💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。
本人主要分享计算机核心技术:系统维护、数据库、网络安全、自动化运维、容器技术、云计算、人工智能、运维开发、算法结构、物联网、JAVA 、Python、PHP、C、C++等。
不同类型针对性训练,提升逻辑思维,剑指大厂,非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。
云 安 全
简介:
云安全与等保2.0是网络安全领域中的两个重要概念,它们分别关注不同的方面但共同构成了现代网络安全的多层次防御体系。
-
云安全主要关注云计算环境下的安全问题和解决方案。随着云计算的普及,数据和应用程序越来越多地迁移到云端,云安全成为了保护这些资源和数据的关键。它涉及到云计算服务的安全特性、数据加密、访问控制、身份验证等方面,以确保云计算环境的安全性和数据的保密性、完整性和可用性1。
-
等保2.0即网络安全保护等级的基本要求的第二代标准,是对中国信息安全领域中信息系统安全保护工作的全面升级。等保2.0旨在应对信息技术快速发展带来的新挑战,尤其是云计算、大数据、物联网、移动互联网等新兴技术广泛应用所引发的安全问题。等保2.0对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象实现了全覆盖,并提出了更加细致的安全要求。它采用“一个中心、三重防护”的理念,从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。
综上所述,云安全和等保2.0虽然关注点不同,但都是为了应对现代网络环境中日益复杂的安全挑战。云安全侧重于云计算环境的安全保障,而等保2.0则是对整个信息安全等级保护制度的升级和扩展,两者共同构成了现代网络安全的多层次防御策略
1.1 互联网安全现状
近年,全球网络安全事件频发,安全现状依然不容乐观。各国对网络及信息安全都高度
重视,逐步上升到国家战略层面。同时,全球网络安全产业稳步增长,安全人才短缺日趋严
峻。因此,也给计算机信息网络安全从业者带来了巨大的发展机遇和空间。
1.2 安全基本原则
信息安全管理到底是在管什么?如何定义信息安全?下面介绍信息安全最基本的概念:
CIA 三元组。
1.2.1 CIA 三元组
在安全技术领域,存在着一个普遍认同的安全基本原则:
即安全的核心目标是为关键资产提供机密性(confidentiality)、完整性(integrity)、
可用性(availability)保护,简称 CIA 三元组。如图 1.4 所示。
所有的安全工作都是围绕机密性、完整性、可用性这三个方面展开,针对不同的安全对
象会有不同的技术倾向性。
图 1.4 CIA 三元组
对于技术人员来说,习惯性的思维可能是:我关注的是安全攻防技术,讨论这些理论有
什么价值呢?
企业里,有不少技术很强的安全技术工程师,但是他们常常图省事不改初始密码,不锁
机房门,一个 administrator 账户干各种事,或者多人掌握一个 administrator 密码。这样的
安全机制,让配置的很多安全技术策略都成了无用功。
安全工作,很多人的习惯性误区就是:爱盯着具体的技术解决问题,忽略了全局。
打个比方:一个程序员代码写的很熟练,却总缺少全局性的编程或设计思想。他能写出
好的产品吗?
下面介绍一下,机密性、完整性、可用性的概念。同时思考一个问题:身处不同的企业,
比如,电商企业、普通生产企业、金融企业等,在安全性上考虑的问题倾向性,是否相同?
是花的钱越多、买的设备越先进越好吗?作为 IT 负责人,你如何规划 IT 安全建设的投入和
产出,才能既解决问题又让老板满意?
机密性(confidentiality): 确保在数据处理的每个交叉点上都实施了必要级别的安全
保护并阻止未经授权的信息披露。就是通过必要的安全防护,阻止未授权的信息泄露。
完整性(integrity):指的是保证信息和系统的准确性和可靠性,并禁止对数据的非授
权更改。
可用性(availability):保护确保授权的用户能够对数据和资源进行及的和可靠的访
问。
其实,这三点都重要。但是不同性质的企业,在这个三个方面侧重点不同。比如:金融
企业对于客户的每一笔款项,必须高度准确,绝不能中途背篡改。所以数据完整性往往是第
一位的; 对于向用户提供服务的云平台,可用性往往是放在第一位的,这也是各平台竞争
的一个亮点。对于普通企业的宣传门户或 IT 平台,可能重点关注的是机密性,其他方面要
求不高。
所以,作为安全负责人,处于不同企业,工作思路是不同的。安全不是大把花钱就能解
决问题,这个世界上也没有绝对的安全,安全是企业可接受的安全投入与产出的平衡点。
1.2.2 CIA 相关控制措施
日常安全工作都是围绕机密性、完整性、可用性展开。下面是我们常见的围绕 CIA 三
元组采取的控制措施。
在安全技术里面,会学到的账户策略、密码策略、双机热备、证书服务、IPSEC-VPN、
SSL-VPN 分别匹配或者覆盖安全三元组的哪些方面?
机密性
加密存储数据(整个磁盘或数据库)
加密传输中的数据(IPSec、SSL、PPTP、SSH)
访问控制(物理的和技术的)
完整性
散列算法
数字签名
CRC 校验
可用性
廉价磁盘冗余阵列(RAID)
群集技术
冗余数据和冗余电源
磁盘镜像
软件和数据备份 数据库回滚功能
异地容灾或备用设施
以上仅仅是在安全工作中,我们常见的一些控制措施。需要注意的是,安全不仅仅是 IT
技术方面的控制,还包括物理层面的以及管理层面等控制措施的综合运用,才能有力的保障
保护资产对象的安全性。
1.3 安全术语
学习安全技术常常会用到一些安全术语,比如:“脆弱性”、“威胁”、“风险”这些术语,
理解这些安全术语是很重要,有助于统筹去理解安全的各方面问题以及影响,安全在很多方
面的表现更像“木桶”原理,只要有一块短板,就会导致其他方面大量的安全工作大打折扣,
甚至前功尽弃。因此,安全需要在更高的视野来统筹规划,不能仅着眼于某一个技术点。
1.3.1 常见安全术语
资产(asset):资产是指环境中应该加以保护的任何事物,是用于商业过程和任务中
的任何东西。
比如:计算机文件、网络服务、系统资源、进程、程序、产 品、IT 基础设施、数据库、
硬件设备、产品秘方/配方、人员、软件和设施等。
脆弱性(vulnerability):是指缺少安全措施或者采用的安全措施有缺陷。
它可以是软件、硬件造成的缺陷,比如系统漏洞、硬盘的坏扇区等,也完全可能是过程
或人为缺陷,比如:松懈的机房管理,视频监控系统存在的死角、盲区,或者未严格实施密
码策略的访问控制,随便可以用移动介质拷贝的数据访问等。
威胁(threat):指利用脆弱性带来的潜在危险。
威胁就是某人或某个软件识别出特定的脆弱性,并利用其来危害公司或个人。利用脆弱
性的实体就称为威胁主体。威胁主体可能是通过防火墙上的某个端口访问网络的入侵者、违
反安全策略进行数据访问的过程或者毁坏设施的自然灾害,比如:大型数据中心的建设就要
考虑到地震、洪水等威胁。也可能是某位员工犯下的、可能泄露机密信息或破坏文件完整性
的意外错误。
风险(risk):是威胁主体利用脆弱性的可能性及相应的业务影响。
如果防火墙开放了一些端口,那么入侵者利用这些端口对网络进行未授权访问的可能性
就会较大。如果没有对用户进行流程和措施的相关教育,那么员工由于故意或无意犯错而损
坏数据可能性就会较大。如果网络没有安装入侵检测系统,那么在不引人注意的情况下进行
攻击且未能及时发现的可能性就会较大。风险将脆弱性、威胁和利用可能性与造成的业务影
响联系在一起。
暴露(exposure): 脆弱性被展示,将组织暴露于危胁之下。
暴露并不意味着实施的威胁(造成损失的事件)实际发生(暴露给已实施的威胁称为经
历的暴露),而仅仅是指如果存在脆弱性并且威胁可以利用脆弱性,那么就有可能发生威胁
事件或出现潜在的暴露。
脆弱性能够导致组机构遭破坏。如:密码管理不严谨,会造成密码被盗或未受权访问;
规章制度未能监管落实,公司就可能给公司带来失窃或火灾等损失。
控制(control)或对策(countermeasure):能够消除(或降低)潜在的风险的措
施。对策可以是软件配置、硬件设备或措施,它能够消除脆弱性或都降低威胁主体利用脆弱
性的可能性。对策的示例包括强密码管理、防火墙、保安、访问控制机制、加密和安全意识
培训。
控制(control)、对策(countermeasure)、防护措施(safeguard)有时候会交替使
用,都是指降低风险的机制。
可以下面的例子,类比一下上面的安全术语:
动物园老虎笼子的门没锁好,门就是脆弱性,游客就是资产,老虎是威胁主体给游客的
生命安全带来威胁,游客就有被老虎吃掉的风险,门没锁好被老虎发现了,老虎还发现了外
面的游客,就造成了暴露。对策就是火速把门栓好,原来的 1 道门整改为 2 道门,两道门
均改为出门自动锁定;加强巡检和值班制度,加强员工安全意识培训……。
1 道门整改为 2 道门,手动锁定改位自动锁定,是技术手段;加强巡检和值班是管理手
段; 没有巡检,门坏了无人知道,先进的技术也将失去作用。问题:技术手段、管理手段
哪个更重要呢?答案是:技术手段、管理手段都很重要,两者配合默契,才是完整的解决方
案。
图 1.5 说明了资产、脆弱性、威胁、风险、和对策之间的关系。
图 1.5 脆弱性、威胁、风险、和对策之间的关系
应用正确的对策来消除脆弱性,能够降低风险。企业并不能消除威胁主体,但可以积极
的采用有力的对策来保护自己。防止威胁主体利用系统环境的脆弱性,给企业资产带来损失
或破坏。
学习安全技术,理解上面的常见安全术语很重要。许多人忽视了这些基本术语,使安全
工成为片面的强调某项技术,采取的许多对策却未达到预期的安全目标。
安全工作的关键,不是有没有出问题,而是需要清晰的认识到:一旦出问题,将付出的
代价是多少,这个代价是否承受得起。这决定着该花多少成本解决问题,也决定着所采取的
安全对策是否合理有效。
1.3.2 云安全术语
云安全技术的发展带来了许多新概念。
云客户(Cloud Customer):云客户是指购买、租赁或租用云服务的组织或个人。
云用户(Cloud User):云用户指使用云服务的人,可能是作为云客户的公司的雇员或者
是个人。
云服务提供商(Cloud Provider):通过公共网络(通常是互联网)向云客户提供存
储或软件解决方案的服务提供商,云服务提供商决定了所使用的技术和运维流程。
云访问安全代理商(Cloud Access Security Broker,CASB):是第三方实体,通常作
为一个中介为云服务提供商和云客户提供独立的身份和访问管理(Identity and Access
Management,IAM)服务。CASB 可采取多种服务形式,包括单点登录(SSO)、证书管理
和密钥托管。如:国内的一些安全企业就提供这种服务或产品。
监管机构(Regulator):确保组织遵循规章制度框架的监查管理机构。这些监管机构可
以是政府机构、认证机构或合同的当事方。如:负责等保监管的公安部门,负责网站监管的
网信办等。
云可移植性(Cloud Potability)
:
是在一个云服务提供商和另一个云服务提供商之间(或
传统系统和云环境之间)迁移应用系统和相关数据的能力。
供应商绑定(Vendor Lock-in):指云客户由于技术性或非技术性限制而无法迁移或
转移到另一个云服务提供商的情况。
供应商锁定(Vendor Lock-out):指因为云服务提供商破产或以其他方式离开市场。
从而导致云客户无法恢复或访问自己数据的情况。
学习云安全技术,经常会接触到以上术语,因此需要理解和掌握这些术语的含义。
1.4 安全控制类型
前面的内容,讲解了安全目标(机密性、完整性、可用性)和安全术语(脆弱性、威胁、
风险和控制等)。这些内容是企业做好安全工作,解决安全问题的基础。接下来讲解的是控
制类型及其相关功能。
安全工作通过运用控制措施来降低面临的风险。控制包括三种类型:行政管理性控制、
技术性控制和物理性控制。
行政管理性控制(administrator control):通常是面向行政管理性质的,所以经常
被称为“软控制”。安全文档、风险管理、人员安全和培训都属于行政管理性控制。技术性控制(technical control):也称为逻辑控制,由软件或硬件组成,如防火墙、
防毒软件、入侵检测系统、加密、身份识别和认证机制。
物理性控制(physical control):用来保护设备、人员和资产,安保系统、视频监控、
锁、围墙以及照明都属于物理控制。
正确运用以及综合运用这些控制措施,才能为企业提供深度防御(也称分层防御或纵深
防御)。深度防御指以分层的的方法综合使用多个安全控制类型。由于入侵者在得逞前将不
得不穿越多个不同的保护机制,因此,多层防御能将威胁降到最低。图 1.6 是深度防御示意
图。
图 1.6 多层深度防御模型
深度防御的含义不难理解,但是在企业里未必能认真去做到。比如:技术性控制是大多
数企业比较关注的地方,而行政管理性控制和物理性控制是容易忽视的地方。
让我们来看一个真实场景:
去过 IDC 托管机房的同学可能会有印象,有的企业租用机柜,不光柜门紧锁,还对自
身租用的一组柜子增加了区域门,物理控制做得非常完善;还有很多的企业机柜有门不锁,
网线裸漏,且不说有人恶意破坏的问题。因为是公共机房,别人认错机柜,误操作强制断电
重启服务器的情况时有发生,这种物理安全的完全忽视,带来不必要的安全问题,是完全可
避免的。这是物理安全被忽略的例子;为什么会产生物理安全的问题呢?是管理安全的缺位,
如刚才的例子,有的企业巡检和监督是一个人,有的企业巡检是工程师,监督师领导,可是
领导从来不去机房。所以管理控制的实际不完善和缺位,最终会导致技术性控制和物理性控
制的名存实无。
1.5 云安全的特殊性
云计算由于其特殊的计算管理模式为云客户提升了效率,降低了成本。但由于云服务模
型的特殊性,也存在着边界模糊,责权易产生争议的问题。尤其是公有云,在此方面的特点
尤为突出。这也是云平台相比传统 IT 平台,在安全管理上,需要特别关注的地方。
1.5.1 云服务模型
云计算服务通常使用三种通用模型:基础架构即服务(Infrastructure as a
Service,IaaS)、平台即服务(Platform as a Service,PaaS)和软件即服务(Software as a
Service,SaaS),如图 1.7 所示。
图 1.7 云计算服务模型图
1. IaaS 模型
IaaS 模型是最基础的云服务产品,为用户提供类似“祼机”资源。允许云客户在云服务提
供商提供的“裸机”上安装所有软件,包括操作系统。
在该模型中,云服务提供商拥有并管理所有基础架构的物理资源,如:硬件主机、存储、
网络线缆等。但诸如软件的所有逻辑资源都由云客户自行管理。
2. PaaS 模型
PaaS 模型中,云服务提供商为客户提供可选择的操作系统,云服务提供商除了管理
IaaS 模型中的物理资源,还负责管理操作系统。比如:对系统打补丁,管理和更新操作系
统。云客户可以在此系统上安装任何需要的应用软件。
3. SaaS 模型
SaaS 模型中,云服务提供商为客户提供可选择的应用软件,云服务提供商除了管理物
理资源、操作系统外,还负责管理、更新应用软件。云客户基本只负责上传和处理业务数据。
常见的 SaaS 应用案例,比如:Google Docs、Microsoft Office365 等,都是 SaaS 模
型的产品。
1.5.2 云模型的边界
在传统的 IT 环境中,组织的 IT 边界有明显的界线:比如自己的机房、服务器,自己的
光缆,自己的数据存储,都有着明确的边界。
但是在云环境下,这个界线不适用了。云计算环境中,云客户数据并非存储在自己的硬
件基础设施中,而是存放在云服务提供商的云计算环境中,这些云端数据大部分在云客户的
范围之外。组织对云端运行的程序和设备仅有有限的访问权限,和传统 IT 环境比,很难知
道风险的位置和延伸程度。
1. IaaS 边界
在云服务三种模型中,IaaS 中云客户承担的工作和具有的权限最大。云服务提供商负
责提供数据中心资源,提供网络联通、电源、机架、服务器、存储等硬件设施,建设并管理
这些硬件设备和操作系统以下的云环境软件资源。云客户负责操作系统及以上的一切,包括:
操作系统、应用系统、数据以及安全策略及管理。
在安全性上,云客户也失去了一些,在传统 IT 环境中的安全管理特性。比如:云客户
不能选择底层的 IT 资产(服务器品牌、硬件参数等)。云客户也可能失去对数据中心的流
量监控和管理能力。
以上这些会增加实施安全策略和法律合规审计的难度。这些,需要在迁移云环境之前就
确认清楚。建议提前和监管机构建立沟通,确认一些监管配合上的细节。
当然,在此模型中,云客户具备操作系统及以上的权限,操作系统及其上的应用软件的
日志及流量管理,是自主可控的。
2. PaaS 边界
在 PaaS 模型中,云服务提供商负责安装、维护和管理操作系统,云客户将失去对环
境的更多控制权。这将进一步要求云客户调整安全策略,并需要进一步考虑和确认在法律合
规性,自身能够满足的条件和程度。
在此模型中,更新和维护应用软件是云客户的责任,操作系统及以下资源的维护管理由
云服务提供商负责。云客户可以节省更多成本并提高了效率。
3. SaaS 边界
在 SaaS 模型环境下,环境的绝大部分控制权归属于云服务提供商。云服务提供商具有
硬件硬件和软件的所有权和控制权,云客户只是处理自己的业务数据。
1.5.2 云平台责任分担
从以上三种模型可以看出,和传统的 IT 环境相比,采用云服务为云客户节省了成本、
提高了效率、让云客户更专注于自身业务领域的同时,也带来了责任边界模糊,权限受限,
数据被非授权获取的风险。图 1.8 所示,是云客户和云服务提供商之间各自承担的责任矩阵。
图 1.8 云客户/服务商责任矩阵
在传统 IT 环境下,企业数据的维护职责和风险责任完全由自己承担。在云平台环境下,
属于云客户的数据风险与责任将由云客户和云服务提供商共承承担。这些风险与责任将写入
双方之间的服务合同。
但是,需要注意的是:基于当前的法律和监管制度,云客户始终对任何数据丢失负有
最终的和根本性的法律责任。
虽然云客户和云服务提供商之间共同承担风险和责任,但一般来说:未经授权和非法的
数据泄露的最终法律责任仍归属于拥有数据的云客户。根据实际的合同条款,云服务提供商
可能在财务上承担全部或部分责任,但最终法律责任属于云客户。
在 SaaS 平台下,也存在这方面的责权争议。比如:假设腾讯云推出了基于 SaaS 的微
信小程序应用,云客户可租用此 SaaS 应用微信小程序,小程序上面的会员数据由云客户生
成、访问并使用,这些数据完全属于云客户。但是数据的存储、备份以及操作系统、硬件等,
完全由云服务商维护管理。云客户只需专注于自己的程序应用,将其他维护工作都交给云服
务商。
所以,云客户始终对自己拥有的数据负有最终法律责任。
因此,这就需要云客户加强通过合同向云服务提供商要求其履行应尽职责。通过签订严
谨明晰的合同来降低和缓解风险。虽然云客户数据的法律责任仍由自身承担,但可通过明确
的双方责任和违约成本,驱使云服务提供商强化落实对云客户的安全服务职责。提供更严谨
更安全的云端服务。
云服务提供商可采取必要的安全措施,比如:
对能访问到数据的所有人员进行严格背景调查和持续和行为监测
对物理环境等安全采取严格的监管措施
对运行在云端的云客户数据采取严格的加密技术手段
值得注意的是,业界目前还没有对云客户和云服务提供商明确的任务或工作细节要求,
云服务提供商的做法存在很大差异,每个商务合同都不一样,所以确切的权利和责任将
各不相同,具体取决于云客户和云服务提供商间的商务谈判结果。
再以 SaaS 平台为例,理解一下这个问题:某云客户提供会员服务,最终的云用户隐私
数据保存在此 SaaS 平台,由云服务商管理。后云用户发现自己存储在 SaaS 上的个人隐私
数据被泄露到了网上,于是将云客户告上法庭。云客户负责数据的存取,但它并没有最终数
据存储的维护和控制权限。这在司法上可能存在争议,但云客户仍然倾向于付最终法律责任。
而云服务商向云客户负云服务合同约定的服务责任。并不对最终云用户负责。
1.6 云平台的风险及对策
云计算带来了资源的整合、成本的降低,也大大提升了云客户的 IT 建设效率。过去在
传统的 IT 环境下,企业想进行 IT 建设,需要走采购硬件、采购软件、产品研发,然后再产
品上线的过程。现在有了云计算平台,省去了硬件采购环节,大大缩短了上线周期,甚至不
再需要开发,采购云服务提供商的 SaaS 产品,经历短暂的培训就可上线使用。
但在带来以上便利的同时,也面临着全新的安全威胁,带来新的安全风险和挑战。
以公有云为例,除面临传统 IT 环境的安全风险(如:DDOS、XSS、SQL 注入等),
还包括下边这些威胁和风险:
内部威胁
内部员工或有权限的个人,因为某些原因,可能进行恶意行为或破坏。堡垒是最容易从
内部攻破的,因为外部的威胁大多都比较关注,来自内部的威胁容易被忽视。可能是心怀不
满的员工,也可能是缘于某种利益的吸引,最终带来行为上的危害结果。因此,安全需要做
到内外兼顾,同步开展。
对策:
对于新员工要做充分的背景,包括职业道德、专业技能方面,减少问题员工的引入。对
于员工定期进行必要的职业道德、职业素养及专业技能方面的培训。关键岗位采取职责分离、
最小化权限等措施,提高违规成本。必要时采取强制休假,岗位轮换等措施进行检查。对于
不需要员工访问的敏感数据可采取必要的遮蔽或混淆处理。采用必要的审计手段,进行出口
数据监测,降低数据泄露的风险。
流氓管理员
这是一种风险更高的内部威胁。公有云会带来拥有更大权限的内部人员,恶意或不负责
任操作的可能性。这些管理员不受云客户的控制,能够管理的资源更多,可能造成的损害也
更大。
对策:
除在前面“内部威胁”中提到的对策外,还需要加强物理的、技术的和管理的控制措施。
比如:加强视频监控点位,增加堡垒机等管理员行为审计手段,严格落实分工及管理职责,
减少因管理漏洞带来的可乘之机。
特权提升
特权提升也是一种内部威胁。是内部用户因为恶意或工作需要,提升自己账户权限去执
行某个操作的情况。由于不仅是云客户还是云服务提供商,其内部用户都存在此风险。
以为公有云平台承载的是大量的用户数据,因此公有云的特权提升威胁更加大。
比如:工作中常常由这种场景,某员工临时需要一下查看日志的权限,经审批可临时分
配该权限。但超级管理员图省事,临时给该账户一个最大权限。结果事后忘记了,在很长一
段时间里,该用户都是超级管理员。这种特权提升,在公有云平台威胁更大。
对策:
强化监督管理机制,比如:安排技术能力强、经验丰富的员工进行及时有效的日志分析
和审查,提升身份验证手段,实施更全面的访问控制。
合同失败
责权不严谨的合同,可能导致供应商绑定,对自身不利的条款,缺乏必要的服务约束及
其他风险,这些是公有云带来的一个很大的安全威胁。
前面提到了关于云服务带来的一些法律争议,其中在双方签订的合同上,对于违约责任
的约定非常重要。
在实际工作中,云客户往往在此方面容易忽略。一些规模小、安全意识弱的云客户在没
有认真去研究合同条款的情况下,就接受了服务。对于不同规模以及安全要求的客户,需要
认真研究合同条款并与云服务商沟通,拟定双方都能接受的责任条款,保障自身权益。
对策:
1.认真斟酌合同条款,保护自身必要的权益。
2.选择在技术保障能力上和服务商,都能满足需求的服务商。
3.防止云服务提供商绑定或锁定,云客户必要时采用跨不同服务商的异地备份,以便在
极端情况下,因服务商无法履行合同,及时重构数据,减少数据损失。
数据查封
因法律上的因素,可能导致云主机被执法机构没收或检查,即使云客户本身不是被执行
的目标实例,但可能因主机被查封,受到同样的封禁影响。
比如:云客户 A 租用了某云平台的 SaaS 服务,现在该云平台上的其他客户 B 涉嫌违
法,司法部门要封禁该云平台的某数据库,进行调查。这数据库内也包含了 A 的数据,因
此,A 的数据有泄露的风险。
对策:
应考虑到因法律被查封的可能性,针对敏感信息采取必要的加密措施,保障在发生法律
查封时,将风险和损失降到最低。
1.7 虚拟化面临的安全挑战
虚拟化技术是实现云计算的重要技术之一,虚拟化作为实现云计算的底层技术,是托起
云客户数据的“软底盘”,面临全新的技术威胁,带来的风险影响也更大。
因此,虚拟化的安全性,对于云平台来说,至关重要。虚拟化面临的主要危胁如下:
攻击虚拟机管理程序
虚拟机管理程序充当虚拟机实例和它们所在主机资源之间的接口和控制器。有两类虚拟
机管理程序。
类型 1:是裸机或硬件虚拟机管理程序,直接驻留在主机上,通常作为可引导软件。比
如:VMware 的 ESXi 平台软件。
类型 2:是软件虚拟机管理程序,它运行在主机设备支持的操作系统上。比如:VMware
或 Hyper-V 都有各自的云管理客户端程序。攻击者更喜欢类型 2 的软件虚拟机管理程序,
因为它具有更大的攻击面。可以攻击虚拟机管理程序本身、底层操作系统或直接攻击主机,
攻击相对更容易成功。而对于类型 1,攻击面则仅限于硬件虚拟机管理程序和主机。
客户机逃逸
设计或配置不当的虚拟机或管理程序,可能造成用户突破限制,离开自己的虚拟化实例。
这称为客户机逃逸或虚拟机逃逸。实现虚拟机逃逸的用户可能访问同一主机上的其他虚拟化
实例,以及并查看、复制或修改存储在其中的数据。同时还可能访问主机,影响主机上的所
有实例。
比如:VMware 漏洞“CVE-2018-6981”可导致虚拟机在主机上执行任意代码,造成虚拟
机逃逸。
信息泄露
这是由于失效或故障引起的另一种风险。比如,一个主机上的虚拟化实例,可能因为虚
拟化的某个故障,探测到其他实例执行的操作以及持续的时间。利用泄露的信息,攻击者可
能掌握实例上执行的操作,以及安全控制状态。有利于其进一步发起有针对性的攻击。
比如:VMware 漏洞“CVE-2018-6982”可导致从主机到虚拟机的信息泄露,该漏洞只影
响 ESXi。目前已经修复。
1.8 安全法规
近年,我国高度重视网络及信息安全技术的发展和落实,连续推出了和网络及信息安全
相关的法律法规。主要有《中华人民共和国网络安全法》和《中华人民共和国密码法》。
1.8.1 网络安全法
《网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,
保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。
1.8.2 密码法
2019 年 10 月 26 日,十三届全国人大常委会第十四次会议表决通过《中华人民共和国
密码法》。该法将于 2020 年 1 月 1 日起施行。
密码是国家重要战略资源。
密码法是我国密码领域的第一部法律。《密码法》的发布不仅涉及到国家安全层面,对
企事业单位也会带来巨大的影响。
1.密码法适用范围
《密码法》的适用范围,主要包括以下几个方面:
密码相关的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动,适用本
法。
密码法适用于密码技术的生产方、使用方以及监督主管方。
2.密码的分类与管理
密码法将密码分类为核心密码、普通密码与商用密码,并明确要求对这三类密码实行分
类管理。
其中“核心密码”与“普通密码”被用来保护国家秘密信息,涉密单位应重点关注对于这两
类密码的管理。对这两类密码,《密码法》要求实行密码“保密责任制”和“安全风险评估”机
制。
商用密码被用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用
密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用,都属于商用密码,应遵
循国家密码局商用密码管理有关条例规定。
3.密码安全性评估
本次《密码法》发布对于非涉密的企事业单位来说,最大的影响就是必须要主动进行“密
码安全性评估”。
根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对
商用密码产品、密码服务、密码技术进行安全性以及合规性认证。
对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估。
当前,我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要
求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的
规定:
在密码算法方面,信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国
家标准、行业标准的有关要求。如使用国家批准的商用密码算法 SM2、SM3、SM4 等。
在密码技术方面,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自
定义的密码协议,设计要安全合理,同时遵循相关密码标准。如针对 SSL 相关应用,设计
标准应遵循《GM/T 0024-2014 SSL VPN 技术规范》。
在密码产品方面,信息系统中使用的密码产品与密码模块应通过国家密码管理部门核
准。如信息系统中使用的密码模块应具备商密型号证书。
在密码服务方面,信息系统中使用的密码服务应通过国家密码管理部门的许可。
1.9 安全标准与认证
网络安全等级保护和 ISO/IEC 27000 系列标准是目前企业主要遵循的两个信息安全标
准体系,在党政机关及企事业单位应用非常广泛。云安全国际认证(CSA STAR)是一项
全新而有针对性的国际专业认证项目,旨在应对与云安全相关的特定问题。
1.等保的发展历程
我国于 1999 年发布了国家标准 GB17859《计算机信息安全保护等级划分准则》,成
为建立安全等级保护制度、实施安全等级管理的重要基础性标准。
和等保 1.0 标准相比,等保 2.0 标准各级别分类,调整为:安全物理环境、安全通信网
络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管
理人员、安全建设管理、安全运维管理,这样 10 个类别。
各级别的安全要求调整为:安全通用要求、云计算安全扩展要求、移动互联安全扩展要
求、物联网安全扩展要求、工业控制系统安全扩展要求。
图 1.11 安全保护对象对比图
3.不同等级的安全保护能力
不同等级的保护对象应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意
攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到
损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发
起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能
够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功
能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有
较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威
胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害
后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、
拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所
造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够
迅速恢复所有功能。
第五级安全保护能力:略。
4.等保工作流程
等级保护工作的开展,共分为 5 部分内容:定级、备案、建设整改、等级测评、监督
检查。等保 2.0 标准仍然将围绕这 5 个规定动作开展工作。如图 1.12 所示。
(1) 定级、备案
信息系统运营使用单位按照定级指南相关要求确定等级保护对象的安全等级。
安全保护等级确定后,由运营、使用单位到所在地址的公安机关办理备案手续。
(2) 建设整改
根据需求制定建设整改方案,按照国家相关规范和技术标准,使用符合国家有关规定,
满足安全等级需求产品,开展信息系统安全建设整改工作。
(3) 等级测评
选择具有国家相关技术资质和安全资质的测评单位进行等级测评。
系统运营、使用单位向所在地区的公安机关提交测评报告。
(4) 监督检查
公安机关依据相关管理办法和工作规范,监督检查运营使用单位开展等级保护工作,定
期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检
查、指导,如实向公安机关提供有关资料。
图 1.12 等级保护工作流程
在图 1.12 中,相关指南介绍,如下:
《实施指南》的主要内容是描述等级保护工作整个过程。
《定级指南》主要内容是有关等保对象定级,是确定信息系统的安全保护等级的主要依
据。
《基本要求》是最为核心一个标准,主要内容是对等保对象提出安全保护能力。
《安全设计技术要求》是实现基本要求的最佳实践。
《测评要求》是对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安
全职能部门依法进行的网络安全等级保护监督检查参考使用。
《测评过程指南》是对测评机构的工作过程进行规范化管理。
5.等保 2.0 变化总结
近年来,随着信息技术的发展和网络安全形势的变化,等保 1.0 要求已无法有效应对新
的安全风险和新技术应用所带来的新威胁,等保 1.0 被动防御为主的防御无法满足当前发展
要求,因此急需建立一套主动防御体系。等保 2.0 适时而出,从法律法规、标准要求、安全
体系、实施环节等方面都有了变化。
(1)标准依据的变化
从条例法规提升到法律层面。等保 1.0 的最高国家政策是国务院 147 号令,而等保 2.0
标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,
国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急
预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保
护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保
护等于违法。
(2)标准要求变化
等保 2.0 在之前基础上进行了优化,同时对云计算、物联网、移动互联网、工业控制、
大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+
扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能
力有很大提升。
通用要求方面,等保 2.0 标准的核心是优化。删除了过时的测评项,对测评项进行合理
改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管
理中心从管理层面提升至技术层面。
扩展要求方面,扩展了云计算、物联网、移动互联网、工业控制、大数据。
(3)安全体系变化
等保 2.0 相关标准依然采用“一个中心、三重防护”的理念,从等保 1.0 被动防御的安全
体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理
体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、
安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、
教育培训和经费保障等工作。
(4)等保实施过程优化调整
等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保 2.0 进行了
优化和调整。
①定级对象的变化
等保 1.0 定级的对象是信息系统,等保 2.0 的定级对象扩展至基础信息网络、工业控制
系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平
台,覆盖面更广。
②定级级别的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从
1.0 的第二级调整到了第三级(根据 GA/T1389)。
③定级流程的变化
等保 2.0 标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,
才能到公安机关备案,整体定级更加严格。
④测评结论要求提高
相较于等保 1.0,等保 2.0 测评的标准发生了变化,等保测评结论由 1.0 时代的符合、
基本符合、不符合改为 2.0 时代的优、良、中、差四个等级。
等保 1.0 测评结论分为三个等级:60 分以下为不符合,60-99 分为部分符合,100 分为
符合。2.0 中测评结论分为四个等级:优(90 分及以上)、良(80 分及以上)、中(70 分
及以上)、差(低于 70 分),70 分以上才算基本符合要求,基本分调高了,测评要求更加
严格,如图 1.13 所示。
图 1.13 等保 2.0 测评四等级
⑤测评周期的变化
相较于等保 1.0,等保 2.0 标准测评周期、测评结果评定有所调整。等保 2.0 标准要
求,第三级以上的系统每年开展一次测评,修改了原先 1.0 时期要求四级系统每半年进行
一次等保测评的要求。
6.等保 2.0 的实施对企业的影响
根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保
护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
等保 2.0 有 5 个运行步骤:定级、备案、建设和整改、等级测评、检查。同时,也
分 5 个等级,即信息系统按重要程度由低到高分为 5 个等级,并分别实施不同的保护策
略。
1.9.2 ISO/IEC 27000 认证
在信息安全管理方面,英国标准 ISO/IEC 27000 已经成为世界上应用最广泛与典型的
信息安全管理标准。该标准起源于英国的 BS7799 标准。这个标准概括出信息安全管理体
系(ISMS,又名安全规划)应该如何建立和维护。其目标是指导组织设计、实施和维护策
略、过程及技术,以便于管理组织的敏感信息资产面临的风险。许多国家的政府机构、银行、
证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全
进行系统的管理。
ISO/IEC 27000 是一系列信息安全标准,目前已发布的主要标准如下:
ISO/IEC 27000 概述和词汇
ISO/IEC 27001 信息安全管理体系要求
ISO/IEC 27002 信息安全管理实践代码
ISO/IEC 27003 信息安全管理体系实施指南
ISO/IEC 27004 信息安全管理衡量指南与指标框架
ISO/IEC 27005 信息安全风险管理指南
ISO/IEC 27006 信息安全管理体系审核与认证机构指南
ISO/IEC 27011 远程通信组织信息安全管理指南
ISO/IEC 27031 业务连续性的 ICT(信息和通信技术)准备能力指南
ISO/IEC 27033-1 网络安全指南
ISO/IEC 27799 医疗机构信息安全管理指南
在以上标准中,ISO/IEC 27001(信息安全管理体系标准)是其中的一个主要标准。
ISO/IEC 27001(信息安全管理体系标准)可有效保护信息资源,保护信息化进程健康、
有序、可持续发展。当组织通过了 ISO27001 的认证,表示该组织信息安全管理已建立了一
套科学有效的管理体系作为保障。
ISO/IEC 27001 可以给企业带来的效益:
协调各个方面信息管理,从而使管理更为有效。保证信息安全不是仅有一个防火墙,
需要全面的综合管理。
可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互
相信任,改善全体的业绩、消除不信任感。同时,把组织的干扰因素降到最小,创
造更大收益。
企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在行业内
的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此
作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织
对信息安全的承诺。向政府及行业主管部门证明组织对相关法律法规的符合性。
1.9.3 CSA STAR 认证
云安全国际认证(CSA STAR)是一项全新而有针对性的国际专业认证项目,由全球标
准奠基者——英国标准协会(BSI)和国际云安全权威组织云安全联盟(CSA)联合推出,
旨在应对与云安全相关的特定问题。
云安全国际认证(CSA STAR)以 ISO/IEC 27001 认证为基础,结合云端安全控制矩
阵 CCM 的要求,运用 BSI 提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,
从沟通和利益相关者的参与;策略、计划、流程和系统性方法;技术和能力;所有权、领导
力和管理;监督和测量等 5 个维度,综合评估组织云端安全管理和技术能力,最终给出“不
合格-铜牌-银牌-金牌”四个级别的独立第三方外审结论。
CSA STAR 认证可以为客户提供比业界要求更高的云厂商服务能力透明度,帮助客户
在购买和选择云服务时作出更为明智的决策。其价值还体现在提升用户对云计算的信心,并
更加积极尝试使用云计算服务,借助云的力量实现自身的快速发展与业务创新。
CSA STAR 包含以下两个组件:
CCM(Cloud Controls Matrix,云控制矩阵)是一个适用于云环境的安全控制和准则列表,
CCM 涵盖 16 个域的基本安全原则,可帮助云客户对云服务的整体安全风险进行评估。
CAIQ(Consensus Assessments Initative Questionnaire, 共识评估倡议问卷),是云服
务提供商进行自评估的调查问卷。
CSA STAR 认证流程包含三个级别,如下:
第一级:自评估
要求根据 CSA 的 CAIQ 和 CCM,发布“应尽职责”评估结果。
第二级:CSA STAR 认证 要求发布和公布由独立第三方机构根据 CSA CCM 和
ISO27001:2013 或 AICPA SOC2(美国注册会计师协会安全标准)执行的评估结果。
第三级:CSA STAR 持续监测
要求发布基于 CloudTrust 协议的安全属性监测结果。
目前,国内各大云平台都在努力争取通过 CSA STAR 认证。比如:阿里云、腾讯云都
已相继获得 CSA STAR 金牌认证。
