NSC2014国家信息中心信息与网络安全高级顾问章恒

构建云计算信息系统风险评估指标体系

非常感谢大家能在百忙之中参加这次网络安全大会,来听我的演讲。我是国家信息中心信息网络安全部高级顾问章恒,我给大家分享的内容是《构建云计算环境的安全检查与评估指标体系》。

我们的国家信息中心信息于网络安全部其中一个主要的业务是针对于国家、政府机关、企事业单位还有一些国企,对他们的信息安全系统提供检查评估和咨询的服务。在我们提供这种服务的同时,我们的服务对象通过这几年来的观察也在潜移默化的发生一些变化。从最开始的设备、人员都归我来管,机房也是在我这里,设备也在我这儿,谁提供服务的谁就来管这些设备和机房,这时候物理环境和管理方面界限是非常明确的。到后来有些单位开始租用了IDC机房进行了设备的托管,这时候我们发现有些他们管理的边界就慢慢变得模糊了,但是这时候物理边界相对来说还是清晰的。再到后来,尤其是最近几年来,随着云计算产业的快速发展,有些企业把他们的一些应用慢慢往云上面转移,这个时候我们就发现,不光是管理方面,物理边界方面也渐渐变得开始模糊了,所以这就对我们下面的安全检查和评估工作提出了新的要求和挑战。下面我就我们国家信息中心在这方面所做的工作给大家做一个简要的介绍。

首先明确一下我们需要检查和评估的目标是云计算。云计算从产生到现在定义非常多,粗粗的搜了一下,最少有一百多种。但是目前来说,得到大家比较认可的,相对来说权威一点的定义是美国国家标准技术研究院做了这样一个定义,它把云计算概括归纳为5种基本特征、3种交互模式和4种部署模式,在我来看,云计算就是一些技术的整合,为企业提供可以快速部署的、弹性的服务。我们检测的目标应该就是这些采用云计算技术的信息系统,在这里给大家做一个简单的明确。我汇报的内容大概分为四个部分:一是云安全现状;二是国内外在云安全方面的规划、标准和相关要求;三是国家信息中心在指标体系构建方面的一些方法,具体的指标内容在这次大会上就不做具体的汇报了,有机会的话,我们可以再做进一步深入的交流;四是给大家介绍一下国家应对安全工作方面的一些思考。

可以说随着云计算的产生到发展以来,安全事件是从没有间断过。这是我粗粗在网上搜了一下去年影响较大的一些安全事件,从这些安全事件当中可以看出,由于采用了云计算技术,黑客攻击的目标也慢慢发生了转移,他们攻击的目标也变得更加倾向于明确,就是用户的隐私数据,还有提供服务的这些系统。从云计算的特点来说,这些数据和系统用户可以采取相应的手段,更容易的来获取到一些系统的基本信息,这就为我们云计算的安全防护提出了更加严峻的一些要求。这是最近发生的,9月1日美国一些女性的裸照在网上被公布,虽然现在具体的原因还没有进行公布,但是据推测,应该是用户在云上的隐私数据备份被窃取了。同时俄罗斯一家开发公司也能够提供这样一套工具,就是无需用户的ID帐号情况下,就可以搜集用户在云端的一些备份数据。前两天还发生了一件事,就是苹果iCloud中国区服务器遭受了比较猛烈的攻击,虽然苹果向外面宣布说没有透露较大的隐私泄漏,但是从目前的现状来说,并不能完全肯定一些用户的隐私数据没有被窃取。

对外国内和国外的安全现状来说,国内在云计算产业方面的发展相对滞后一些,大概是3到5年的一个概念。目前国外的云安全实验已经处于高发的时期,且出现了很多具有重大影响的事件。另外不同之处在于,目前来说针对于我国云服务的DDoS攻击相对来说和国外比起来较少。这个里面一个主要的原因就是我们国家在应对DDoS攻击这方面相应的法规还不是太健全,相应的追责不是太明确,这也给一些黑客在运用这种DDoS攻击手段,对于国家一些政府机关、国企的对外门户网站的技术攻击也有一定的约束。国外在这方面做得相对来说严格一些,有相应的严格法律规定,如果采用这种攻击方式的话,将会严厉追责。另外一个原因就是国外一些黑客他已经不再满足于DDoS攻击这种相对来说简单的手段,他们会采取一些基于IDG攻击之类的一些更加高级的手段对系统进行攻击。无论是国内,在云计算、网络安全上都是传统的问题,50%云计算系统网络方面的攻击还是针对于传统的软件漏洞和配置错误。从国内的情况来看,SaaS服务出现的安全问题是较多的,相对来说PaaS和IaaS要少一些。

这是去年权威机构就云计算产业发展方面做的一个调查。这里面有企业用户对云计算的核心关注度,还有一个就是政府用户对云计算的核心关注度,这一块缺少了一个个人用户的调查。从这个调查情况来看,用户最关心的问题还是安全问题,比如数据安全,对于企业客户来说,数据安全、隐私保护、稳定性、可移植性等等,都是用户所关心的一些主要问题。对于政府用户来说,他们更关心的方面是数据安全、技术标准和相应的合规性要求。我想这里面虽然没有列出个人用户对于云计算方面调查的内容,但是估计也应该在数据安全和隐私保护方面关心的程度要高一些。从这个方面可以看出,安全问题已经成为制约我国云计算产业发展的主要因素。

下面给大家简单汇报一下国内外针对云计算安全问题一些专利的情况。目前检索到明确的和云计算安全相关的专利大概是1.8万多个,其中国外占的比例高达97%,而且是被一些大的IT巨头所把控着。这就存在着一些主要问题,核心技术全都掌握在国家相关人员的手里面,掌握在国家相关的企业或者国家这种相关的标准机构的手里面,这就给我们国家相关进行云计算部署的时候,购买云计算产品的时候提供了一些问题。比如购买云计算产品的时候,就要考虑这个产品的软件著作权、专利问题、是否存在漏洞问题,这都是我们要考虑的主要问题,所以说核心问题我们认为还是知识产权问题。

目前来说,国内外云安全战略的规划主要是停留在云计算安全规划的阶段,云安全战略规划涉及到的内容还是相对来说稍微较少。国家层面最先发布的云计算安全战略是新西兰,他们重点关注的是跨境云计算服务的保护措施。再就是欧盟,欧盟也在2012年9月份启动了云计算方面的安全战略,他们主要是针对于可信赖的云服务提供商提供认证。2011年2月美国启动了FedRAMP项目,主要是提供一个长期的主动定期评估的方法和流程。同样我们国家在”十二五”云安全规划当中也做了相应的部署,就不做详细的介绍了。国内外相关的标准化组织在云计算方面相关的标准也在制定过程当中。国外相关的标准机构走得早一步,在标准制定方面相对来说也是领先了我们一步。这里边主要有国际标准化组织NIST,还有欧洲的网络信息安全管理局,云安全联盟,国际电信联盟等等这些标准化组织,对云计算制定了大量的相关标准。

同样我们国家在云计算方面标准也在制定过程当中,大部分标准都没有最后实施,相当于在制定和征求意见过程中。其中信息安标委有两个标准,就是政府部门云计算服务安全指南和政府部门云计算服务安全能力要求,在9月份刚刚拿到了标准编号,一个是31167,一个是31168,刚拿到这两个标准编号。公安部的等保评估中心和国家信息中心,阿里云正在着手制定针对于云计算信息系统的安全等级保护相关的标准,这个标准还在制定过程当中。国家对信息系统在设计、建设、验收和运维过程当中提供了安全方面的要求,主要针对于要定期、及时进行相应的安全检查和风险评估。

下面给大家介绍国家信息中心在构建云计算环境指标体系方面的工作思路。从前面已有的标准可以看出,所有信息安全的措施和要求还都是一个非常粗力度的,如何定量、定性的分析一个云计算信息系统的安全性,是一个我们大家都比较关注的问题。就像我们桌面360,我们一点就会出现一个得分,这个得分代表什么?或者这个得分里面的细项,什么因素影响这个得分,都会有一个详细的说明。对于云计算信息系统来说,我们同样也希望能够构建这样一个指标评分系统,通过这个指标评分系统,能够定量的来评价一个云计算信息系统安全性的好坏。应该说所有我们评价的出发点无非就来自于两个方面,一个是实际应用环境的一些调研,还有一个就是相关国内外的研究成果,包括发布的一些安全事件。在这个研究的基础上,我们第一步是要确定云计算环境安全检查与评估的指标框架体系。框架指标体系确定以后,真得于框架指标体系来进行云计算环境面临的威胁与风险分析,然后导出云计算环境的安全保护与基本要求,针对于每项要求,结合保护对象、测试方法,给出测评指标项以及判定的标准,下面就是确定各个指标模型的一些打分情况,最后汇总完成指标体系。最后开展业务试点,业务试点的结果给我们这个指标体系构建形成一种反馈,来对我们这个指标体系进行改进,我们下面介绍整体的工作思路就是针对于这方面来做的。

首先就是实际应用环境调研,我们从准备着手这项工作开始到现在一直没有停止过调研,无论是公有云、私有云还是企事业单位部署的一些简单的云,而且有些甚至都不能称之为云,只能是一个虚拟化的环境,我们都做了相应的调研。主要包括服务方面、架构方面、方案方面、设备方面、用户方面、安全测试方面、事件方面以及用户所关心的问题,都有详细的记录。根据调研结果,我们确定用户在这方面所面临的问题是什么,最关心的问题是什么,为我们将来做这种指标提供一个重要的参考。前面也说了,国内外相关的一些标准、研究规划都是在我们做架构分析的时候主要考虑的因素。其中最为核心的问题就是虚拟化的安全问题,由于采用了虚拟资源池化和动态配置,相对来说为云计算信息系统的安全性增加了一种额外的安全要求,主要表现在三个方面:一是VMM,就是虚拟机监视器的安全风险;二是资源共享所带来的风险;三是多租户应用的时候所面临的数据安全风险。

这是一个虚拟化问题所带来的安全实例。对于传统来说,防毒墙、防火墙能够抵挡一些我们已知的漏洞,直接把漏洞屏蔽到墙外了。但是如果我们在虚拟环境之下部署了一个带有恶意代码的镜像被加载到这个虚拟化的平台上来以后,它的恶意代码是不经过这些防毒墙和防火墙的,所以说造成了在同一虚拟平台下的恶意代码传播。当然我这只是举了一个简单的实例,主要是想为我们的云安全研究提供一些方向。针对这种情况我们应该怎么防?要花多大的代价来防止这种问题?投入和产出之间的比例我们应该怎么样掌控?比如最简单的方法就是不采用虚拟化,采用分歧分析管理,一个安全域可能都部署在同一个物理设备之上。在这种环境下,有没有必要采用云服务?这是值得我们思考的。在这种环境下,云服务带来的便利和快速弹性部署的优势就不再显现,这就让我们在成本和安全方面做了一个有效的折中。

在做完调研和国内外相应安全成果分析的基础上,我们确定了这样一个指标体系架构。指标体系分为三级目录,其中一二级目录参考了CSA云安全联盟对于云的架构定义,最下面是基础设施,包括物理环境、设备主机、网络和存储。在这个基础设施上面是虚拟化层,虚拟化层这个名字我认为应该稍微再改一下,应该叫做资源抽象,资源抽象主要提供主机虚拟化、网络虚拟化、存储虚拟化和交付与连接的功能。再就是集成与中间件,主要包括操作系统、数据库、中间件和开发框架,其中操作系统和数据库还是我们传统应该考虑的问题。再上面就是应用平台和数据,同时还有云管理平台、云环境与云服务的安全管理,这是我们一二级目录的架构。在考虑整个指标体系的三级参考目录上,我们想有没有这样一种权级,能够把这些设备的安全控制点全部考虑进来?让整个系统是一个比较完备的。所以三级目录我们经过研究以后,参考了NIST.SP.800-5314的18个安全控制项,来控制我们指标体系的三级目标。

这是我们指标体系三级目录的构成结构,对于上面每一层来说,并不是说下面所有的这些控制模块在三级目录上都要包括,有的有,有的没有,没有的话我们就是以什么条件来判断这个控制模块在这一层上有没有作用?所有的这些基础是从云计算环境的威胁与风险分析来导出的。如果是云计算面临的威胁和风险针对这一层的控制模块没有要求的话,我们这一块就是空的,同样这个控制模块在这一层上也不需要。

在架构确定完以后,下一步的工作就是针对云计算所面临的威胁与风险进行分析。这个主要是来自于一些研究成果和网络上对外发布的一些安全事件,有一些结果来自于国内一些实验室的研究内容。我们做了一些简单的归纳,应该不止这一项,这里面罗列的只是一些举例,把主要的风险列出来了,还有一些细项没在这里面过多的进行展开,大家需要交流的话,可以会下再做详细的一些交流。

在确定了风险以后,构建整个指标体系的下一步工作就是面临相应风险的时候所应该采取的安全措施。我这里也罗列了一些,包括云服务门户的安全,多租户隔离、数据安全、服务水平协议管理等等这些安全措施。这些安全措施为我们将来测评云计算信息系统的时候提供了一定的测评标准,就是我们在做相应测评的时候,对于这种要求有没有采用相应的安全措施,也是作为一种评判的依据。

有了指标框架,有了威胁与风险的分析以后,下一步的工作我们就是在构建整个指标体系上要导出云计算环境安全保护的基本要求,应该说每一项要求都是要有一个确定落实的对象。所以说在这一层的时候我们又做了一下工作,就是说针对于每一层,对于基础设施、物理环境和设备来说,都有一个对应的具体产品。因为我们将来所有的要求,所有的措施都是落实在具体的产品之上的。打个比方来说,针对于主机设备身份鉴别,在面临身份假冒的时候,需不需要去提醒?如果需要的话我们就打钩,以此导出相应的安全项,这就是我们所有指标项具体的导出办法。

有了指标以后,下一步的工作就是落实计算模型。指标肯定要有一个判定的分值依据,不应该只停留在指标项,不应该只停留在一个定性的分析上,我们应该针对于每一项指标有一个评分。这个评分是怎么做的?因为所有的指标均来源于相应的保护对象保护的风险,所以打分的基础也是对应于相对风险项的值。在总体框架下,保护对象是三级的,比如虚拟化层的主机虚拟化访问控制模块,我们认为这是一个指标项,我们打分也是针对于这样一个指标项进行打分。在每一个指标对象上又要考虑三个方面的内容,做风险评估的人都知道,风险评估的打分主要有三个方面的主要依据,包括资产的重要程度、对象的脆弱性以及外部威胁。对象的脆弱性是通过现场评估的检查结果来的,就是系统本身内部存在的一种安全缺陷。这个安全缺陷是根据我们的要求来得出的,就是说针对于相应的检查要求,应该得出一个得分。

外部威胁是根据现场一些外部分析的列表来做对应的,同样也有一个威胁权值的评估。在完成赋值以后,我们就要进行计分,这个计分有多种模式,可以是纵向的,也可以是横向的,最后的打分不是得出整个系统就是一个评分,每一层都有自己的。可以针对物理环境的访问控制模块的身份假冒有一个得分,也可以针对物理环境整个面对身份假冒风险的得分,也可以得出整个物理环境的安全得分,是一个纵横交叉的得分系统。根据这样一个纵横交叉的得分系统来进行分层分权的计分模型,每一层都能够推导出上层的得分。这是我们其中考虑的一种计分模型的算法,其中威胁这一块还是一个统计结果,威胁权值是从统计结果得出来的,算法这个不做具体的介绍了,有兴趣的话大家可以会后交流。

在整个评分系统完成以后,我们要运行在针对安全系统的信息评估方面,可以对你的方案进行评价,再就是建设方面,迁移、验收、运维和设计方面,从整个信息系统来说,打分指标在实时的起作用,可以实时评估整个云计算信息系统的安全风险情况。在完成上面一套信息系统以后,我们也开展了一些试点工作。既然是试点,我们想尽量的把单位要涵盖得全面一些,能够有一定的普适作用,但是任何时候,所有的指标都不可能是面面俱到的,只可能是会偏重于某一个方面。所以说我们下面的工作也会再进一步进行这些指标,根据试点得出的反馈结果会做一些调整,包括算法上,包括计分模型上,都会做一些调整。

我的演讲就到这里,谢谢大家!

上一篇:NSC2014知道创宇研究部副总监练晓谦

下一篇:沈逸:沉着应对美国网络安全新攻势