7月2日上午， 2019可信云大会在北京国际会议中心隆重开幕。2019可信云大会以“智能云网边，可信创未来”为主题，由中国信息通信研究院主办。北京市燃气集团信息档案中心网络安全工作负责人方铁城出席并以“北京燃气集团云安全实践分享”为主题进行了演讲。

北京市燃气集团信息档案中心网络安全工作负责人方铁城

大家下午好，非常高兴有这样一个机会和大家分享北京燃气集团云安全的实践，希望对大家有一些启发。

我的汇报分为三部分的内容。第一，介绍一下北京燃气集团；第二，对云和云安全的注意事项做一个介绍；最后，把北京燃气集团在云安全方面的实践给大家做分享。

北京燃气集团是全国大的单体城市供应商，在北京市范围也是第一个登录境外资本市场的单位，也是第一个取得高新技术企业资质的企业，第一个单体城市天然气购销量突破百亿的企业，第一个单体城市日天然气购入量破一千万的企业。

下面介绍一下云的分类，云的分类主要分为私有云、公有云，这两种云产生的多云的架构，以及其他云的架构，传统架构下当然是没有相关的一些虚拟化的技术，所有的运维都是在甲方这边负责。

在私有云的架构下可以看到提供IaaS服务、PaaS服务、SaaS服务，在私有云的模式下安全要结合私有云软件提供的安全特性再加上传统架构下安全的特性进行融合，由甲方主导定制这个安全。公有云模式下所有的数据其实是在公有云提供商的数据中心，这个之上搭建相应的一些服务器、操作系统虚拟化、中间件和应用。公有云的模式下安全主要是通过购买方式取得。

当公有云提供给用户这一侧是SaaS这个服务，因此由公有云服务商提供服务的安全性，实际情况可能并不是如大家想的这样，原因在后面会介绍到。跟公有云之间会签订一个合同，在合同里面对甲乙双方进行界定，这个界定不是完全的对等，在后面有详细的介绍。

下面介绍一下云安全的注意事项。第一，不管是采用私有云也好、公有云也好或者是混合云的方式，都必须要符合合规性的要求，法律的遵从性，目前为止来说云这块要符合等保2.0的要求。

第二个需要共同关注的点是安全的投资，私有云的部署方式在安全这块可以跟传统架构进行融合，所以安全的投资主要是买买买。公有云的模式下，公有云是以服务的方式来提供安全，所以说采用公有云的部署方式大家要留够安全的预算。很多人认为公有云方式下资金可能会省，如果从安全的角度来说公有云不一定会省，原因是因为这种服务基本上都是按年收费的。

第三个是架构的安全，不管是采用私有云的模式还是公有云的模式，要保证架构是安全的，是分层的架构，要把安全的因素考虑到。如果采用公有云的方式，只是放了一个网站，不好意思，放了一个网站安全性也需要满足等保2.0的要求，所有分层的安全都必须要具备，所以从架构层面来说都要考虑全面。

下一项就是安全风险的共同要求，这里所指的安全风险是人、技术、流程，不管采用哪种云，对于运维人员、用户、租户、人都是安全的软肋，大家要非常注意这一点，一定把人的风险识别出来进行有效的控制。

在技术层面私有云也好、公有云也好都有相应的技术，这个技术层面要把风险识别出来。

第四个是流程，人有没有按照规定的标准的流程进行操作。

最后一个共同的要求就是数据安全，数据安全这个话题非常大，这里不做详细的介绍。

下面介绍私有云这块主要的注意点：

第一，私有云安全与现有传统的安全架构进行融合，要充分利用传统架构上已经具备的这些安全设备，要与私有云进行充分的融合，达到1+1大于二的效果。

第二，建立一个纵深防御体系，私有云跟传统架构之间有不可分割的关系。

在公有云方面注意的点：第一，甲乙方的责任，包括默认条款和免责条款，还有赔偿的条款，我希望作为甲方来说大家还要非常充分的关注这一点，可能会设置一些默认的条款，不注意看的话可能就直接同意了，包括一些免责的条款。假如说会提出某种情况下进行免责，比如黑客对用户的应用进行了攻击，可能把这一项列成免责条款，大家一定要注意，如果这是免责条款，甲方要追加相应的措施对安全的应用系统进行加强。

第二是安全审计，因为毕竟数据是放在公有云上，不能把数据放在那里不管，必须对数据操作权限的人进行安全审计，这样数据的行为才可控。

下一个是业务形态需要的安全，在公有云上放的是邮件系统，就应具备邮件的防护系统，这个是业务系统所需的方案。

最后一个是安全的回退方案，作为企业来说出现极端的情况下，机房中断了，是不是把公有云切换到另外一个地方，或者退到自己原来的传统架构上，这个还是需要考虑的。

下面说一下等保2.0的云安全，假设对标的三级系统，如果是三级系统包括几个方面：

第一个是安全的通用要求，包括以下十个方面，对所有的安全进行集中的管控。具备符合这些安全通用要求，必须有组织的力量，包括安全的管理中心，包括相关的管理要求。在这里强调一点，在等保2.0里面，在安全通信、网络、安全区域边界和安全计算环境里面新加入了可信计算，相当于在等保1.0的基础上提升了安全标准。

第二是云计算安全扩展要求，我想强调一下关于安全厂商的选择，里面有提到安全水平协议，这里是对双方的职责，包括划分、授权、隐私保护、双方的职责有要求的。意思就是说甲乙双方的云安全这块的职责实际上是双方商定的，假如提供一个PaaS服务，Paas服务不是默认云服务商负责的，是通过甲乙双方合同方式决定的。等保不管具体谁负责，而是看签订合同是如何约定的。

第三部分是北燃云使用的主要架构是私有云的架构，我们会结合传统的安全防护手段进行充分的融合，同时会用大数据的分析技术对整个安全的状况进行安全的运营。

等保2.0之后如果在云上部署了互联互通的应用，要考虑他们的安全性，假如在云上布了物联网，要符合物联网在等保2.0的要求。

接下来介绍一下北燃云平台的建设规划、目标。第一，搭建SaaS作为数字化转型的基础；第二，为企业数字化转型提供全方位的支撑；第三，在云平台上结合大、物、移、智等技术实现北燃云转型的功能。

下面介绍一下SaaS云平台的功能架构，在这个云平台上我们的平台以应用进行解耦，硬件与软件分离、基础设施云化、平台持续演进、核心架构自主掌控、应用快速构建。这里面会建造自己研发的管理平台，包括移动开发的平台，主要目的还是为了支撑上层的SaaS企业级的服务，包括生产的运营客户服务、市场营销、分析决策等功能。

与此同时我们要求建设能够支撑云平台正常运转的支撑能力，这个能力分三块：

第一是安全组织制度体系的建设。刚才在等保2.0里面提出基础的要求里面必须要建立起企业级别的安全的组织、安全的制度体系，包括安全的技术和管理的体系。

第二部分是云平台的安全防护；

第三部分是北燃云使用的主要架构是私有云的架构，我们会结合传统的物理防护的手段进行充分的融合，同时会用大数据的分析技术对整个安全的状况进行安全的运营。

这是北燃云实际的经验，希望对大家有一些启发：

第一是安全组织，燃气集团建立了自上而下、自下而上的安全架构，这个安全架构从顶到底，顶层建立了网络安全和信息化领导小组，这个组长是董事长、总经理任组长，副组长是各相关集团领导，成员包括集团总部各部室、各专业机构负责人，他们负责燃气集团整个网络安全的发展战略、政策。

再下面是网络安全和信息化领导小组办公室，这个办公室的主任是由主管信息化的副总担任，负责信息化相关工作的落实。同时我们把集团各部室和专业机构，以及各分子公司，纳入到整个安全组织，实现安全上传下达。

在安全体系方面燃气集团这边第一遵守等保，第二在2015年通过了ISO27001的体系认证，我们每年会进行认证的循环，通过不断的开展风险评估安全制度体系的建设，来完善整个信息安全的体系。

在云平台基础防护方面我们采用的是私有云的方式，我们会充分的运用云平台本身提供的基础的防护能力，各家的云平台都有自己的特点和专长，这块要充分利用相关的安全措施。比如在云平台方面有私有网络的隔离、VM内存和存储的隔离，虚拟方面有VM异常的防护、VM防火墙等等，主要的点是要充分的利用它。

北燃云会把云平台和现有的安全架构进行充分的融合，主要通过四种方式：第一个是IP可达的设备，会叠加上网络准入、网络杀毒、日志收集、服务器级别的日志收集、网络设备的日志收集、虚拟防火墙日志的收集。

第二是通过串接或者旁挂的方式进行叠加。

第三种是通过镜像，我们对流量进行监控、采集、分析。

第四种方式就是以插件的方式对内容进行迭代，假如说数据库审计会以插件的方式进行叠加。

通过以上所有的内容叠加，包括组织技术体系、管理体系这些云平台本身具备的功能，还有与传统的云安全进行叠加之后，我们对所有的数据进行安全有效的运营。首先是基于已知的安全风险，我们对所有的日志，包括服务器、主机、网络的所有的日志进行搜集，包括网络的流量，核心的流量、边界的流量都会收集，包括各种终端，安全运营从终端开始抓，所有的终端日志的收集。

采集到这些风险之后我们会把它推送给大数据分析平台，在大数据分析平台上建立各种各样的应用场景，通过这些应用场景我们会进行一些可视化的展示，包括做一些关联的分析，通过大数据分析平台所具备的机器学习、深度学习的能力，我们对这些威胁情报，同时也会叠加上一些威胁情报的信息，做一些特征匹配，发现异常。这些异常会进入到应急处置的模块，我们做到短信的收集，包括7乘24小时的值守，现场的预警人员对信息进行初步的判断，判断之后通报给快速应急小组，我们这个小组叫裁决之刃，不通知任何部门的前提下对网络进行中断，所以说能做到这个，原因就是因为有这种组织，有领导的支持才能做到这样的程度。通过快速处置之后第一时间对异常情况进行处置，对故障对应的漏洞进行修复，会回溯这些情况，进行全流量的回溯。

安全应用的最后一部分就是加固和提升，通过应急处置回溯分析之后我们发现缺少一些安全设备，就进行安全设备的升级迭代。

第二对一些安全策略进行调整；

第三对漏洞进行修复；

最后一个就是人员培训，包括考核，人员培训这里面重点说一下，人员培训不光对技术人员的培训，也要对普通的员工进行全方位的培训，从攻防的角度举一个例子，我们的员工收到一个钓鱼邮件，这个终端受到影响后，这个终端可以作为内网攻击的发起端。所以，从集团的角度来看，云安全只是整体安全的一部分，还要充分考虑非常重要的一点，对普通员工进行培训。燃气集团已经连续7年，每年抽出一周的时间对全体员工进行网络安全的宣传教育，我们叫网络安全周，通过一周的时间进行安全的论坛，进行安全的竞赛，进行安全的意识教育，对安全进行一些评比。通过这些有效的手段来充分的提高员工的安全意识。

同时我们对专业人员也是有要求的，包括风险收集，有没有对所有的点进行收集，如果说这些收集点有缺失的话对你来说就是盲区，包括对安全的分析人员也要进行培训，必须要具备一些中级、高级的水平才能对数据进行建模和分析。应急处置人员要具备一定的能力，包括全集团的架构，在裁决之刃发现问题可能通知到分公司信息化的接口人，接口人要具备能力，迅速找到终端，对终端进行断网处置，所有的技术人员都要进行培训。

相对于已知的风险，更可怕的是未知的风险，大部分的企业可能主要还是对已知风险有非常有效的手段。对于未知的风险，第一必须要知道企业的安全管理者是有盲区的，比如可能不知道已经中招了，大家一定要有这个意识。介绍一下攻防演习是非常重要的手段，原因是因为大多数的安全从业者是防守，容易站在防守的角度做安全工作，攻击者的角度来说有攻击者的视角，必须要换一种角度看这个问题。应对未知的风险主要的策略建立纵深的防御体系，减少攻击面，能不开放的端口不开放，采取阻断手段，增加攻击难度。路径设伏；全程监控，对所有的流量进行全程的采集，并且进行保存，一旦发现问题之后可以进行非常有效的回溯。最后对高危的情况进行人工的审计，包括管理员权限的变更，包括数据库的高危的操作，管理员的操作必须要进行有效的人工审计，只有通过人工审计才能发现机器发现不了的未知的风险。

下面介绍北京燃气的分析预警的状态，目前设备日志大概有300+的，包括主机、安全等设备的接入。资产信息大概是VPN、终端、人员、主机大概是6000+的接入，日志量每天超过8亿条，日志量每天达到1.5T，每天收到近百条告警，我们会及时进行处置。

这里列举了分析场景，比如配置错误、违规行为、数据安全，比如主机的暴力破解，通过大数据平台直接发现，如果进入到内网进行暴力行为第一时间可以发现，包括对一些病毒和数据破坏都可以进行发现。

下面举几个案例，第一个是外网扫描，外网对内网进行扫描第一时间进行发现；第二是挖矿病毒的事件，有一台机器中了挖矿的病毒，挖矿病毒有挖矿病毒的特性，通过大数据分析平台可以第一时间监控到，内部人员可以第一时间进行处置；第三外包的项目组人员电脑有病毒，带到内网之后大数据平台也会第一时间发现这个现象，对内网进行随意性的扫描，大数据平台通过规则匹配之后会第一时间进行报警。

内网的主机与恶意域名通讯的例子，今年6月份大数据有一个报警，内网的主机与一个恶意的域名进行通讯，产生了大量的DNS的查询，我们对域名进行了威胁情报的对比，我们认为它中了木马病毒。对于IP地址进行回溯，我们发现除了大量DNS的查询之后，还进行了端口的连接，对内网进行了探测的行为，这样我们认为它是一个木马的行为，整个处理过程大数据分析平台进行报警，快速的小组进行接报，第一时间进行断网的处置。同时根据这个地址和终端的信息找到这个人的位置，我们进行主机的关闭，我们会通知运维单位对这台机器进行病毒的查杀。

总的来说，第一，在云安全这块要符合国家云安全相关的标准要求；第二，根据云的特性进行安全防护；第三，要识别出已知的风险和未知的风险；第四，对所有安全的数据进行收集，以风险的角度进行安全运营，这样才能有效的保护企业的安全。谢谢大家。