云安全等级保护关键问题分析
发布时间:2021-12-23 13:30:21 所属栏目:云计算 来源:互联网
导读:2017 CCS企业云计算高峰论坛(ccs.d1net.com)于4月26日在北京新世纪日航饭店盛大举行,这是国内面向政企客户的最重要的一个云计算会展。CCS企业云计算高峰论坛的主题为云计算的生态链。 以下是现场速递。 云安全等级保护关键问题探讨 国家信息中心安全专家 赵
|
2017 CCS企业云计算高峰论坛(ccs.d1net.com)于4月26日在北京新世纪日航饭店盛大举行,这是国内面向政企客户的最重要的一个云计算会展。CCS企业云计算高峰论坛的主题为云计算的生态链。 以下是现场速递。 云安全等级保护关键问题探讨 国家信息中心安全专家 赵睿斌 主持人:感谢李总。在云计算的部署中,安全一直是一个大家最为关注的核心问题,可以说,安全决定了云计算的前景。今天我们很高兴请到了一位实战行家,国家信息中心安全专家赵睿斌,赵总将为我们带来:云安全等级保护关键问题探讨。掌声欢迎! 赵睿斌:大家好,我是赵睿斌,是国家信息中心的,我看了昨天和今天的日程安排,大家都是讲应用,以及云计算的一些相关的问题探讨。我今天给大家共同来探讨一下云计算在发展过程中我们所遇到的一些安全的问题。 我的汇报提纲分三个点。第一,近期信息安全的热点事件分析。第二,云等级保护冷却提升云安全能力。第三,“互联网+”时代企业的安全该如何去选择?因为我们在座都是CIO,我们对安全还是要接触到一些的。 互联网发展到现在可能会面临很多的安全,包括黑客攻击、信息窃取、信息篡改,有大量的木马、病毒、钓鱼链接,以及我们最常见的账号被盗、撞库,尤其现在手机办公,手机智能终端被丢失的情况,导致信息泄露。 这种情况下,信息安全我们作为企业CIO该怎么办?我把上半年从1月份到4月份目前国际上发生的一些重大的信息安全事件跟大家一起分享一下。 这是4月份的时候优酷发现一个11个被盗的中国账户中出现了一个优酷的相关账号,它数据库包含了十几万的优酷的账户被盗。优酷账户被盗,因为优酷会涉及到一些付费用户,VIP用户,付费用户,VIP用户一定跟手机、信用卡、银行帐号绑定就实名制了,这个账号一被盗,就会导致大量的信用卡个人信息的泄露,黑客利用相关的撞库就会跑到别的账户上用这个账户名撞库,导致了信息泄露。 账户被盗举一个很简单的例子,2015年12306大致大量的账号被盗,13万账号被盗,现在很多人也没有更改密码,因为我们大脑中不可能同时会记住十几个密码来回更换,那会把人整疯的,一般人都会使用2-3个密码,支付宝、微信、信用卡的密码,还有京东的一些支付密码,一般都是2-3个,基本上是比较固化的,这样黑客用账户攻击很容易能够进入个人账号。 这个是NSA的武器泄露引发网络世界的“核弹危机”,美国安全局有一个方程式黑客组织,使用部分的网络武器被公开,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。360安全卫士官方微博发布红色警报,如果我们单位有一些XP系统一定要进行相关的补丁的升级,包括我们国家信息中心也对XP进行及时的补丁更新,要发布一些,大家把这个东西要注意一些。 这个是物联网/Linux恶意软件攻击数字视频录像机并组建僵尸网络。有一个黑客发现中国大陆地区有70万个智能网,包括一些相关的家居智能,但是很多人买了这个摄像头安装家里,一般都不会更改密码,还是初始密码,123456,或者8个1,或者12345678。前两天网易新闻上转的,黑客到了这个网站上,通过某个网站然后输入了相关摄像头的型号+密码就能看到某个女主人在家正在做饭,如果我们家里要安装摄像头,一定记得要更改初始密码,包括海康威视,包括很多的摄像头的密码,智能家居会越来越多,初始密码一定要改,改成字母大小写加数字,如果记不住放到一个笔记本里头,否则很容易你的隐私就被别人所窥探到了。黑客应用这个视频数据传输会进行DDoS的攻击,因为很简单,大量的视频传输到一个网站,很容易把一个网站攻瘫了,这是暴露在公网上的很多智能设备密码没有修改。 网络安全监督机构发现大型跨国网络攻击APT10的攻击,国外对这个网站攻击进行了ATP10的攻击,现在这个ATP主要针对IT、通信、医疗、能源研究机构的目标,现在一定是一个灰色黑色的产业链进行ATP的攻击。 这是苹果手机的一个漏洞,苹果手机在今年上半年有一个WiFi的漏洞,通过这个WiFi黑客从网上能够绕到苹果手机登录到个人手机上,能够获得相关的一些内容。 在过类的安全事件,从前年和去年开始集中在这么几大类,视频类,酒店类、金融类、物流类,这些企业容易受到攻击,攻击的目标主要就是黑客产业链。 这是黑色产业链的一个设计图,从制马开始,进行相关的贩马,然后种马,信息贩卖,流量也可以进行贩卖,形成黑色产业链,以相关的肉鸡,控制了大部分的肉鸡,都可以给种马的人相关信息。现在肉鸡其实因为家用带宽的升高,导致我们家用的电脑导致流量的攻击会越来越大。这是热点事件跟大家探讨一下。 下面是我们国家信息安全中心承担了一个云安全等级保护的工程,GB2239对整个性能的一个标准的补充。云平台其实在互联网时代会面临更多的安全威胁,因为我们把所有设备都集中在云上了,然后放在云上我们又看不见,摸不着,不像以前单个机房可以看到设备,这样虚拟机如此之多,对于用户来讲是不知道的,所以云安全面临的其实是很大的威胁。 云计算的四大特点,资源弹性、自动部署、运营高效、按需分配。但是,导致的安全也是不可忽视的。这是一个简单的云计算系统的逻辑结构,不讲了。 这是云系统典型的架构,等级保护政策是公安部推的,从2003年开始一直到目前,等保技术目前国内的测评机构是162家,从业人员是6000人到7000之间,这样对于安全等级保护工作公安部工作量还是做的不错的。这是等保的一个示意图。 其实面向云计算的时候我们会遇到很多意想不到的事情,包括服务、架构、方案、设备、用户、安全措施、事件。比如虚拟机如何做安全防护,虚拟机在迁移的时候我们怎么去做按安全防护,以及云计算系统的边界化的问题,如何做好云计算系统的边界划分,如果政府用户,或者有一些今年银监会对于P2P企业下了一个文,P2P企业必须过等级保护。那么,过等保的前提下,一般P2P企业都会过三级,或者二级,P2P企业都会把相关系统部署在云上,这种情况下,二级三级边界如何划分,如何防止数据来回导流,以及如何做好虚拟机的安全防护控制,以及做好虚拟机安全隔离,虚拟机之间如何进行防护,如果进行隔离,如何能够防治虚拟机的内层数据不被窃取,就是做云计算我们要考虑很多问题。 其实云计算的等级保护研究的意义,2239来讲,这个是从计算机系统老的一套过来的。从我们新的来讲,云计算的威胁以及国内的情况,云计算等保标准比较缺失,测评参考的一些相关准也比较缺失,这样的情况下,我们国家信息中心承担了公安部云计算安全等级保护的基本要求,这个基本要求目前网上已经能够查到了,大家上信息安全标准化委员会网站,已经试行满意发布了,大家有兴趣可以看一下基本要求。 这个就是我们当时从2014年年底结合这个课题以后做的一些基本情况,信息安全等级保护,云计算基本要求我们如何做编写,我们怎么给国家做相关的支持。 当时的研究路径,要从使用入手,现在包括企业,包括政府大量的系统都部署在云上,云上如何去做相关的一些等保的测评,就是从几个方面,确定云计算环境安全检查与评估指标框架,还有云计算环境面临的威胁,导入云计算环境安全保护基本要求,针对每项要求,结合保护对象,测试方法,给出测评指标项等。 这个研究的方式其实我们也是从这么几个点来出发的。比如说,云服务门户的如何安全,数据安全,虚拟化安全,多租户如何进行隔离,服务水平协议管理,云管理平台的安全,以及底层数据的备份。比如云服务门户安全,云服务门户安全我们如何能够达到防控制,双向升温的鉴别,以及网络传输要进行加密,门户要防DDoS攻击,门户防入侵,用户流量隔离。数据的安全就是如何对数据进行加密纯属,多租户安全,就是多租户共享的情况下实现资源、环境、数据的隔离,租户的身份证、访问控制。还有在虚拟主机上我们该如何进行相关的防护。 而对于底层数据,我们如何进行备份,就是多数据中心,多资源地的备份,怎么去考虑,以及虚拟机的备份与恢复怎么考虑这个问题,各个租户之间的数据是不是在一个池子里,它进行相关的割裂没有,A租户对B租户的数据是不是能够轻易接触到,都是我们要考虑的问题。 这个就是从这个标准编制的思路来入手的,就是从标准草案来讲,我研究如何去编制,对于这个相关意向我们是按照相关逃路来做的。等保是整体分层的,比如物理安全,就是机房、环境,网络安全就是网络参数,主机安全就是为我们传输的主机,应用安全主要是系统应用安全。 应用安全测评内容,就是对云服务方、云租户,各自控制部分进行审计和集中审计,并为数据审计汇集接口进行测评。还包括数据备份以及数据恢复的内容,就是我们对于云租户方的加密方案和解密方案,以及数据备份的方案,数据加密以后能不能正常迁出,迁出以后怎么解密,解密以后停留的这些数据能不能进行恢复,这都是我们对测评的要求要考虑的内容。 这是云等级保护具体的测评内容,举个例子。从这么几个,网络架构、访问控制、远程访问、入侵防范、网络设备防护、安全审计进行全生命周期的测评。虚拟化网络资源和网络拓扑是否及时更新,虚拟化网络资源和网络拓扑能不能根据需求实时变化,这个东西是我们非常关注的一个内容。以及测评,资源是的划分,资源隔离,测评是否开放结果,第三方产品如何进行接入,我们如何所相关的接口进行安全的测评。 访问控制测评内容,就是测评虚拟机是否可以非授权访问虚拟机,虚拟机是不是可以没有经过授权而访问其他的虚拟机,而访问控制设备呢? 比如入侵防范,对入侵防范以前的传统设备来讲,就是三大入侵防范设备。对于云计算的平台,是因为云平台对于不同的租户提供不同的服务内容,对于不同的服务内容,比如对等级保护三级来讲,如何把虚拟的防火墙,虚拟的入侵防范设备如何达到安全的要求。 (编辑:无锡站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |