明顯,包括不限于安全運維策略缺陷,運維人員可接觸用戶的數據。用戶數據不切合服務商的利益,忽略長期存在的問題,云服務提供商可能因為自身的利益損害數據的安全。云計算架構下用戶數據的所有權和管理權是分離的,當今安全監管日趨嚴格,各國先后頒布了法律文件,2017年《中華人民共和國網絡安全法》生效,安全管理理念也有待提高,需要實現基礎安全與云安全的有效統一,安全流程與業務的有效統一,以及監管政策解讀與業務發展的有效統一。
經過調研,我國云計算服務商安全能力水平參差不齊,大家有比較重業務、重產品、輕安全的思想,安全長期是被動的狀態。比如對一些對象存儲來說,很多服務商對對象存儲開發了分享、遠程傳輸的功能,服務用戶的同時也可能會促使惡意非法信息加速傳播。因此提出工作中轉變安全思路,推動安全工作同時規劃、同時建設、同時使用,變被動為主動。
第二,安全工作碎片化,未建立安全工作統籌部分,用戶使用一些加密算法對于存儲數據進行加密,解密過程中目前比較普遍的一些方式將私鑰加密進行提取,然后分發給用戶,用戶遠程進行解密。如果私鑰分發過程當中私鑰被截取,用戶的數據可能都會被竊取。因此要建立專門的部門開展集中化、常態化、規范化的安全管理工作,提高企業安全運營的健康度。
另外,很多云服務廠商提供的都是比較基礎化的安全服務,包括一些云抗擊、云WAF、云殺毒的企業,一些標桿企業基于自身的能力和防護能力,對外提供更多的特色化的服務,包括常見的信貸反欺詐、交易反欺詐以及內容安全等功能。
云安全與傳統安全有相同點也有不同點,主要不同點由于云計算架構的產生。
相同點,首先目標都是相同的,他們都是要保護信息、數據的安全和完整。
第二保護對象相同、保護計算、網絡、存儲資源的安全性。
第三采用的技術比較相似,比如傳統的加解密技術,安全監測技術等。
不同點:由于云計算的基本架構,他的虛擬化系統自身存在一定的安全危險,攻擊者通過一些漏洞竊取虛擬機的資源。云計算架構數據比較集中,事故一旦發生影響范圍比較大,后果比較嚴重。
傳統基于物理安全邊界的防護在云計算的架構中難以產生有效的使用,基于云的業務模式,數據安全保護應該有更高的要求。云計算的系統一般是相對比較龐大的,一般發生問題及時定位故障比較困難,對于接口的開放性也有一些要求。
