云安全等级保护关键问题探讨
2019-12-23 来源:多智时代
2017 CCS企业云计算高峰论坛(ccs.d1net.com)于4月26日在北京新世纪日航饭店盛大举行,这是国内面向政企客户的最重要的一个云计算会展。CCS企业云计算高峰论坛的主题为云计算的生态链。
以下是现场速递。(声明:本稿件来源为现场速记,可能有笔误和别字,仅供参考)
国家信息中心安全专家 赵睿斌
主持人:感谢李总。在云计算的部署中,安全一直是一个大家最为关注的核心问题,可以说,安全决定了云计算的前景。今天我们很高兴请到了一位实战行家,国家信息中心安全专家赵睿斌,赵总将为我们带来:云安全等级保护关键问题探讨。掌声欢迎!
赵睿斌:大家好,我是赵睿斌,是国家信息中心的,我看了昨天和今天的日程安排,大家都是讲应用,以及云计算的一些相关的问题探讨。我今天给大家共同来探讨一下云计算在发展过程中我们所遇到的一些安全的问题。
我的汇报提纲分三个点。第一,近期信息安全的热点事件分析。第二,云等级保护冷却提升云安全能力。第三,“互联网+”时代企业的安全该如何去选择?因为我们在座都是CIO,我们对安全还是要接触到一些的。
互联网发展到现在可能会面临很多的安全,包括黑客攻击、信息窃取、信息篡改,有大量的木马、病毒、钓鱼链接,以及我们最常见的账号被盗、撞库,尤其现在手机办公,手机智能终端被丢失的情况,导致信息泄露。
这种情况下,信息安全我们作为企业CIO该怎么办?我把上半年从1月份到4月份目前国际上发生的一些重大的信息安全事件跟大家一起分享一下。
这是4月份的时候优酷发现一个11个被盗的中国账户中出现了一个优酷的相关账号,它数据库包含了十几万的优酷的账户被盗。优酷账户被盗,因为优酷会涉及到一些付费用户,VIP用户,付费用户,VIP用户一定跟手机、信用卡、银行帐号绑定就实名制了,这个账号一被盗,就会导致大量的信用卡个人信息的泄露,黑客利用相关的撞库就会跑到别的账户上用这个账户名撞库,导致了信息泄露。
账户被盗举一个很简单的例子,2015年12306大致大量的账号被盗,13万账号被盗,现在很多人也没有更改密码,因为我们大脑中不可能同时会记住十几个密码来回更换,那会把人整疯的,一般人都会使用2-3个密码,支付宝、微信、信用卡的密码,还有京东的一些支付密码,一般都是2-3个,基本上是比较固化的,这样黑客用账户攻击很容易能够进入个人账号。
这个是NSA的武器泄露引发网络世界的“核弹危机”,美国安全局有一个方程式黑客组织,使用部分的网络武器被公开,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。360安全卫士官方微博发布红色警报,如果我们单位有一些XP系统一定要进行相关的补丁的升级,包括我们国家信息中心也对XP进行及时的补丁更新,要发布一些,大家把这个东西要注意一些。
这个是物联网/Linux恶意软件攻击数字视频录像机并组建僵尸网络。有一个黑客发现中国大陆地区有70万个智能网,包括一些相关的家居智能,但是很多人买了这个摄像头安装家里,一般都不会更改密码,还是初始密码,123456,或者8个1,或者12345678。前两天网易新闻上转的,黑客到了这个网站上,通过某个网站然后输入了相关摄像头的型号+密码就能看到某个女主人在家正在做饭,如果我们家里要安装摄像头,一定记得要更改初始密码,包括海康威视,包括很多的摄像头的密码,智能家居会越来越多,初始密码一定要改,改成字母大小写加数字,如果记不住放到一个笔记本里头,否则很容易你的隐私就被别人所窥探到了。黑客应用这个视频数据传输会进行DDoS的攻击,因为很简单,大量的视频传输到一个网站,很容易把一个网站攻瘫了,这是暴露在公网上的很多智能设备密码没有修改。
网络安全监督机构发现大型跨国网络攻击APT10的攻击,国外对这个网站攻击进行了ATP10的攻击,现在这个ATP主要针对IT、通信、医疗、能源研究机构的目标,现在一定是一个灰色黑色的产业链进行ATP的攻击。
这是苹果手机的一个漏洞,苹果手机在今年上半年有一个WiFi的漏洞,通过这个WiFi黑客从网上能够绕到苹果手机登录到个人手机上,能够获得相关的一些内容。
在过类的安全事件,从前年和去年开始集中在这么几大类,视频类,酒店类、金融类、物流类,这些企业容易受到攻击,攻击的目标主要就是黑客产业链。
这是黑色产业链的一个设计图,从制马开始,进行相关的贩马,然后种马,信息贩卖,流量也可以进行贩卖,形成黑色产业链,以相关的肉鸡,控制了大部分的肉鸡,都可以给种马的人相关信息。现在肉鸡其实因为家用带宽的升高,导致我们家用的电脑导致流量的攻击会越来越大。这是热点事件跟大家探讨一下。
下面是我们国家信息安全中心承担了一个云安全等级保护的工程,GB2239对整个性能的一个标准的补充。云平台其实在互联网时代会面临更多的安全威胁,因为我们把所有设备都集中在云上了,然后放在云上我们又看不见,摸不着,不像以前单个机房可以看到设备,这样虚拟机如此之多,对于用户来讲是不知道的,所以云安全面临的其实是很大的威胁。
云计算的四大特点,资源弹性、自动部署、运营高效、按需分配。但是,导致的安全也是不可忽视的。这是一个简单的云计算系统的逻辑结构,不讲了。
这是云系统典型的架构,等级保护政策是公安部推的,从2003年开始一直到目前,等保技术目前国内的测评机构是162家,从业人员是6000人到7000之间,这样对于安全等级保护工作公安部工作量还是做的不错的。这是等保的一个示意图。
其实面向云计算的时候我们会遇到很多意想不到的事情,包括服务、架构、方案、设备、用户、安全措施、事件。比如虚拟机如何做安全防护,虚拟机在迁移的时候我们怎么去做按安全防护,以及云计算系统的边界化的问题,如何做好云计算系统的边界划分,如果政府用户,或者有一些今年银监会对于P2P企业下了一个文,P2P企业必须过等级保护。那么,过等保的前提下,一般P2P企业都会过三级,或者二级,P2P企业都会把相关系统部署在云上,这种情况下,二级三级边界如何划分,如何防止数据来回导流,以及如何做好虚拟机的安全防护控制,以及做好虚拟机安全隔离,虚拟机之间如何进行防护,如果进行隔离,如何能够防治虚拟机的内层数据不被窃取,就是做云计算我们要考虑很多问题。
其实云计算的等级保护研究的意义,2239来讲,这个是从计算机系统老的一套过来的。从我们新的来讲,云计算的威胁以及国内的情况,云计算等保标准比较缺失,测评参考的一些相关准也比较缺失,这样的情况下,我们国家信息中心承担了公安部云计算安全等级保护的基本要求,这个基本要求目前网上已经能够查到了,大家上信息安全标准化委员会网站,已经试行满意发布了,大家有兴趣可以看一下基本要求。
这个就是我们当时从2014年年底结合这个课题以后做的一些基本情况,信息安全等级保护,云计算基本要求我们如何做编写,我们怎么给国家做相关的支持。
当时的研究路径,要从使用入手,现在包括企业,包括政府大量的系统都部署在云上,云上如何去做相关的一些等保的测评,就是从几个方面,确定云计算环境安全检查与评估指标框架,还有云计算环境面临的威胁,导入云计算环境安全保护基本要求,针对每项要求,结合保护对象,测试方法,给出测评指标项等。
这个研究的方式其实我们也是从这么几个点来出发的。比如说,云服务门户的如何安全,数据安全,虚拟化安全,多租户如何进行隔离,服务水平协议管理,云管理平台的安全,以及底层数据的备份。比如云服务门户安全,云服务门户安全我们如何能够达到防控制,双向升温的鉴别,以及网络传输要进行加密,门户要防DDoS攻击,门户防入侵,用户流量隔离。数据的安全就是如何对数据进行加密纯属,多租户安全,就是多租户共享的情况下实现资源、环境、数据的隔离,租户的身份证、访问控制。还有在虚拟主机上我们该如何进行相关的防护。
而对于底层数据,我们如何进行备份,就是多数据中心,多资源地的备份,怎么去考虑,以及虚拟机的备份与恢复怎么考虑这个问题,各个租户之间的数据是不是在一个池子里,它进行相关的割裂没有,A租户对B租户的数据是不是能够轻易接触到,都是我们要考虑的问题。
这个就是从这个标准编制的思路来入手的,就是从标准草案来讲,我研究如何去编制,对于这个相关意向我们是按照相关逃路来做的。等保是整体分层的,比如物理安全,就是机房、环境,网络安全就是网络参数,主机安全就是为我们传输的主机,应用安全主要是系统应用安全。
应用安全测评内容,就是对云服务方、云租户,各自控制部分进行审计和集中审计,并为数据审计汇集接口进行测评。还包括数据备份以及数据恢复的内容,就是我们对于云租户方的加密方案和解密方案,以及数据备份的方案,数据加密以后能不能正常迁出,迁出以后怎么解密,解密以后停留的这些数据能不能进行恢复,这都是我们对测评的要求要考虑的内容。
这是云等级保护具体的测评内容,举个例子。从这么几个,网络架构、访问控制、远程访问、入侵防范、网络设备防护、安全审计进行全生命周期的测评。虚拟化网络资源和网络拓扑是否及时更新,虚拟化网络资源和网络拓扑能不能根据需求实时变化,这个东西是我们非常关注的一个内容。以及测评,资源是的划分,资源隔离,测评是否开放结果,第三方产品如何进行接入,我们如何所相关的接口进行安全的测评。
访问控制测评内容,就是测评虚拟机是否可以非授权访问虚拟机,虚拟机是不是可以没有经过授权而访问其他的虚拟机,而访问控制设备呢?
比如入侵防范,对入侵防范以前的传统设备来讲,就是三大入侵防范设备。对于云计算的平台,是因为云平台对于不同的租户提供不同的服务内容,对于不同的服务内容,比如对等级保护三级来讲,如何把虚拟的防火墙,虚拟的入侵防范设备如何达到安全的要求。
这是云安全审计的一个测评内容,是1234567,尤其从镜像和快照保护,我讲的主要是对于我们标准里头的一个全生命周期的流程的一个过程。
这是云等级保护管理的测评内容,其实这个云安全,因为它技术的变化会带来一些管理的变化,管理的变化不大,但是对变化的要求还是有的。比如系统建设管理,如何对系统管理进行防护,安全方案的测试,供应链的测评,这以前我们等保是弱点,对于供应链安全如何进行管理,云服务商如何进行管理,尤其像以前2014年的时候我给翻译了一篇材料,就是美国对供应链安全的管理,我们对于供应链安全可能是各大云商都会去注意的一个问题。
这个是云安全等级保护单元的一个测评,就是我们从云计算安全的系统和以前的老系统进行了对比,比如物理安全这一块基本上没有什么变化,网络安全这一块有了一个虚拟化网络设备,主机安全,会出现宿主机,虚拟机。应用安全这一块变化不大,数据安全要去管理数据,租户的数据是否是统一管理,还是放在一个资源池里,还是隔离管理,包括虚拟机的镜像文件,因为业务数据包括隐私,数据泄露会影响到租户的一些情况。
系统建设管理,是否有安全风险报告和安全预案,系统运维管理,这里头提安全评估拔高和安全预案,就是因为《网络安全法》从去年11月7号开始发布以后,大量的提到风险评估,就是以后的信息化系统,包括云平台也好,风险评估可能中央网信办会作为一个重要的节点去提出,目前相关部门正在做相关的工作。
这是一个云安全等级保护整体的测评,包括安全控制点的测评,层面间的测评,区域间的测评,测评结论,是整体测评的一个流程。
这也是云安全等级保护条款的一个事例,从测评指标,提出一个云计算的基本要求,然后测评指标,你是如何去检测呢,测试呢,上设备呢,就是一个检测方法。第二,测评对象,测评对象包括系统管理员,包括关键服务器,宿主机、虚拟机,关键数据库系统,以及云平台。然后是测评实施。
研究成果,因为承接了相关的等保的一个国家标准,虽然我们后来出了一系列相关的研究标准,包括《云计算实际应用环境调研报告》 、《云计算环境威胁与风险分析》,前年开始和去年开始我们国家信息中心一直是国家中央网信办的支持单位。给公安部的信息系统,《信息系统安全等级保护云计算相关标准》这就是当时给公安部提交的所有文档。
下面跟大家探讨一下,“互联网+”时代,企业人群该何去何从。其实做CIO的各位都会碰到这一点,我们这个安全就是说从终端安全、网络安全、应用安全三大块。但是,终端安全我们对于网络控制、终端加密这一块去做相关的措施。访问控制包括实名注册可信人员。云端加密就是数据加密,网络安全这一块,就是APP如何进行防护,APP防护这一块从这两年开始兴起,现在智能手机大概人手一台,很多企业开发了自己的APP的应用程序。那么,APP的防护就是如果CIO回去要加强注意一下,APP现在有很多漏洞,APP有底层代码的一些漏洞,会导致黑客进行相关的一些信息泄露。应用安全,就是我们刚才所说的很多企业上云了,云端如果进行加密,我们是不是使用了相关的一些系统。
这些企业关注安全事件的发展,一般从两个点,可用性安全事件和应用安全事件。可用性安全事件是指服务器无法正常访问或者使用,危险在线业务的可用性。包括DDoS攻击,包括我流量攻击和应用攻击,会造成可用性安全事件。比如游戏类的公司,还有P2P企业的攻击,因为我们都需要在线操作,P2P的公司我接触比较多一些,他们的在线网站对应用层要求比较高一些,因为P2P网站需要通过网站客户随时进行投资,如果这个网站不能用,损失很大。
应用安全事件指服务器的数据和业务内容被盗取、业务信息、用户信息的安全无法得到保障。网站存在漏洞,被黑客恶意利用,会造成业务安全事件。如果一个企业你的业务数据,包括公众所关注的隐私信息得到泄露,这在人们的心目中会大打折扣,这样你的业务会受到影响。
目前流行一个DDoS攻击,DDoS攻击包括流量攻击、业务攻击,主要是耗费服务器的带宽资源,导致网络资源不能被应用,导致不能被企业自身的系统达到正常工作的状态。
这是DDoS攻击的一个示意图,DDoS攻击因为打过来流量很多,全球有能够控制上百万台的智能终端,包括物联网上的摄像头,这些摄像头很容易产生导流,同时被引到IP上,IP上的运营服务器就被堵住,不能使用了。
这是DDoS攻击发展的规模,从2013年开始,黑客认为的攻击方法,网上看也比较简单,下载一些攻击程序,攻击一些流量的服务器有能够给某个网站进行DDoS攻击。比如说给网吧进行攻击,导致大家不能上网,招揽不来客户,这样就是一个典型的DDoS攻击。
DDoS攻击如何去预防呢?我们跟华云安盾共同合作的一个平台,部署在我们那个地方,DDoS设备有多大,我们跟行业合作伙伴分析过,现在有时候能达到1T的流量,一般机房是承受不了的。这是公有云的抗DDoS业务的一个流程。
讲一个具体的案例,前段时间让一个朋友从路由器上截取了一个抗DDoS的流量分析图,将近1T的流量就过来了,而且持续很长一段时间,我发现一个公司他们对于相关的一些游戏类的网站进行了一个访问,这么长的一个流量会导致整体的游戏网站运营不下去。
这个是路由器上QPS实时的流量图,将近好几分钟的流量,这样流量过来,我们如何去处理,这么大流量,如何把这个流量导出去,如何让正常的应用开展,是我们可能以后可能会遇到的问题。
这是WAF的应用,WAF一般的单位都会上。这是一个安全的防御机制的截图,也是实时的,也是前几天的一个实时截图。这是两个,其实从上云流量图来讲,数字是100G的流量。
整体的防御开启,就是从开启防护,然后到DNS解析,流量攻击,为什么讲一个例子,大家以后可以遇到这样的事情,一旦应用打不开,我们采取哪种手段进行访问,或者去处理。这是一个总体的流量分析,会持续一段时间。
最后,谢谢大家,感谢大家给我半个小时跟大家互动的时间。
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。