7月2日上午, 2019可信云大会在北京国际会议中心隆重开幕。2019可信云大会以“智能云网边,可信创未来”为主题,由中国信息通信研究院主办。在下午举行的云安全及风险管理论坛上,中国信息通信研究院云大所云计算部工程师吴江伟出席并针对《云服务用户数据保护能力参考框架》和《云计算风险管理框架》进行了云服务安全能力标准解读。

中国信息通信研究院云大所云计算部工程师吴江伟

中国信息通信研究院云大所云计算部工程师吴江伟

感谢大家坚持到现在,我是信通院云大所的吴江伟,今天主要对云服务安全能力系列标准进行解读,《云服务用户数据保护能力参考框架》以及《云计算风险管理框架》,在原有的标准基础上结合一些专家的经验,以及业内的经验,我们对标准进行了修订和新增,可以使各项指标更利于落地,更接地气,更有利于标准的评估:

本次演讲,我主要分三个方面进行介绍:第一云计算安全现状与发展;第二《云计算风险框架》新增指标解读。第三《云服务用户数据保护能力参考框架》新增指标解读。

今天上午云计算部的栗主任已经对我国云服务市场现状进行了简要的介绍,我国公有云市场规模在2018年达到962.8亿元,增速39.2%,其中公有云市场规模达到437亿元,相比2017年增长65.2%,预计2019年到2022年快速增长阶段,到2022年公有云市场预计达到1731亿元。

这个是我国私有云市场规模现状,2018年我国私有云市场规模达525亿,较2017年增长23.1%,预计未来几年保持稳定的增真,到2022年市场规模将达到1172亿。

总体来说我国目前云计算安全处于初步发展阶段,未来的发展空间巨大。云计算安全系列标准需要制定与优化。云计算安全服务可信也持续发展,包括资源服务可信、产品功能可信,以及安全服务能力可信。当下云计算安全与新技术、新应用密不可分,需要以机器学习、大数据分析做为依托,云态势感知也是基于大数据产生的云安全产品。

当今社会云安全成为突出的问题,比如2017年6月,亚马逊AWS共和党数据库中的美国2亿选民个人信息被曝光,云服务商内部管理的问题也日益明显,包括不限于安全运维策略缺陷,运维人员可接触用户的数据。用户数据不切合服务商的利益,忽略长期存在的问题,云服务提供商可能因为自身的利益损害数据的安全。云计算架构下用户数据的所有权和管理权是分离的,当今安全监管日趋严格,各国先后颁布了法律文件,2017年《中华人民共和国网络安全法》生效,安全管理理念也有待提高,需要实现基础安全与云安全的有效统一,安全流程与业务的有效统一,以及监管政策解读与业务发展的有效统一。

经过调研,我国云计算服务商安全能力水平参差不齐,大家有比较重业务、重产品、轻安全的思想,安全长期是被动的状态。比如对一些对象存储来说,很多服务商对对象存储开发了分享、远程传输的功能,服务用户的同时也可能会促使恶意非法信息加速传播。因此提出工作中转变安全思路,推动安全工作同时规划、同时建设、同时使用,变被动为主动。

第二,安全工作碎片化,未建立安全工作统筹部分,用户使用一些加密算法对于存储数据进行加密,解密过程中目前比较普遍的一些方式将私钥加密进行提取,然后分发给用户,用户远程进行解密。如果私钥分发过程当中私钥被截取,用户的数据可能都会被窃取。因此要建立专门的部门开展集中化、常态化、规范化的安全管理工作,提高企业安全运营的健康度。

另外,很多云服务厂商提供的都是比较基础化的安全服务,包括一些云抗击、云WAF、云杀毒的企业,一些标杆企业基于自身的能力和防护能力,对外提供更多的特色化的服务,包括常见的信贷反欺诈、交易反欺诈以及内容安全等功能。

云安全与传统安全有相同点也有不同点,主要不同点由于云计算架构的产生。

相同点,首先目标都是相同的,他们都是要保护信息、数据的安全和完整。

第二保护对象相同、保护计算、网络、存储资源的安全性。

第三采用的技术比较相似,比如传统的加解密技术,安全监测技术等。

不同点:由于云计算的基本架构,他的虚拟化系统自身存在一定的安全危险,攻击者通过一些漏洞窃取虚拟机的资源。云计算架构数据比较集中,事故一旦发生影响范围比较大,后果比较严重。

传统基于物理安全边界的防护在云计算的架构中难以产生有效的使用,基于云的业务模式,数据安全保护应该有更高的要求。云计算的系统一般是相对比较庞大的,一般发生问题及时定位故障比较困难,对于接口的开放性也有一些要求。

并且云计算的数据管理权和所有权是分离的,需要用户和服务商之间在安全方面达成一致。

目前看云安全可以是传统安全的再加工,相当于要加强云平台自身安全防护能力,提升安全运维能力,大化输出安全服务能力,为云计算用户提供比较传统的安全服务。

第二部分主要对云计算的风险管理框架进行标准的解读,云计算风险管理框架已经做了很长一段时间,标准比较成熟,基于原有标准的基础上结合专家的经验和业内的经验,对标准进行新增以及修订。

本标准规定了云计算风险管理框架,针对云计算过程中面临出现的服务不可用,数据丢失、数据泄露等风险提出管理办法。云计算风险处理过程包括:风险评估、风险处置、风险接受、风险沟通以及风险监视和评审的内容。风险评估需要关注云计算的关键点,包括基础设施、网络、计算资源、存储资源、应用业务、数据、管理规范、运维、运营、风险整合划分等进行识别,并对风险管控措施进行识别,根据风险识别最后算出风险概率。最后进行风险的处置,包括风险的转移、包括风险的降低,保持和回避。风险管理过程当中可能循环进行风险评估和处置活动。

云计算风险管理框架设计修订完之后涉及到十大类、62项风险管理能力,全面覆盖云计算关键环节,根据评估指标可以将企业分为基础级、增强级、先进级三个层次,区分企业云计算风险管理能力。

十大类别是:风险管理组织架构、云计算外部管理风险管理、云计算平台风险管理能力、云计算人员风险管理能力、云计算管理流程风险能力管理、云计算合规风险管理能力、云计算业务连续性风险管理能力,科技外包风险管理能力,风险告知与预测和风险处置。标红的是这次评估指标有变化的,可能是整个大类的新增,也可能是大类部分指标的变更。

以下是一些新增和变更的指标项,包括开发管理、测试管理、违规处理、业务连续性计划、应急演练、供应链安全、外包软件开发管理、外包人员管理、风险上报。

其中开发管理指的是因采取一定措施控制开发过程当中的风险,包括但不限于开发计划、需求说明、系统升级说明、软件原代码、以及操作手册和版本的说明等等。

安全策略应用到共享代码和共享服务过程当中,应对代码库和代码管理进行安全策略管理和控制。测试管理指的是控制测试过程当中的风险,比如生产系统与开发系统测试系统应分离,禁止在生产系统中进行测试。

业务连续性计划为应根据业务的性质、规模和复杂程度制定适当的业务连续性计划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;应评估因意外事件导致其业务运行中断的可能性及其影响。

在升级前,框架有8类一级指标,57项二级指标,116项三级指标,升级后,本次评估有10类一级指标,63项二级指标以及122项三级指标。

云计算风险管理框架适用于云计算企业对云计算设计的所有系统、人员、管理进度进行风险管理,帮助云计算厂商控制云计算对外运营的风险,帮助云服务客户选择风险可控的云计算厂商。截止到目前有15家厂商通过评估。

根据本次评估结果统计,基础设施、网络攻击防护、通信线路保护是目前行业的软肋。对于部分云服务商、机房为租用或者集团所属,对机房建设标准掌握程度不够,云环境下物理边界消失,攻击来源复杂,部分云服务商攻击范围能力薄弱。因通信线路发生的故障事故频发,部分云服务商依赖于运营商通信线路进行保护措施。

第三部分我们将对《云服务用户数据保护能力参考框架》进行解读。

数据安全方面,云计算架构与传统IT架构是有本质区别的,在传统IT系统中,用户即服务商,用户和服务商是一个主体,对数据安全保护的目标和利益一致。但是在云计算架构中,用户和服务商分离,成为完全独立的两个个体,数据的所有者和保管者分离,数据的所有权与保管权分离,将引发新的数据安全问题。主要包含三个方面:第一个方面是传统IT系统数据安全问题仍然存在,第二由于不涉及到切身利益,云服务提供商在运营过程当中可能会忽略长期存在的安全问题;第三个方面云服务商可能为了自身的利益用用户的数据做大数据分析之类的活动。

云服务数据类型分为三种:第一是云服务用户数据,第二是云服务提供商数据,第三是云服务衍生数据。

用户数据指云计算服务用户在使用云计算服务的过程中上传、存储、传输、处理和产生的数据。云服务提供商数据指提供商控制的一类数据。例如,访问控制列表、系统日志、操作日志等。云服务衍生数据指指基于云服务用户数据和云服务提供商数据分析得出的数据。

云服务用户保护能力参考框架针对云计算架构下的用户数据安全痛点,从用户的视角出发提出的云计算用户数据保护参考框架,并根据相应的技术要求分为基本级和增强级两个级别。国家视角是指站在国家安全的角度,全面考虑安全性和可控性,重点关注安全管理责任、数据主权、跨境流动等问题。用户视角从用户的切身利益出发,重点关注将数据托管在云端后用户所感知到的安全问题和风险。

目前云服务用户数据保护能力参考框架涉及18大类26项数据安全保护能力指标,全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段。 

以下是本次新增和修改的一些指标项,其中密钥证书的管理,建立一个密钥和证书办法,云服务商可以妥善保护用户的密钥和证书。传输的安全性,是用户访问云服务商的数据传输,还有云服务商后台的数据也应该加密传输。

云服务用户数据保护能力参考框架主要有三个方面的意义:第一,为云计算企业建立规范完备的用户数据保护体系,保障用户数据安全提供指导。第二,为第三方机构对云计算服务提供者的用户数据安全保护能力审查和评估提供依据。第三,为用户选择数据得到良好保护的云计算服务商提供参考。

本次共有13家企业参与评估,增强级的有9家企业,基础级为4家企业,根据本次评估结果统计,每次读写数据一致性校验、国产加密算法、敏感业务操作二次权限认证、自动化审计告警、提供不同安全防护等级的云主机镜像资源,是目前行业中较为薄弱的方面。出于效率方面考量,部分厂商没有进行每次数据读写一致性校验;国产加密算法目前大多在研发配置中,没有对外进行提供;目前对于敏感业务操作,厂商大多是进行二次确认,没有进行二次权限认证;大部分厂商在错误/故障发生后,利用审计日志进行回滚查询,没有定期人工审计操作,不具备自动化审计功能;大部分云服务不提供不同安全防护等级的云主机镜像资源,无法满足用户不同安全防护等级云主机镜像资源的需求。

本次标准的建立得到了广大企业的支持,再次表示感谢,如果各位厂商有想参与数据保护能力的评估或者风险能力的评估,这块是我的二维码跟联系方式,可以通过这个来联系我参与数据保护能力的评估和风险管理能力的评估,谢谢。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-05-09 09:41:10
云资讯 信通院李海花:工业互联网一体化进园区,赋能县域经济高质量发展
工业互联网园区的标识解析体系也可以和5G、边缘计算、工业互联网平台协同推进,加速园区数字化能力的一体化建设和推进。 <详情>
2023-04-06 16:05:53
市场情报 中国信通院“可信软件物料清单(SBOM)主题沙龙”成功召开
会上发布了首批产品维度可信软件物料清单能力评估结果,并邀请多位知名企业代表和技术专家围绕软件物料清单的发展趋势、技术探索等发表了主题演讲,为行业从业者带来更具实 <详情>
2022-12-30 09:45:50
区块链 中国信通院发布《区块链白皮书(2022年)》
白皮书梳理一年来国内外区块链技术、应用、产业发展新动态,阐述以区块链为核心的信任科技体系建设新进展,展望数字经济时代区块链技术应用和产业发展机遇。 <详情>
2022-09-22 10:58:07
运营商 中国信通院:三大运营商1-8月份数据中心业务同比增长15.5%
三家基础电信企业新兴业务收入快速增长,拉动电信业务收入增长5.3个百分点,其中数据中心业务收入同比增长15.5%。 <详情>
2022-06-27 10:04:05
云安全 2022中国信通院首届业务与应用安全发展论坛成功召开!
中国信通院云计算与大数据研究所针对业务与应用安全已开展多项工作,在推动相关标准和评估体系建设的同时,也搭建了面向全行业的业务与应用安全交流平台。 <详情>