首先我從三個方面開始,一個是包括現在云計算安全現狀與發展,一個業務安全風控產品技術要求簡介,第三個云計算安全白皮書發布。
首先是市場現狀,云安全工作者可能更關注是云安全工作整體市場情況以及開展情況,云安全工作的滯后性是隨著市場環境來體現的,所以說云安全的市場情況和整個云計算市場情況有著緊密的聯系。
半年多來,我們經過相關的安全測試及安全評估,發現了一些比較大的問題,首先比較明顯的問題就是很多大企業安全工作特別被動。在座的很多來賓都是來自于一些云廠商,大家可能特別重視產品,包括提供哪些服務,對于安全這塊大家只是說在思想上重視,但是落實起來還不夠到位。我們也發現這里面有很多問題,在測試中發現現在咱們對對象存儲上存的數據安全性存在問題,包括它是不是有反動、色情的,經過認證和校驗的,很多供應商也對對象存儲功能開發了分享、遠程傳輸功能,這樣對于傳播惡意非法的信息創造了很大的渠道。做網盤的人都知道,現在云服務商在做對象存儲,實現的功能就是網盤的功能,而大家對于網盤的功能和要求不太熟悉,導致我們在開發業務和產品過程中恰恰忽略了一些安全的問題。所以這里我們也提出,我們在做其他的工作過程中還要轉變一些安全思路,因為三同步的原則,包括同步規劃、同步建設、同步使用,把安全的被動工作變為主動。
第二點,目前沒有一個統籌的安全部門,我們接觸過的所有云計算公司的安全部門其實都是一個安全產品部門,是負責對外宣傳安全產品,賣安全產品的一個部門,而并不是像傳統的一些企業,包括我們傳統的運營商,包括一些金融行業有一個專門的安全管理部門,做整體工作的規劃和建設,所以導致有很多安全風險是不可控的。這里面我們也提出了用戶數據泄露風險和截取風險。用戶可以在存儲過程中選擇一些加密算法來進行數據加密,但是在加密過程中可能需要數據解密,解密過程中很多供應商把私鑰分發給用戶,用戶通過私鑰來進行遠程解密。目前采取的方式都是把私鑰從加密機提取出來,分發給用戶,首先這是一個很嚴重的的問題,另外直接會帶來的問題就是,如果私鑰一旦被截取,可能造成用戶的數據完全被竊取掉等風險。因此我們需要建立一個比較系統的、常規的、專業的安全管理,對一些工作進行集中常態化的管理工作,前面主要是在安全管理工作上。
另外一點,我們也發現很多云服務商提供的安全服務都是非常基礎化的,包括目前都提供了云抗擊、云WAF等等,而現在一些比較標桿的企業,可能基于自身的安全能力和自身的防控能力、安全服務能力對外提供的可能更多是特色化服務,包括我們常見的信貸反欺詐、交易反欺詐、內容安全等等功能。
安全現狀2還是一個數據泄露的問題,包括剛才講的很多案例,除了一些技術漏洞導致之外,還有很多從內部,這是我們發現的一些真實的案例。像內部的一些問題,很多大家在做數據備份的時候,很多往往不提供線上功能,而提供線下功能,線下功能很多是由管理員代用戶操作的。線下備份功能有兩種方式,一種比較常見的方式是把你的文件進行傳輸,測試過程中我們已經發現了很多問題,例如后臺管理員可以拿到用戶的文件。另外在安全運維的一些策略上,很多運維人員可以接觸到用戶的信息,包括平臺上的帳號密碼,你初始設置的那些東西,我們后臺都能看到發現了很多問題。另外還有一個最主要的原因,這些用戶的數據可能跟云服務商之間的利益切合度不算特別高,所以導致一些大家已知的安全問題被忽略掉,這是一點,另外隨著安全監管的落實,可能對數據的要求越來越深。
安全現狀3,安全服務模式下安全責任矩陣缺失。首先目前在責任上,公有云講究責任共擔,每一個節點的安全責任或者運維責任是由云服務商和用戶共同來承擔的,這是無可厚非的。但是這里面涉及到一個問題,一旦出現安全事件之后到底是誰的責任?如果我們自己的信息系統數據被泄露了,我們還會去反查,到底黑客怎么進來的,到底是系統漏洞、應用漏洞還是網絡漏洞,是什么問題?還會徹底調查調查。但是在云計算服務模式下,因為服務商和用戶之間所簽有的安全協議是非常松散的,而且目前也沒有具備特別細致的安全監控能力,所以導致很多安全事件發生之后,無法來落實到底是誰責任,也造成一些后期賠償、整改和其他安全工作無法繼續開展。所以基于這種情況,也結合通信行業比較通用的安全責任矩陣的說法,來希望在責任共擔的模式下,通過明確相關的業務流程,把一些關鍵的安全控制點和控制要求更加明確的分工合作,把安全風險降低掉。
為什么叫云安全?這也是我從事云安全工作之后的一個最大誤區,因為我以前是做傳統安全的。我談談我的理解,傳統安全可能比較核心的講究的是運營安全,包括通過在網絡安全、信息安全、應用安全上等等,確保運營安全。在云環境下,除了傳統的運營安全之外,還要保證我們能對外提供一些安全服務,包括我們對用戶提供用戶數據保護服務,包括對一些安全趨勢、安全供給模式的預判,來給用戶提供相關的服務。所以云平臺是兩個層面,一個是運營安全。第二個是基于我們目前的能力,我們能給用戶輸出什么功能,就是結合傳統的服務廠商能做的東西,在云上怎么更好的做一個輸出。
這可能是目前的想法,再結合其他的工作經驗,簡單分析一個圖,可能我們的安全工作從安全標準上到我們的服務支撐體系上、管理體系上等等的圖,也是供大家簡單參考。
安全趨勢,可能作為我們來講,我們可能更關注云安全發展的另外一個動力或者一個方向。其實綜合來說,還是思路不變,還是服務驅動安全,通過安全促進整個業務的發展。最終的結果也是希望達到安全與服務的有效統一融合,因此有一個很好的思路,從安全法中的安全責任角度,來推動一些技術創新和服務創新。因為隨著安全法的落地執行,里面強調了網絡運營者的安全責任,目前在云計算條件下比較尷尬,到底誰叫網絡運營者?云服務商也是網絡運營者,但是上面的用戶也是網絡運營者,出了問題還是前面的問題到底是誰責任的?所以這里面我們感覺到下一步重點的發展趨勢,從大環境上來講可能第一步要進一步優化云安全的體系,堅持云計算下的管理創新、技術創新、保障創新,另外加快國產加密算法在云數據保護中的深度應用,推進云計算安全服務能力的可信評估。隨著市場的擴展,用戶上云,想找一個什么樣的企業上云,可能是用戶特別關注的一點,所以我們這塊也提出了一些安全服務能力的可信評估,通過評估來驗證用戶自身的服務能力包括自身的運營能力,包括對外的服務能力,能提供一個更好的保障。
下面是回歸正題,講講我們的風控技術產品。這里面因為目前云業務安全風控能力已經產生化了,就是我們很多SaaS服務都在提供很多相關的安全服務,這也包括應用安全、騰訊云等等,在阿里云的公網上可以看到很多交易反欺詐的相關要求。關于信貸反欺詐,天翼云也提出了個人和企業信貸風險能力的預判等等。因此針對前面的市場需求包括我們的研究,我們目前針對這五大場景經過多輪討論,目前形成了一個基礎要求,分五個方面。第一個是內容安全,我們對一些文本、圖片、視頻、音頻。然后是針對反欺詐、管理反欺詐、信貸反欺詐、交易反欺詐。目前這些技術要求我們分為兩個等級,一個是基本的,一個是增強級,增強級需要我們這款產品和服務具備的服務功能更加全面,用戶使用更加方便,另外在服務自身安全性和產品安全性保證方面有更高的要求,目前形成大概這五個基礎要求。
我們還沒有形成完全的定稿,之后會再舉行一次討論,也希望感興趣的可以加入我們的群里,大家一起討論一下落地。
下面簡單介紹一下內容,其中標紅的是目前我們定義為增強功能所必須具備的,包括文本識別,我們常見的可能是對一些關鍵詞進行匹配,另外是對于少數民族文字的支持。我們會特定指出常用語種,英語、法語、德語、韓語等等,另外還包括對違規語義的識別。圖片識別上,除了常規的圖片識別之外,我們還要求對圖片中文字的識別,另外對變形圖片的識別。對視頻識別要求更高,除了文本之外,要求對字幕識別,另外還有對非常規尺寸和非場對亮度的識別。音頻識別,基于音頻轉文字的技術跟前面的要求差不多,但是這里面對于音頻轉文字的技術可能有相應的要求。另外還有第五點,違規處置跟蹤,因為目前都是只監控不過濾,因為這里面可能涉及到一個過濾的問題,所以在這種模式下首先我們要提供人工分離審核的規則。
交易反欺詐,功能要求比較簡單,我們全部包含數據識別這塊,沒有基本要求和增強要求的區別,這些要求都是必須滿足的,包括對銀行交易數據的識別、虛假手機號碼、可疑IP等等。關于規則管理這塊也提出了一些特殊要求,包括我們常見的子規則的設置,包括對規則的管控要求,還有業務人員可對規則進行管理和配置,這也是現實中的一個具體需求。在模型管理方面,除了傳統的構建模型和模型調優之外,我們還要求要支持機器學習等等的技術,來支持模型優化。
信貸反欺詐和前面差不多,功能要求比較特出的是信貸業務、信用卡申請業務、其他金融信貸業務。識別能力是支持個人、團伙、企業信貸識別,信貸申請、信貸審核、貸后間寬。身份及行為評估關聯人身份及行為詐騙關聯圖譜,規則管理業務人員規則管理,還有其他技術要求。
最后一個是反釣魚欺詐,目前防釣魚的產品還有很多其他功能,包括對防冒APP、公眾號等。監測范圍除了常見的之外,還包括應用商店、應用市場、微信公眾號等等,傳播手段除了傳統的告警預警,還有一個響應時間相關的要求。
這是針對上面五個系列標準,下面是云計算安全白皮書,現在已經寫完了,也希望大家來參與,大家一塊來討論有問題的地方。下面是二維碼,大家可以下載電子版的云安全白皮書,因為紙質的現在還有三四本,白皮書這塊我們分了幾個類,包括市場發展情況,十大安全風險,安全現狀分析,政策環境,發展建議等等,很多我前面講的一些素材也是基于這個來寫的,大家可以簡單下載一下。
另外我們還推出了其他的工作,這里面我們做了云服務用戶數據保護能力評估的相關認證,這里面包括一些內部安全管控要求和國家相關政策響應的要求等等,目前通過的企業大概有13家,經過了兩批測試。右下角的二維碼是這樣,因為我們前兩批測試,也是屬于摸底的過程,通過摸底也發現我們的評估標準或者策略方法有很多需要改進的地方,因此我也希望各位專家能夠加入到我們的討論群里,咱們一起把這個標準修訂再完善完善,后續我們馬上會開展第三期評估。另外我們也會年度性的對經過評估的用戶,會做年審,也希望大家一起幫我們把這個標準更好地完善起來。
另外還有一項工作是云主機安全能力評估,我們云服務商為用戶提供云主機服務的時候,我們提供哪些功能才能是我們是安全的。這里面有很多要求,我們也是綜合了很多相關的國家標準,還有行標等等,綜合起來來做了一個綜合的測試。目前經過測試的大概是上面這幾家。同樣這個測試我們也經過了三批測試,目前還需要這個標準再進行一次相關的修訂,同樣都希望大家參與進來,一起把這個標準推進一下。
京公網安備 11010502049343號