7月2日上午, 2019可信云大會(huì)在北京國(guó)際會(huì)議中心隆重開幕。2019可信云大會(huì)以“智能云網(wǎng)邊,可信創(chuàng)未來(lái)”為主題,由中國(guó)信息通信研究院主辦。在下午舉行的云安全及風(fēng)險(xiǎn)管理論壇上,中國(guó)信息通信研究院云大所云計(jì)算部工程師吳江偉出席并針對(duì)《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》和《云計(jì)算風(fēng)險(xiǎn)管理框架》進(jìn)行了云服務(wù)安全能力標(biāo)準(zhǔn)解讀。
中國(guó)信息通信研究院云大所云計(jì)算部工程師吳江偉
感謝大家堅(jiān)持到現(xiàn)在,我是信通院云大所的吳江偉,今天主要對(duì)云服務(wù)安全能力系列標(biāo)準(zhǔn)進(jìn)行解讀,《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》以及《云計(jì)算風(fēng)險(xiǎn)管理框架》,在原有的標(biāo)準(zhǔn)基礎(chǔ)上結(jié)合一些專家的經(jīng)驗(yàn),以及業(yè)內(nèi)的經(jīng)驗(yàn),我們對(duì)標(biāo)準(zhǔn)進(jìn)行了修訂和新增,可以使各項(xiàng)指標(biāo)更利于落地,更接地氣,更有利于標(biāo)準(zhǔn)的評(píng)估:
本次演講,我主要分三個(gè)方面進(jìn)行介紹:第一云計(jì)算安全現(xiàn)狀與發(fā)展;第二《云計(jì)算風(fēng)險(xiǎn)框架》新增指標(biāo)解讀。第三《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》新增指標(biāo)解讀。
今天上午云計(jì)算部的栗主任已經(jīng)對(duì)我國(guó)云服務(wù)市場(chǎng)現(xiàn)狀進(jìn)行了簡(jiǎn)要的介紹,我國(guó)公有云市場(chǎng)規(guī)模在2018年達(dá)到962.8億元,增速39.2%,其中公有云市場(chǎng)規(guī)模達(dá)到437億元,相比2017年增長(zhǎng)65.2%,預(yù)計(jì)2019年到2022年快速增長(zhǎng)階段,到2022年公有云市場(chǎng)預(yù)計(jì)達(dá)到1731億元。
這個(gè)是我國(guó)私有云市場(chǎng)規(guī)模現(xiàn)狀,2018年我國(guó)私有云市場(chǎng)規(guī)模達(dá)525億,較2017年增長(zhǎng)23.1%,預(yù)計(jì)未來(lái)幾年保持穩(wěn)定的增真,到2022年市場(chǎng)規(guī)模將達(dá)到1172億。
總體來(lái)說(shuō)我國(guó)目前云計(jì)算安全處于初步發(fā)展階段,未來(lái)的發(fā)展空間巨大。云計(jì)算安全系列標(biāo)準(zhǔn)需要制定與優(yōu)化。云計(jì)算安全服務(wù)可信也持續(xù)發(fā)展,包括資源服務(wù)可信、產(chǎn)品功能可信,以及安全服務(wù)能力可信。當(dāng)下云計(jì)算安全與新技術(shù)、新應(yīng)用密不可分,需要以機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析做為依托,云態(tài)勢(shì)感知也是基于大數(shù)據(jù)產(chǎn)生的云安全產(chǎn)品。
當(dāng)今社會(huì)云安全成為突出的問(wèn)題,比如2017年6月,亞馬遜AWS共和黨數(shù)據(jù)庫(kù)中的美國(guó)2億選民個(gè)人信息被曝光,云服務(wù)商內(nèi)部管理的問(wèn)題也日益明顯,包括不限于安全運(yùn)維策略缺陷,運(yùn)維人員可接觸用戶的數(shù)據(jù)。用戶數(shù)據(jù)不切合服務(wù)商的利益,忽略長(zhǎng)期存在的問(wèn)題,云服務(wù)提供商可能因?yàn)樽陨淼睦鎿p害數(shù)據(jù)的安全。云計(jì)算架構(gòu)下用戶數(shù)據(jù)的所有權(quán)和管理權(quán)是分離的,當(dāng)今安全監(jiān)管日趨嚴(yán)格,各國(guó)先后頒布了法律文件,2017年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》生效,安全管理理念也有待提高,需要實(shí)現(xiàn)基礎(chǔ)安全與云安全的有效統(tǒng)一,安全流程與業(yè)務(wù)的有效統(tǒng)一,以及監(jiān)管政策解讀與業(yè)務(wù)發(fā)展的有效統(tǒng)一。
經(jīng)過(guò)調(diào)研,我國(guó)云計(jì)算服務(wù)商安全能力水平參差不齊,大家有比較重業(yè)務(wù)、重產(chǎn)品、輕安全的思想,安全長(zhǎng)期是被動(dòng)的狀態(tài)。比如對(duì)一些對(duì)象存儲(chǔ)來(lái)說(shuō),很多服務(wù)商對(duì)對(duì)象存儲(chǔ)開發(fā)了分享、遠(yuǎn)程傳輸?shù)墓δ埽?wù)用戶的同時(shí)也可能會(huì)促使惡意非法信息加速傳播。因此提出工作中轉(zhuǎn)變安全思路,推動(dòng)安全工作同時(shí)規(guī)劃、同時(shí)建設(shè)、同時(shí)使用,變被動(dòng)為主動(dòng)。
第二,安全工作碎片化,未建立安全工作統(tǒng)籌部分,用戶使用一些加密算法對(duì)于存儲(chǔ)數(shù)據(jù)進(jìn)行加密,解密過(guò)程中目前比較普遍的一些方式將私鑰加密進(jìn)行提取,然后分發(fā)給用戶,用戶遠(yuǎn)程進(jìn)行解密。如果私鑰分發(fā)過(guò)程當(dāng)中私鑰被截取,用戶的數(shù)據(jù)可能都會(huì)被竊取。因此要建立專門的部門開展集中化、常態(tài)化、規(guī)范化的安全管理工作,提高企業(yè)安全運(yùn)營(yíng)的健康度。
另外,很多云服務(wù)廠商提供的都是比較基礎(chǔ)化的安全服務(wù),包括一些云抗擊、云WAF、云殺毒的企業(yè),一些標(biāo)桿企業(yè)基于自身的能力和防護(hù)能力,對(duì)外提供更多的特色化的服務(wù),包括常見(jiàn)的信貸反欺詐、交易反欺詐以及內(nèi)容安全等功能。
云安全與傳統(tǒng)安全有相同點(diǎn)也有不同點(diǎn),主要不同點(diǎn)由于云計(jì)算架構(gòu)的產(chǎn)生。
相同點(diǎn),首先目標(biāo)都是相同的,他們都是要保護(hù)信息、數(shù)據(jù)的安全和完整。
第二保護(hù)對(duì)象相同、保護(hù)計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源的安全性。
第三采用的技術(shù)比較相似,比如傳統(tǒng)的加解密技術(shù),安全監(jiān)測(cè)技術(shù)等。
不同點(diǎn):由于云計(jì)算的基本架構(gòu),他的虛擬化系統(tǒng)自身存在一定的安全危險(xiǎn),攻擊者通過(guò)一些漏洞竊取虛擬機(jī)的資源。云計(jì)算架構(gòu)數(shù)據(jù)比較集中,事故一旦發(fā)生影響范圍比較大,后果比較嚴(yán)重。
傳統(tǒng)基于物理安全邊界的防護(hù)在云計(jì)算的架構(gòu)中難以產(chǎn)生有效的使用,基于云的業(yè)務(wù)模式,數(shù)據(jù)安全保護(hù)應(yīng)該有更高的要求。云計(jì)算的系統(tǒng)一般是相對(duì)比較龐大的,一般發(fā)生問(wèn)題及時(shí)定位故障比較困難,對(duì)于接口的開放性也有一些要求。
并且云計(jì)算的數(shù)據(jù)管理權(quán)和所有權(quán)是分離的,虛擬主機(jī),需要用戶和服務(wù)商之間在安全方面達(dá)成一致。
