风险识别与管控策略

云安全风险识别

云安全联盟CSA（Cloud Security Alliance）是在2009年的RSA大会上宣布成立的一个非盈利性组织。自成立后，CSA迅速获得了业界的广泛认可。云安全联盟致力于在云计算环境下提供最佳的安全方案。自其成立起，云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。

现实中的各种云产品,在服务模型、部署模型、资源物理位置、管理和所有者属性等方面呈现出不同的形态和消费模式,从而具有不同的安全风险特征和安全控制职责和范围。因此,需要从安全控制的角度建立云计算的参考模型,描述不同属性组合的云服务架构,并实现云服务架构到安全架构之间的映射,为风险识别、安全控制和决策提供依据。

根据资源或服务的管理权、所有权和资源物理位置的不同,CSA也给出了不同的云部署模型的可能实现方式及其不同部署模式下共享云服务的消费者之间的信任关系（如图1）。

图1显示,对于私有云和社区云,有多种实现方式,可以和公共云一样,由第三方拥有和管理并提供场外服务(off-premises),所不同的是共享云服务的消费者群体之间具有信任关系,局限于组织内部和可信任的群体之间。

CSA发布的最新版本《云计算关键领域安全指南》,主要从攻击者角度归纳云计算环境可能面临的主要威胁,提出12个关键安全关注域,罗列出了最为常见、危害程度最大的7个威胁,如表1所示。

云计算风险管控平台

云计算风险管控平台希望建设的是一个综合管理平台，这个平台不仅需要对传统网络厂商、安全厂商、服务器厂商、以及数据库、中间件等厂商进行管理，更重要的是这个管控平台必须适应虚拟化的趋势。不但可以对网络的监控、安全事件的采集分析、运维工作流程等统一纳入到该平台中，每个子系统负责不同的方面，除在各个方面提供更为强大的功能外，各子系统又要无缝整合，数据可以在整个系统中进行流转，减少不必要的人工操作，以提高工作效率和运维保障水平。并且可以支持平台的虚拟化， 以及虚拟化服务的支持。

表1 云环境七大安全威胁

首先，是被管IT资源的多样性问题，这些IT资源包括网络设备、安全设备、主机、服务器、数据库、中间件、应用系统等。各类资源都有独立的管理工具，操作不方便，信息无法共享。例如，一些传统的综合网络管理系统可以统一管理网络设备、主机设备，但是在安全管理方面却相对薄弱，而一般的安全管理系统又缺乏基础的网络监控和管理，实用效果不太理想。

其次，对于客户而言，管理IT资源本身不是目标，核心需求是要保障业务和服务的可用性、连续性以及重要信息系统的安全性，因为应用和业务是企业和组织的生命线。这就要求客户建立一套以应用或业务为核心的监控体系，从业务的角度去看待IT设施和服务的运行。

再次，未来的网络发展趋势必然是网络与安全密不可分，很多网络故障都是安全问题引发的，而大部分安全问题都是通过网络传播的。因此，只有将网络管理、安全管理、虚拟化管理有机结合，才能满足云计算平台的实际需要。

漏洞及基线扫描

漏洞是安全界永恒的话题，微软、Adobe、IBM、Apple无不被漏洞所困扰，随着云计算产业的发展，目前漏洞的利用技术迎来了更新的问题。

● 漏洞利用技术的发展:随着技术的不断进步，漏洞的发掘水平和速度一直在提高，而漏洞的利用技术也在不断发展。

● 全球漏洞数量在持续快速增加。

● 应用软件漏洞增势明显。

● 从发现漏洞到攻击程序出现的时间在不断缩短。

● 漏洞可以被购买。

综上所述，漏洞数量在快速增加，漏洞种类越来越多（不仅是操作系统，还有各种应用系统和软件），受到漏洞影响的信息系统也越来越容易遭受攻击——我们正在遭受的漏洞危机在日益加剧。

漏洞扫描的需求：我们对漏洞扫描发现修复的流程也应该随着漏洞利用技术的发展而发展，特别是对于应用漏洞的修复更应该化被动为主动。选择有针对性的漏洞扫描修复工具。

威胁检测

随着云计算平台业务的快速发展，在此过程中如果对于众多的第三方建设与运维人员不加以严格管理的话，云计算平台的建设将会出现新的漏洞与风险。常见的人员安全风险介绍如下。

1.内部人员操作的安全隐患

因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。

2.第三方维护人员安全隐患

无论是内部运维人员还是第三方代维人员，基于传统的维护方式，都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大，运维人员与系统账号之间的交叉关系越来越复杂，一个账号多个人同时使用，是多对一的关系，账号不具有唯一性，系统账号的密码策略很难执行，密码修改要通知所有知道这个账号的人，如果有人离职或部门调动，密码需要立即修改，如果密码泄露无法追查，如果有误操作或者恶意操作，无法追查到责任人。

3.最高权限滥用风险

因为种种历史遗留问题，并不是所有的信息系统都有严格的身份认证和权限划分，权限划分混乱，高权限账号（比如DBA账号）共用等问题一直困扰着网络管理人员，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露，最高权限的滥用，让数据安全变得更加脆弱，也让责任划分和威胁追踪变得更加困难。

4.系统共享账号安全隐患

无论是内部运维人员还是第三方代维人员，基于传统的维护方式，都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大，运维人员与系统账号之间的交叉关系越来越复杂，一个账号多个人同时使用，是多对一的关系，账号不具有唯一性，系统账号的密码策略很难执行，密码修改要通知所有知道这个账号的人，如果有人离职或部门调动，密码需要立即修改，如果密码泄露无法追查，如果有误操作或者恶意操作，无法追查到责任人。

5.违规行为无法控制的风险

网络管理员总是试图定义各种操作条例，来规范内部员工的网络访问行为，但是除了在造成恶性后果后追查责任人，没有更好的方式来限制员工的合规操作。而事后追查，只能是亡羊补牢，损失已经造成。

安全接入

目前随着业务的不断发展，业务系统将变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示，超过70%的安全威胁来自公司内部，在损失金额上，由于内部人员泄露导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。

网络管理员总是试图定义各种操作条例，来规范内部员工的网络访问行为，但是除了在造成恶性后果后追查责任人，没有更好的方式来限制员工的合规操作。而事后追查，只能是亡羊补牢，损失已经造成。

对于内部员工或者第三方的建设与运维人员进行有效的审计与管理，是我们本次安全系统建设的另一个重要需求。