云計(jì)算服務(wù)主要安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施初探

中國(guó)網(wǎng)信網(wǎng)
鎖延鋒
云計(jì)算技術(shù)作為快速迭代的新興技術(shù),云平臺(tái)在設(shè)計(jì)、應(yīng)用、測(cè)試和部署時(shí)對(duì)安全性考慮仍顯不足,在資源高度集中的運(yùn)行環(huán)境下,云平臺(tái)容易成為黑客的攻擊目標(biāo),與傳統(tǒng)企業(yè)的網(wǎng)絡(luò)環(huán)境相比,云平臺(tái)所面臨的攻擊威脅更大,產(chǎn)生的影響更大。

本文來自中國(guó)網(wǎng)信網(wǎng),文|信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心 鎖延鋒。

近年來,云計(jì)算技術(shù)得到了迅速發(fā)展和廣泛應(yīng)用,受到政府、金融、教育等各行業(yè)單位的青睞,出現(xiàn)了政務(wù)云、教育云、金融云、醫(yī)療云等行業(yè)云服務(wù)型態(tài)。云計(jì)算服務(wù)具有高性價(jià)比、高靈活性、動(dòng)態(tài)可擴(kuò)展、專業(yè)安全服務(wù)保障等特點(diǎn),有效助力了提升管理效率、節(jié)約成本、增強(qiáng)綜合安全防護(hù)能力。與此同時(shí),云計(jì)算服務(wù)也面臨諸多挑戰(zhàn),如云計(jì)算技術(shù)基礎(chǔ)平臺(tái)安全性、云上數(shù)據(jù)的安全管理、云計(jì)算服務(wù)安全專業(yè)人才匱乏等安全風(fēng)險(xiǎn)問題,導(dǎo)致云平臺(tái)數(shù)據(jù)安全事件層出不窮。對(duì)此,我國(guó)對(duì)云計(jì)算服務(wù)的網(wǎng)絡(luò)安全問題高度重視,相繼發(fā)布了一系列相關(guān)政策。

2014年12月,中央網(wǎng)信辦發(fā)布《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》,明確了黨政部門在采購使用云計(jì)算服務(wù)過程中,安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標(biāo)準(zhǔn)不變和敏感信息不出境的基本要求,提出了統(tǒng)一組織黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查、加強(qiáng)云計(jì)算服務(wù)過程的持續(xù)指導(dǎo)和監(jiān)督、強(qiáng)化保密審查和安全意識(shí)培養(yǎng)等基本舉措。

2019年7月,為提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購使用云計(jì)算服務(wù)的安全可控水平,國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部和財(cái)政部聯(lián)合發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》。2021年8月,國(guó)務(wù)院發(fā)布《法制政府建設(shè)實(shí)施綱要(2021-2025年)》提出,要及時(shí)跟進(jìn)研究數(shù)字經(jīng)濟(jì)、互聯(lián)網(wǎng)金融、人工智能、大數(shù)據(jù)、云計(jì)算等相關(guān)法律法規(guī)。

云計(jì)算服務(wù)中的主要安全風(fēng)險(xiǎn)

云計(jì)算技術(shù)作為快速迭代的新興技術(shù),云平臺(tái)在設(shè)計(jì)、應(yīng)用、測(cè)試和部署時(shí)對(duì)安全性考慮仍顯不足,在資源高度集中的運(yùn)行環(huán)境下,云平臺(tái)容易成為黑客的攻擊目標(biāo),與傳統(tǒng)企業(yè)的網(wǎng)絡(luò)環(huán)境相比,云平臺(tái)所面臨的攻擊威脅更大,產(chǎn)生的影響更大。

一、基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)

云計(jì)算基礎(chǔ)平臺(tái)相比傳統(tǒng)IT基礎(chǔ)設(shè)施系統(tǒng)結(jié)構(gòu)更加復(fù)雜,設(shè)備規(guī)模大、應(yīng)用類型多,這給云計(jì)算基礎(chǔ)平臺(tái)安全管理帶來了更大的挑戰(zhàn)。從歷年的安全檢查和安全演練情況來看:部分云計(jì)算基礎(chǔ)平臺(tái)核心軟硬件設(shè)備中仍然存在大量操作系統(tǒng)漏洞、配置錯(cuò)誤、策略失效等高、中風(fēng)險(xiǎn)安全漏洞;各類云管理平臺(tái)、業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)中也經(jīng)常暴露出信息泄露、越權(quán)訪問、跨站腳本等安全漏洞;云平臺(tái)遠(yuǎn)程運(yùn)維模式和身份認(rèn)證機(jī)制在工程實(shí)現(xiàn)中暴露出嚴(yán)重風(fēng)險(xiǎn)隱患;共享物理基礎(chǔ)設(shè)施的不同租戶之間因分離存儲(chǔ)、內(nèi)存、路由等機(jī)制失敗而導(dǎo)致的虛機(jī)跳躍攻擊、側(cè)信道攻擊等案例時(shí)有發(fā)生;通過網(wǎng)絡(luò)釣魚竊取用戶憑據(jù)后進(jìn)行云計(jì)算服務(wù)跟蹤和本地攻擊,最終導(dǎo)致大量數(shù)據(jù)泄露的案例日益增多;云計(jì)算服務(wù)密鑰管理機(jī)制不完善,密碼技術(shù)的合規(guī)性、正確性和有效性得不到保障,一直是云計(jì)算服務(wù)基礎(chǔ)平臺(tái)的安全隱憂。

二、數(shù)據(jù)安全風(fēng)險(xiǎn)

數(shù)據(jù)安全是云計(jì)算服務(wù)安全的最終目標(biāo)之一,與此同時(shí),數(shù)據(jù)安全風(fēng)險(xiǎn)也是用戶選擇云計(jì)算服務(wù)商時(shí)首要考慮的因素,然而從目前情況來看,當(dāng)前云計(jì)算服務(wù)中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)隱患依然很多:數(shù)據(jù)傳輸和共享過程中,數(shù)據(jù)未采取加密機(jī)制或加密機(jī)制存在缺陷,第三方調(diào)用采用明文方式進(jìn)行傳輸,數(shù)據(jù)在同一臺(tái)物理服務(wù)器上不同VM之間通過服務(wù)器內(nèi)部虛擬網(wǎng)絡(luò)進(jìn)行通信時(shí)的數(shù)據(jù)安全防護(hù)機(jī)制考慮不周,這些都可能被攻擊者利用從而導(dǎo)致數(shù)據(jù)信息泄露;云計(jì)算基礎(chǔ)設(shè)施中依然存在大量重要、敏感數(shù)據(jù)未使用加密技術(shù)進(jìn)行保護(hù),給黑客等不法分子帶來可乘之機(jī),導(dǎo)致信息泄露或篡改等行為發(fā)生;云服務(wù)數(shù)據(jù)在遷移過程中,遺留數(shù)據(jù)得不到徹底清除,傳輸數(shù)據(jù)得不到有效保護(hù),備份數(shù)據(jù)得不到合理處置,往往引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn);對(duì)開發(fā)、測(cè)試、生產(chǎn)環(huán)境開放接口管理不嚴(yán)格,而導(dǎo)致數(shù)據(jù)遷移項(xiàng)目中的數(shù)據(jù)泄露案例時(shí)有發(fā)生;云計(jì)算服務(wù)中過度收集用戶個(gè)人信息,違規(guī)使用個(gè)人信息,違反個(gè)人信息保護(hù)法等問題還頻頻出現(xiàn)。

三、供應(yīng)鏈安全風(fēng)險(xiǎn)

目前,國(guó)內(nèi)云計(jì)算服務(wù)平臺(tái)所采用的云管平臺(tái)軟件、服務(wù)器、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)交換設(shè)備和各類應(yīng)用軟件雖已廣泛采用國(guó)內(nèi)廠商供貨,但上述設(shè)備中使用的CPU、內(nèi)存、硬盤、關(guān)鍵芯片方面主要供應(yīng)商仍主要來自美國(guó)、韓國(guó)等境外企業(yè),“芯片斷供事件”給我們敲響了警鐘,這些隱藏在二級(jí)、三級(jí)供應(yīng)鏈中的安全風(fēng)險(xiǎn)在今后一段時(shí)間內(nèi)依然是云計(jì)算服務(wù)商需要持續(xù)關(guān)注的現(xiàn)實(shí)風(fēng)險(xiǎn)。此外,數(shù)字供應(yīng)鏈發(fā)展是未來趨勢(shì),供應(yīng)鏈安全成為網(wǎng)絡(luò)安全體系面臨的重要挑戰(zhàn)。

四、專業(yè)人才匱乏風(fēng)險(xiǎn)

據(jù)最新發(fā)布的《網(wǎng)絡(luò)信息安全產(chǎn)業(yè)人才發(fā)展報(bào)告》顯示,2021年國(guó)內(nèi)網(wǎng)絡(luò)安全專業(yè)人才累計(jì)缺口超140萬人,而云計(jì)算服務(wù)安全專業(yè)人才缺口更顯突出,在歷年網(wǎng)絡(luò)安全攻防演練活動(dòng)中,由于云計(jì)算服務(wù)安全管理人員意識(shí)不強(qiáng)、技能不足而導(dǎo)致的云平臺(tái)受到社會(huì)工程釣魚攻擊情況時(shí)有發(fā)生,云平臺(tái)技術(shù)人員由于操作失誤、配置不當(dāng)而引發(fā)的網(wǎng)絡(luò)安全事故也屢屢發(fā)生,這些都給云平臺(tái)安全穩(wěn)定運(yùn)行帶來了很大的風(fēng)險(xiǎn)隱患。

五、其它風(fēng)險(xiǎn)

當(dāng)前,考慮到云計(jì)算服務(wù)應(yīng)用場(chǎng)景固有的潛在風(fēng)險(xiǎn),國(guó)家各部門陸續(xù)出臺(tái)了多項(xiàng)監(jiān)管政策和合規(guī)要求,云計(jì)算服務(wù)供應(yīng)商要做好兼顧合規(guī)與風(fēng)險(xiǎn)管控是極具挑戰(zhàn)的事情。另外,種類復(fù)雜多樣的云上應(yīng)用尚缺乏整體統(tǒng)一的安全規(guī)劃和策略,快速應(yīng)對(duì)云計(jì)算新技術(shù)演進(jìn)面臨的風(fēng)險(xiǎn)能力仍存不足。云計(jì)算服務(wù)中數(shù)據(jù)泄露和濫用、數(shù)據(jù)違規(guī)共享等安全管理問題也值得關(guān)注。

云計(jì)算服務(wù)安全風(fēng)險(xiǎn)應(yīng)對(duì)措施

通過對(duì)云計(jì)算服務(wù)中的安全風(fēng)險(xiǎn)分析,可采取以下措施對(duì)云計(jì)算服務(wù)安全風(fēng)險(xiǎn)進(jìn)行防范和持續(xù)改進(jìn)。

一、加強(qiáng)云計(jì)算服務(wù)中技術(shù)和管理安全標(biāo)準(zhǔn)體系研究

據(jù)研究表明,云計(jì)算平臺(tái)中的安全問題絕大部分是傳統(tǒng)IT系統(tǒng)存在的問題(如各類系統(tǒng)安全漏洞),而剩下的安全問題主要來自新技術(shù)架構(gòu)應(yīng)用帶來的安全技術(shù)風(fēng)險(xiǎn),傳統(tǒng)IT技術(shù)機(jī)制在云計(jì)算服務(wù)應(yīng)用場(chǎng)景中產(chǎn)生的技術(shù)風(fēng)險(xiǎn),以及新的服務(wù)模式帶來的安全管理隱患,這些都需要結(jié)合云計(jì)算服務(wù)特點(diǎn)研究制定有針對(duì)性的技術(shù)和管理標(biāo)準(zhǔn)來降低隱患。目前,圍繞云計(jì)算平臺(tái)之間的元數(shù)據(jù)和數(shù)據(jù)交換,不同云平臺(tái)之間的應(yīng)用遷移,云運(yùn)營(yíng)服務(wù)的監(jiān)控、審計(jì)、計(jì)費(fèi)和通告機(jī)制,云計(jì)算服務(wù)中密碼支撐體系建設(shè)應(yīng)用,云平臺(tái)的業(yè)務(wù)連續(xù)性要求以及服務(wù)水平協(xié)議等,都需要開展研究并逐步形成標(biāo)準(zhǔn)體系以保障云計(jì)算服務(wù)安全。

二、保障云計(jì)算服務(wù)供應(yīng)鏈安全

隨著云技術(shù)和其他新興科技的發(fā)展,供應(yīng)鏈生態(tài)安全日益受到關(guān)注,整個(gè)供應(yīng)鏈生態(tài)環(huán)境的每個(gè)環(huán)節(jié)都需要通力合作,在設(shè)計(jì)研發(fā)、采購、運(yùn)行維護(hù)、日常監(jiān)督階段均應(yīng)關(guān)注供應(yīng)鏈安全問題,一是要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商在系統(tǒng)生命周期的早期階段說明系統(tǒng)中的功能、端口、協(xié)議和服務(wù);二是要求信息系統(tǒng)、組件或服務(wù)的提供商對(duì)供應(yīng)鏈產(chǎn)品開展安全性評(píng)價(jià)工作;三是要求信息系統(tǒng)、組件或服務(wù)的開發(fā)商即使在交付信息系統(tǒng)、組件或服務(wù)后,也應(yīng)跟蹤漏洞情況,在發(fā)布漏洞補(bǔ)丁前便應(yīng)通知云計(jì)算服務(wù)商;四是定期對(duì)供應(yīng)鏈上的服務(wù)商進(jìn)行評(píng)審和論證,要求供應(yīng)鏈的供應(yīng)商遵守信息安全、保密、訪問控制、隱私、審計(jì)、人事策略和服務(wù)級(jí)別要求和標(biāo)準(zhǔn)。

三、加速培養(yǎng)云計(jì)算服務(wù)安全專業(yè)人才

相對(duì)于傳統(tǒng)網(wǎng)絡(luò)安全問題,云計(jì)算服務(wù)中的網(wǎng)絡(luò)安全問題更加復(fù)雜,一旦發(fā)生網(wǎng)絡(luò)安全事件,其造成的影響和破壞性也會(huì)更大。我們需要集中精力在信息安全領(lǐng)域培養(yǎng)更多合格的專業(yè)人員,滿足日益增長(zhǎng)的云計(jì)算安全專業(yè)人員的迫切需求,同時(shí)提升現(xiàn)有從業(yè)人員安全技能,尤其是云計(jì)算安全評(píng)估方面的技能。一方面高等院校在網(wǎng)絡(luò)空間安全人才培養(yǎng)中可通過開設(shè)云計(jì)算安全技術(shù)相關(guān)課程,提升學(xué)生在云計(jì)算安全技術(shù)方面的素養(yǎng),為今后的就業(yè)打下良好的基礎(chǔ);一方面可通過社會(huì)職業(yè)技能教育方式,開展云計(jì)算服務(wù)安全技能集訓(xùn)、考核和認(rèn)證,不斷完善云計(jì)算服務(wù)安全技術(shù)人員培訓(xùn)認(rèn)證體系,培養(yǎng)更多、更優(yōu)質(zhì)的云計(jì)算服務(wù)安全專業(yè)人才。

四、進(jìn)一步夯實(shí)云計(jì)算服務(wù)網(wǎng)絡(luò)安全評(píng)估工作

實(shí)踐經(jīng)驗(yàn)表明,云計(jì)算服務(wù)安全評(píng)估是網(wǎng)絡(luò)安全工作中的重要抓手,是提升云計(jì)算服務(wù)安全防護(hù)能力的關(guān)鍵一環(huán),通過持續(xù)安全評(píng)估可及時(shí)發(fā)現(xiàn)、排除安全隱患,提升云計(jì)算服務(wù)的可控性和安全性。云計(jì)算服務(wù)網(wǎng)絡(luò)安全評(píng)估是依據(jù)國(guó)家云計(jì)算服務(wù)安全評(píng)估辦法和相關(guān)標(biāo)準(zhǔn)規(guī)范,對(duì)云計(jì)算服務(wù)從系統(tǒng)開發(fā)與供應(yīng)鏈安全、系統(tǒng)與通信保護(hù)、訪問控制、配置管理、維護(hù)、應(yīng)急響應(yīng)與災(zāi)備、審計(jì)、風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控、安全組織與人員、物理與環(huán)境安全等方面進(jìn)行綜合評(píng)估。云計(jì)算服務(wù)安全評(píng)估涵蓋了《網(wǎng)絡(luò)安全法》中等級(jí)保護(hù)要求,可滿足物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、管理中心、管理制度、管理機(jī)構(gòu)、管理人員、建設(shè)管理和運(yùn)維管理等十個(gè)方面的等保測(cè)評(píng)要求。云計(jì)算服務(wù)安全評(píng)估還涵蓋了商用密碼測(cè)評(píng)要求,滿足《密碼法》中密碼算法、密碼技術(shù)、密碼產(chǎn)品等方面有相應(yīng)要求。

網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家戰(zhàn)略,相關(guān)責(zé)任和義務(wù)已通過法律形式進(jìn)行明確,網(wǎng)絡(luò)安全工作沒有終點(diǎn),云計(jì)算服務(wù)中的安全工作更顯復(fù)雜。隨著云計(jì)算技術(shù)的快速發(fā)展和廣泛應(yīng)用,云計(jì)算服務(wù)必將會(huì)面臨更多的安全風(fēng)險(xiǎn)挑戰(zhàn),云計(jì)算服務(wù)安全工作需要在國(guó)家、行業(yè)的監(jiān)管引領(lǐng)下,云服務(wù)商、安全解決方案提供商、供應(yīng)鏈企業(yè)、第三方評(píng)估機(jī)構(gòu)和人員培訓(xùn)認(rèn)證機(jī)構(gòu)等共同參與,持續(xù)提升安全防護(hù)能力。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論