以下是現(xiàn)場速遞。(聲明：本稿件來源為現(xiàn)場速記，可能有筆誤和別字，僅供參考)

國家信息中心安全專家 趙睿斌

 

主持人：感謝李總。在云計算的部署中，安全一直是一個大家最為關注的核心問題，可以說，安全決定了云計算的前景。今天我們很高興請到了一位實戰(zhàn)行家，國家信息中心安全專家趙睿斌，趙總將為我們帶來：云安全等級保護關鍵問題探討。掌聲歡迎!

 

趙睿斌：大家好，我是趙睿斌，是國家信息中心的，我看了昨天和今天的日程安排，大家都是講應用，以及云計算的一些相關的問題探討。我今天給大家共同來探討一下云計算在發(fā)展過程中我們所遇到的一些安全的問題。

 

我的匯報提綱分三個點。第一，近期信息安全的熱點事件分析。第二，云等級保護冷卻提升云安全能力。第三，“互聯(lián)網(wǎng)+”時代企業(yè)的安全該如何去選擇?因為我們在座都是CIO，我們對安全還是要接觸到一些的。

 

互聯(lián)網(wǎng)發(fā)展到現(xiàn)在可能會面臨很多的安全，包括黑客攻擊、信息竊取、信息篡改，有大量的木馬、病毒、釣魚鏈接，以及我們最常見的賬號被盜、撞庫，尤其現(xiàn)在手機辦公，手機智能終端被丟失的情況，導致信息泄露。

 

這種情況下，信息安全我們作為企業(yè)CIO該怎么辦?我把上半年從1月份到4月份目前國際上發(fā)生的一些重大的信息安全事件跟大家一起分享一下。

 

這是4月份的時候優(yōu)酷發(fā)現(xiàn)一個11個被盜的中國賬戶中出現(xiàn)了一個優(yōu)酷的相關賬號，它數(shù)據(jù)庫包含了十幾萬的優(yōu)酷的賬戶被盜。優(yōu)酷賬戶被盜，因為優(yōu)酷會涉及到一些付費用戶，VIP用戶，付費用戶，VIP用戶一定跟手機、信用卡、銀行帳號綁定就實名制了，這個賬號一被盜，就會導致大量的信用卡個人信息的泄露，黑客利用相關的撞庫就會跑到別的賬戶上用這個賬戶名撞庫，導致了信息泄露。

 

賬戶被盜舉一個很簡單的例子，2015年12306大致大量的賬號被盜，13萬賬號被盜，現(xiàn)在很多人也沒有更改密碼，因為我們大腦中不可能同時會記住十幾個密碼來回更換，那會把人整瘋的，一般人都會使用2-3個密碼，支付寶、微信、信用卡的密碼，還有京東的一些支付密碼，一般都是2-3個，基本上是比較固化的，這樣黑客用賬戶攻擊很容易能夠進入個人賬號。

 

這個是NSA的武器泄露引發(fā)網(wǎng)絡世界的“核彈危機”，美國安全局有一個方程式黑客組織，使用部分的網(wǎng)絡武器被公開，其中包括可以遠程攻破全球約70%Windows機器的漏洞利用工具。360安全衛(wèi)士官方微博發(fā)布紅色警報，如果我們單位有一些XP系統(tǒng)一定要進行相關的補丁的升級，包括我們國家信息中心也對XP進行及時的補丁更新，要發(fā)布一些，大家把這個東西要注意一些。

 

這個是物聯(lián)網(wǎng)/Linux惡意軟件攻擊數(shù)字視頻錄像機并組建僵尸網(wǎng)絡。有一個黑客發(fā)現(xiàn)中國大陸地區(qū)有70萬個智能網(wǎng)，包括一些相關的家居智能，但是很多人買了這個攝像頭安裝家里，一般都不會更改密碼，還是初始密碼，123456，或者8個1，或者12345678。前兩天網(wǎng)易新聞上轉的，黑客到了這個網(wǎng)站上，通過某個網(wǎng)站然后輸入了相關攝像頭的型號+密碼就能看到某個女主人在家正在做飯，如果我們家里要安裝攝像頭，一定記得要更改初始密碼，包括?？低暎ê芏嗟臄z像頭的密碼，智能家居會越來越多，初始密碼一定要改，改成字母大小寫加數(shù)字，如果記不住放到一個筆記本里頭，否則很容易你的隱私就被別人所窺探到了。黑客應用這個視頻數(shù)據(jù)傳輸會進行DDoS的攻擊，因為很簡單，大量的視頻傳輸?shù)揭粋€網(wǎng)站，很容易把一個網(wǎng)站攻癱了，這是暴露在公網(wǎng)上的很多智能設備密碼沒有修改。

 

網(wǎng)絡安全監(jiān)督機構發(fā)現(xiàn)大型跨國網(wǎng)絡攻擊APT10的攻擊，國外對這個網(wǎng)站攻擊進行了ATP10的攻擊，現(xiàn)在這個ATP主要針對IT、通信、醫(yī)療、能源研究機構的目標，現(xiàn)在一定是一個灰色黑色的產(chǎn)業(yè)鏈進行ATP的攻擊。

 

這是蘋果手機的一個漏洞，蘋果手機在今年上半年有一個WiFi的漏洞，通過這個WiFi黑客從網(wǎng)上能夠繞到蘋果手機登錄到個人手機上，能夠獲得相關的一些內(nèi)容。

 

在過類的安全事件，從前年和去年開始集中在這么幾大類，視頻類，酒店類、金融類、物流類，這些企業(yè)容易受到攻擊，攻擊的目標主要就是黑客產(chǎn)業(yè)鏈。

 

這是黑色產(chǎn)業(yè)鏈的一個設計圖，從制馬開始，進行相關的販馬，然后種馬，信息販賣，流量也可以進行販賣，形成黑色產(chǎn)業(yè)鏈，以相關的肉雞，控制了大部分的肉雞，都可以給種馬的人相關信息?，F(xiàn)在肉雞其實因為家用帶寬的升高，導致我們家用的電腦導致流量的攻擊會越來越大。這是熱點事件跟大家探討一下。

 

下面是我們國家信息安全中心承擔了一個云安全等級保護的工程，GB2239對整個性能的一個標準的補充。云平臺其實在互聯(lián)網(wǎng)時代會面臨更多的安全威脅，因為我們把所有設備都集中在云上了，然后放在云上我們又看不見，摸不著，不像以前單個機房可以看到設備，這樣虛擬機如此之多，對于用戶來講是不知道的，所以云安全面臨的其實是很大的威脅。

 

云計算的四大特點，資源彈性、自動部署、運營高效、按需分配。但是，導致的安全也是不可忽視的。這是一個簡單的云計算系統(tǒng)的邏輯結構，不講了。

 

這是云系統(tǒng)典型的架構，等級保護政策是公安部推的，從2003年開始一直到目前，等保技術目前國內(nèi)的測評機構是162家，從業(yè)人員是6000人到7000之間，這樣對于安全等級保護工作公安部工作量還是做的不錯的。這是等保的一個示意圖。

 

其實面向云計算的時候我們會遇到很多意想不到的事情，包括服務、架構、方案、設備、用戶、安全措施、事件。比如虛擬機如何做安全防護，虛擬機在遷移的時候我們怎么去做按安全防護，以及云計算系統(tǒng)的邊界化的問題，如何做好云計算系統(tǒng)的邊界劃分，如果政府用戶，或者有一些今年銀監(jiān)會對于P2P企業(yè)下了一個文，P2P企業(yè)必須過等級保護。那么，過等保的前提下，一般P2P企業(yè)都會過三級，或者二級，P2P企業(yè)都會把相關系統(tǒng)部署在云上，這種情況下，二級三級邊界如何劃分，如何防止數(shù)據(jù)來回導流，以及如何做好虛擬機的安全防護控制，以及做好虛擬機安全隔離，虛擬機之間如何進行防護，如果進行隔離，如何能夠防治虛擬機的內(nèi)層數(shù)據(jù)不被竊取，就是做云計算我們要考慮很多問題。

 

其實云計算的等級保護研究的意義，2239來講，這個是從計算機系統(tǒng)老的一套過來的。從我們新的來講，云計算的威脅以及國內(nèi)的情況，云計算等保標準比較缺失，測評參考的一些相關準也比較缺失，這樣的情況下，我們國家信息中心承擔了公安部云計算安全等級保護的基本要求，這個基本要求目前網(wǎng)上已經(jīng)能夠查到了，大家上信息安全標準化委員會網(wǎng)站，已經(jīng)試行滿意發(fā)布了，大家有興趣可以看一下基本要求。

 

這個就是我們當時從2014年年底結合這個課題以后做的一些基本情況，信息安全等級保護，云計算基本要求我們?nèi)绾巫鼍帉?，我們怎么給國家做相關的支持。

 

當時的研究路徑，要從使用入手，現(xiàn)在包括企業(yè)，包括政府大量的系統(tǒng)都部署在云上，云上如何去做相關的一些等保的測評，就是從幾個方面，確定云計算環(huán)境安全檢查與評估指標框架，還有云計算環(huán)境面臨的威脅，導入云計算環(huán)境安全保護基本要求，針對每項要求，結合保護對象，測試方法，給出測評指標項等。

 

這個研究的方式其實我們也是從這么幾個點來出發(fā)的。比如說，云服務門戶的如何安全，數(shù)據(jù)安全，虛擬化安全，多租戶如何進行隔離，服務水平協(xié)議管理，云管理平臺的安全，以及底層數(shù)據(jù)的備份。比如云服務門戶安全，云服務門戶安全我們?nèi)绾文軌蜻_到防控制，雙向升溫的鑒別，以及網(wǎng)絡傳輸要進行加密，門戶要防DDoS攻擊，門戶防入侵，用戶流量隔離。數(shù)據(jù)的安全就是如何對數(shù)據(jù)進行加密純屬，多租戶安全，就是多租戶共享的情況下實現(xiàn)資源、環(huán)境、數(shù)據(jù)的隔離，租戶的身份證、訪問控制。還有在虛擬主機上我們該如何進行相關的防護。

 

而對于底層數(shù)據(jù)，我們?nèi)绾芜M行備份，就是多數(shù)據(jù)中心，多資源地的備份，怎么去考慮，以及虛擬機的備份與恢復怎么考慮這個問題，各個租戶之間的數(shù)據(jù)是不是在一個池子里，它進行相關的割裂沒有，A租戶對B租戶的數(shù)據(jù)是不是能夠輕易接觸到，都是我們要考慮的問題。

 

這個就是從這個標準編制的思路來入手的，就是從標準草案來講，我研究如何去編制，對于這個相關意向我們是按照相關逃路來做的。等保是整體分層的，比如物理安全，就是機房、環(huán)境，網(wǎng)絡安全就是網(wǎng)絡參數(shù)，主機安全就是為我們傳輸?shù)闹鳈C，應用安全主要是系統(tǒng)應用安全。

 

應用安全測評內(nèi)容，就是對云服務方、云租戶，各自控制部分進行審計和集中審計，并為數(shù)據(jù)審計匯集接口進行測評。還包括數(shù)據(jù)備份以及數(shù)據(jù)恢復的內(nèi)容，就是我們對于云租戶方的加密方案和解密方案，以及數(shù)據(jù)備份的方案，數(shù)據(jù)加密以后能不能正常遷出，遷出以后怎么解密，解密以后停留的這些數(shù)據(jù)能不能進行恢復，這都是我們對測評的要求要考慮的內(nèi)容。

 

這是云等級保護具體的測評內(nèi)容，舉個例子。從這么幾個，網(wǎng)絡架構、訪問控制、遠程訪問、入侵防范、網(wǎng)絡設備防護、安全審計進行全生命周期的測評。虛擬化網(wǎng)絡資源和網(wǎng)絡拓撲是否及時更新，虛擬化網(wǎng)絡資源和網(wǎng)絡拓撲能不能根據(jù)需求實時變化，這個東西是我們非常關注的一個內(nèi)容。以及測評，資源是的劃分，資源隔離，測評是否開放結果，第三方產(chǎn)品如何進行接入，我們?nèi)绾嗡嚓P的接口進行安全的測評。

 

訪問控制測評內(nèi)容，就是測評虛擬機是否可以非授權訪問虛擬機，虛擬機是不是可以沒有經(jīng)過授權而訪問其他的虛擬機，而訪問控制設備呢?

 

比如入侵防范，對入侵防范以前的傳統(tǒng)設備來講，就是三大入侵防范設備。對于云計算的平臺，是因為云平臺對于不同的租戶提供不同的服務內(nèi)容，對于不同的服務內(nèi)容，比如對等級保護三級來講，如何把虛擬的防火墻，虛擬的入侵防范設備如何達到安全的要求。

 

這是云安全審計的一個測評內(nèi)容，是1234567，尤其從鏡像和快照保護，我講的主要是對于我們標準里頭的一個全生命周期的流程的一個過程。

 

這是云等級保護管理的測評內(nèi)容，其實這個云安全，因為它技術的變化會帶來一些管理的變化，管理的變化不大，但是對變化的要求還是有的。比如系統(tǒng)建設管理，如何對系統(tǒng)管理進行防護，安全方案的測試，供應鏈的測評，這以前我們等保是弱點，對于供應鏈安全如何進行管理，云服務商如何進行管理，尤其像以前2014年的時候我給翻譯了一篇材料，就是美國對供應鏈安全的管理，我們對于供應鏈安全可能是各大云商都會去注意的一個問題。

 

這個是云安全等級保護單元的一個測評，就是我們從云計算安全的系統(tǒng)和以前的老系統(tǒng)進行了對比，比如物理安全這一塊基本上沒有什么變化，網(wǎng)絡安全這一塊有了一個虛擬化網(wǎng)絡設備，主機安全，會出現(xiàn)宿主機，虛擬機。應用安全這一塊變化不大，數(shù)據(jù)安全要去管理數(shù)據(jù)，租戶的數(shù)據(jù)是否是統(tǒng)一管理，還是放在一個資源池里，還是隔離管理，包括虛擬機的鏡像文件，因為業(yè)務數(shù)據(jù)包括隱私，數(shù)據(jù)泄露會影響到租戶的一些情況。

 

系統(tǒng)建設管理，是否有安全風險報告和安全預案，系統(tǒng)運維管理，這里頭提安全評估拔高和安全預案，就是因為《網(wǎng)絡安全法》從去年11月7號開始發(fā)布以后，大量的提到風險評估，就是以后的信息化系統(tǒng)，包括云平臺也好，風險評估可能中央網(wǎng)信辦會作為一個重要的節(jié)點去提出，目前相關部門正在做相關的工作。

 

這是一個云安全等級保護整體的測評，包括安全控制點的測評，層面間的測評，區(qū)域間的測評，測評結論，是整體測評的一個流程。

 

這也是云安全等級保護條款的一個事例，從測評指標，提出一個云計算的基本要求，然后測評指標，你是如何去檢測呢，測試呢，上設備呢，就是一個檢測方法。第二，測評對象，測評對象包括系統(tǒng)管理員，包括關鍵服務器，宿主機、虛擬機，關鍵數(shù)據(jù)庫系統(tǒng)，以及云平臺。然后是測評實施。

 

研究成果，因為承接了相關的等保的一個國家標準，雖然我們后來出了一系列相關的研究標準，包括《云計算實際應用環(huán)境調研報告》 、《云計算環(huán)境威脅與風險分析》，前年開始和去年開始我們國家信息中心一直是國家中央網(wǎng)信辦的支持單位。給公安部的信息系統(tǒng)，《信息系統(tǒng)安全等級保護云計算相關標準》這就是當時給公安部提交的所有文檔。

 

下面跟大家探討一下，“互聯(lián)網(wǎng)+”時代，企業(yè)人群該何去何從。其實做CIO的各位都會碰到這一點，我們這個安全就是說從終端安全、網(wǎng)絡安全、應用安全三大塊。但是，終端安全我們對于網(wǎng)絡控制、終端加密這一塊去做相關的措施。訪問控制包括實名注冊可信人員。云端加密就是數(shù)據(jù)加密，網(wǎng)絡安全這一塊，就是APP如何進行防護，APP防護這一塊從這兩年開始興起，現(xiàn)在智能手機大概人手一臺，很多企業(yè)開發(fā)了自己的APP的應用程序。那么，APP的防護就是如果CIO回去要加強注意一下，APP現(xiàn)在有很多漏洞，APP有底層代碼的一些漏洞，會導致黑客進行相關的一些信息泄露。應用安全，就是我們剛才所說的很多企業(yè)上云了，云端如果進行加密，我們是不是使用了相關的一些系統(tǒng)。

 

這些企業(yè)關注安全事件的發(fā)展，一般從兩個點，可用性安全事件和應用安全事件?？捎眯园踩录侵阜掌鳠o法正常訪問或者使用，危險在線業(yè)務的可用性。包括DDoS攻擊，包括我流量攻擊和應用攻擊，會造成可用性安全事件。比如游戲類的公司，還有P2P企業(yè)的攻擊，因為我們都需要在線操作，P2P的公司我接觸比較多一些，他們的在線網(wǎng)站對應用層要求比較高一些，因為P2P網(wǎng)站需要通過網(wǎng)站客戶隨時進行投資，如果這個網(wǎng)站不能用，損失很大。

 

應用安全事件指服務器的數(shù)據(jù)和業(yè)務內(nèi)容被盜取、業(yè)務信息、用戶信息的安全無法得到保障。網(wǎng)站存在漏洞，被黑客惡意利用，會造成業(yè)務安全事件。如果一個企業(yè)你的業(yè)務數(shù)據(jù)，包括公眾所關注的隱私信息得到泄露，這在人們的心目中會大打折扣，這樣你的業(yè)務會受到影響。

 

目前流行一個DDoS攻擊，DDoS攻擊包括流量攻擊、業(yè)務攻擊，主要是耗費服務器的帶寬資源，導致網(wǎng)絡資源不能被應用，導致不能被企業(yè)自身的系統(tǒng)達到正常工作的狀態(tài)。

 

這是DDoS攻擊的一個示意圖，DDoS攻擊因為打過來流量很多，全球有能夠控制上百萬臺的智能終端，包括物聯(lián)網(wǎng)上的攝像頭，這些攝像頭很容易產(chǎn)生導流，同時被引到IP上，IP上的運營服務器就被堵住，不能使用了。

 

這是DDoS攻擊發(fā)展的規(guī)模，從2013年開始，黑客認為的攻擊方法，網(wǎng)上看也比較簡單，下載一些攻擊程序，攻擊一些流量的服務器有能夠給某個網(wǎng)站進行DDoS攻擊。比如說給網(wǎng)吧進行攻擊，導致大家不能上網(wǎng)，招攬不來客戶，這樣就是一個典型的DDoS攻擊。

 

DDoS攻擊如何去預防呢?我們跟華云安盾共同合作的一個平臺，部署在我們那個地方，DDoS設備有多大，我們跟行業(yè)合作伙伴分析過，現(xiàn)在有時候能達到1T的流量，一般機房是承受不了的。這是公有云的抗DDoS業(yè)務的一個流程。

 

講一個具體的案例，前段時間讓一個朋友從路由器上截取了一個抗DDoS的流量分析圖，將近1T的流量就過來了，而且持續(xù)很長一段時間，我發(fā)現(xiàn)一個公司他們對于相關的一些游戲類的網(wǎng)站進行了一個訪問，這么長的一個流量會導致整體的游戲網(wǎng)站運營不下去。

 

這個是路由器上QPS實時的流量圖，將近好幾分鐘的流量，這樣流量過來，我們?nèi)绾稳ヌ幚恚@么大流量，如何把這個流量導出去，如何讓正常的應用開展，是我們可能以后可能會遇到的問題。

 

這是WAF的應用，WAF一般的單位都會上。這是一個安全的防御機制的截圖，也是實時的，也是前幾天的一個實時截圖。這是兩個，其實從上云流量圖來講，數(shù)字是100G的流量。

 

整體的防御開啟，就是從開啟防護，然后到DNS解析，流量攻擊，為什么講一個例子，大家以后可以遇到這樣的事情，一旦應用打不開，我們采取哪種手段進行訪問，或者去處理。這是一個總體的流量分析，會持續(xù)一段時間。

 

最后，謝謝大家，感謝大家給我半個小時跟大家互動的時間。