NSC2014國家信息中心信息與網絡安全高級顧問章恒
責編:rhliu |2014-10-24 13:35:23構建云計算信息系統風險評估指標體系
非常感謝大家能在百忙之中參加這次網絡安全大會,來聽我的演講。我是國家信息中心信息網絡安全部高級顧問章恒,我給大家分享的內容是《構建云計算環境的安全檢查與評估指標體系》。
我們的國家信息中心信息于網絡安全部其中一個主要的業務是針對于國家、政府機關、企事業單位還有一些國企,對他們的信息安全系統提供檢查評估和咨詢的服務。在我們提供這種服務的同時,我們的服務對象通過這幾年來的觀察也在潛移默化的發生一些變化。從最開始的設備、人員都歸我來管,機房也是在我這里,設備也在我這兒,誰提供服務的誰就來管這些設備和機房,這時候物理環境和管理方面界限是非常明確的。到后來有些單位開始租用了IDC機房進行了設備的托管,這時候我們發現有些他們管理的邊界就慢慢變得模糊了,但是這時候物理邊界相對來說還是清晰的。再到后來,尤其是最近幾年來,隨著云計算產業的快速發展,有些企業把他們的一些應用慢慢往云上面轉移,這個時候我們就發現,不光是管理方面,物理邊界方面也漸漸變得開始模糊了,所以這就對我們下面的安全檢查和評估工作提出了新的要求和挑戰。下面我就我們國家信息中心在這方面所做的工作給大家做一個簡要的介紹。
首先明確一下我們需要檢查和評估的目標是云計算。云計算從產生到現在定義非常多,粗粗的搜了一下,最少有一百多種。但是目前來說,得到大家比較認可的,相對來說權威一點的定義是美國國家標準技術研究院做了這樣一個定義,它把云計算概括歸納為5種基本特征、3種交互模式和4種部署模式,在我來看,云計算就是一些技術的整合,為企業提供可以快速部署的、彈性的服務。我們檢測的目標應該就是這些采用云計算技術的信息系統,在這里給大家做一個簡單的明確。我匯報的內容大概分為四個部分:一是云安全現狀;二是國內外在云安全方面的規劃、標準和相關要求;三是國家信息中心在指標體系構建方面的一些方法,具體的指標內容在這次大會上就不做具體的匯報了,有機會的話,我們可以再做進一步深入的交流;四是給大家介紹一下國家應對安全工作方面的一些思考。
可以說隨著云計算的產生到發展以來,安全事件是從沒有間斷過。這是我粗粗在網上搜了一下去年影響較大的一些安全事件,從這些安全事件當中可以看出,由于采用了云計算技術,黑客攻擊的目標也慢慢發生了轉移,他們攻擊的目標也變得更加傾向于明確,就是用戶的隱私數據,還有提供服務的這些系統。從云計算的特點來說,這些數據和系統用戶可以采取相應的手段,更容易的來獲取到一些系統的基本信息,這就為我們云計算的安全防護提出了更加嚴峻的一些要求。這是最近發生的,9月1日美國一些女性的裸照在網上被公布,雖然現在具體的原因還沒有進行公布,但是據推測,應該是用戶在云上的隱私數據備份被竊取了。同時俄羅斯一家開發公司也能夠提供這樣一套工具,就是無需用戶的ID帳號情況下,就可以搜集用戶在云端的一些備份數據。前兩天還發生了一件事,就是蘋果iCloud中國區服務器遭受了比較猛烈的攻擊,雖然蘋果向外面宣布說沒有透露較大的隱私泄漏,但是從目前的現狀來說,并不能完全肯定一些用戶的隱私數據沒有被竊取。
對外國內和國外的安全現狀來說,國內在云計算產業方面的發展相對滯后一些,大概是3到5年的一個概念。目前國外的云安全實驗已經處于高發的時期,且出現了很多具有重大影響的事件。另外不同之處在于,目前來說針對于我國云服務的DDoS攻擊相對來說和國外比起來較少。這個里面一個主要的原因就是我們國家在應對DDoS攻擊這方面相應的法規還不是太健全,相應的追責不是太明確,這也給一些黑客在運用這種DDoS攻擊手段,對于國家一些政府機關、國企的對外門戶網站的技術攻擊也有一定的約束。國外在這方面做得相對來說嚴格一些,有相應的嚴格法律規定,如果采用這種攻擊方式的話,將會嚴厲追責。另外一個原因就是國外一些黑客他已經不再滿足于DDoS攻擊這種相對來說簡單的手段,他們會采取一些基于IDG攻擊之類的一些更加高級的手段對系統進行攻擊。無論是國內,在云計算、網絡安全上都是傳統的問題,50%云計算系統網絡方面的攻擊還是針對于傳統的軟件漏洞和配置錯誤。從國內的情況來看,SaaS服務出現的安全問題是較多的,相對來說PaaS和IaaS要少一些。
這是去年權威機構就云計算產業發展方面做的一個調查。這里面有企業用戶對云計算的核心關注度,還有一個就是政府用戶對云計算的核心關注度,這一塊缺少了一個個人用戶的調查。從這個調查情況來看,用戶最關心的問題還是安全問題,比如數據安全,對于企業客戶來說,數據安全、隱私保護、穩定性、可移植性等等,都是用戶所關心的一些主要問題。對于政府用戶來說,他們更關心的方面是數據安全、技術標準和相應的合規性要求。我想這里面雖然沒有列出個人用戶對于云計算方面調查的內容,但是估計也應該在數據安全和隱私保護方面關心的程度要高一些。從這個方面可以看出,安全問題已經成為制約我國云計算產業發展的主要因素。
下面給大家簡單匯報一下國內外針對云計算安全問題一些專利的情況。目前檢索到明確的和云計算安全相關的專利大概是1.8萬多個,其中國外占的比例高達97%,而且是被一些大的IT巨頭所把控著。這就存在著一些主要問題,核心技術全都掌握在國家相關人員的手里面,掌握在國家相關的企業或者國家這種相關的標準機構的手里面,這就給我們國家相關進行云計算部署的時候,購買云計算產品的時候提供了一些問題。比如購買云計算產品的時候,就要考慮這個產品的軟件著作權、專利問題、是否存在漏洞問題,這都是我們要考慮的主要問題,所以說核心問題我們認為還是知識產權問題。
目前來說,國內外云安全戰略的規劃主要是停留在云計算安全規劃的階段,云安全戰略規劃涉及到的內容還是相對來說稍微較少。國家層面最先發布的云計算安全戰略是新西蘭,他們重點關注的是跨境云計算服務的保護措施。再就是歐盟,歐盟也在2012年9月份啟動了云計算方面的安全戰略,他們主要是針對于可信賴的云服務提供商提供認證。2011年2月美國啟動了FedRAMP項目,主要是提供一個長期的主動定期評估的方法和流程。同樣我們國家在”十二五”云安全規劃當中也做了相應的部署,就不做詳細的介紹了。國內外相關的標準化組織在云計算方面相關的標準也在制定過程當中。國外相關的標準機構走得早一步,在標準制定方面相對來說也是領先了我們一步。這里邊主要有國際標準化組織NIST,還有歐洲的網絡信息安全管理局,云安全聯盟,國際電信聯盟等等這些標準化組織,對云計算制定了大量的相關標準。
同樣我們國家在云計算方面標準也在制定過程當中,大部分標準都沒有最后實施,相當于在制定和征求意見過程中。其中信息安標委有兩個標準,就是政府部門云計算服務安全指南和政府部門云計算服務安全能力要求,在9月份剛剛拿到了標準編號,一個是31167,一個是31168,剛拿到這兩個標準編號。公安部的等保評估中心和國家信息中心,阿里云正在著手制定針對于云計算信息系統的安全等級保護相關的標準,這個標準還在制定過程當中。國家對信息系統在設計、建設、驗收和運維過程當中提供了安全方面的要求,主要針對于要定期、及時進行相應的安全檢查和風險評估。
下面給大家介紹國家信息中心在構建云計算環境指標體系方面的工作思路。從前面已有的標準可以看出,所有信息安全的措施和要求還都是一個非常粗力度的,如何定量、定性的分析一個云計算信息系統的安全性,是一個我們大家都比較關注的問題。就像我們桌面360,我們一點就會出現一個得分,這個得分代表什么?或者這個得分里面的細項,什么因素影響這個得分,都會有一個詳細的說明。對于云計算信息系統來說,我們同樣也希望能夠構建這樣一個指標評分系統,通過這個指標評分系統,能夠定量的來評價一個云計算信息系統安全性的好壞。應該說所有我們評價的出發點無非就來自于兩個方面,一個是實際應用環境的一些調研,還有一個就是相關國內外的研究成果,包括發布的一些安全事件。在這個研究的基礎上,我們第一步是要確定云計算環境安全檢查與評估的指標框架體系。框架指標體系確定以后,真得于框架指標體系來進行云計算環境面臨的威脅與風險分析,然后導出云計算環境的安全保護與基本要求,針對于每項要求,結合保護對象、測試方法,給出測評指標項以及判定的標準,下面就是確定各個指標模型的一些打分情況,最后匯總完成指標體系。最后開展業務試點,業務試點的結果給我們這個指標體系構建形成一種反饋,來對我們這個指標體系進行改進,我們下面介紹整體的工作思路就是針對于這方面來做的。
首先就是實際應用環境調研,我們從準備著手這項工作開始到現在一直沒有停止過調研,無論是公有云、私有云還是企事業單位部署的一些簡單的云,而且有些甚至都不能稱之為云,只能是一個虛擬化的環境,我們都做了相應的調研。主要包括服務方面、架構方面、方案方面、設備方面、用戶方面、安全測試方面、事件方面以及用戶所關心的問題,都有詳細的記錄。根據調研結果,我們確定用戶在這方面所面臨的問題是什么,最關心的問題是什么,為我們將來做這種指標提供一個重要的參考。前面也說了,國內外相關的一些標準、研究規劃都是在我們做架構分析的時候主要考慮的因素。其中最為核心的問題就是虛擬化的安全問題,由于采用了虛擬資源池化和動態配置,相對來說為云計算信息系統的安全性增加了一種額外的安全要求,主要表現在三個方面:一是VMM,就是虛擬機監視器的安全風險;二是資源共享所帶來的風險;三是多租戶應用的時候所面臨的數據安全風險。
這是一個虛擬化問題所帶來的安全實例。對于傳統來說,防毒墻、防火墻能夠抵擋一些我們已知的漏洞,直接把漏洞屏蔽到墻外了。但是如果我們在虛擬環境之下部署了一個帶有惡意代碼的鏡像被加載到這個虛擬化的平臺上來以后,它的惡意代碼是不經過這些防毒墻和防火墻的,所以說造成了在同一虛擬平臺下的惡意代碼傳播。當然我這只是舉了一個簡單的實例,主要是想為我們的云安全研究提供一些方向。針對這種情況我們應該怎么防?要花多大的代價來防止這種問題?投入和產出之間的比例我們應該怎么樣掌控?比如最簡單的方法就是不采用虛擬化,采用分歧分析管理,一個安全域可能都部署在同一個物理設備之上。在這種環境下,有沒有必要采用云服務?這是值得我們思考的。在這種環境下,云服務帶來的便利和快速彈性部署的優勢就不再顯現,這就讓我們在成本和安全方面做了一個有效的折中。
在做完調研和國內外相應安全成果分析的基礎上,我們確定了這樣一個指標體系架構。指標體系分為三級目錄,其中一二級目錄參考了CSA云安全聯盟對于云的架構定義,最下面是基礎設施,包括物理環境、設備主機、網絡和存儲。在這個基礎設施上面是虛擬化層,虛擬化層這個名字我認為應該稍微再改一下,應該叫做資源抽象,資源抽象主要提供主機虛擬化、網絡虛擬化、存儲虛擬化和交付與連接的功能。再就是集成與中間件,主要包括操作系統、數據庫、中間件和開發框架,其中操作系統和數據庫還是我們傳統應該考慮的問題。再上面就是應用平臺和數據,同時還有云管理平臺、云環境與云服務的安全管理,這是我們一二級目錄的架構。在考慮整個指標體系的三級參考目錄上,我們想有沒有這樣一種權級,能夠把這些設備的安全控制點全部考慮進來?讓整個系統是一個比較完備的。所以三級目錄我們經過研究以后,參考了NIST.SP.800-5314的18個安全控制項,來控制我們指標體系的三級目標。
這是我們指標體系三級目錄的構成結構,對于上面每一層來說,并不是說下面所有的這些控制模塊在三級目錄上都要包括,有的有,有的沒有,沒有的話我們就是以什么條件來判斷這個控制模塊在這一層上有沒有作用?所有的這些基礎是從云計算環境的威脅與風險分析來導出的。如果是云計算面臨的威脅和風險針對這一層的控制模塊沒有要求的話,我們這一塊就是空的,同樣這個控制模塊在這一層上也不需要。
在架構確定完以后,下一步的工作就是針對云計算所面臨的威脅與風險進行分析。這個主要是來自于一些研究成果和網絡上對外發布的一些安全事件,有一些結果來自于國內一些實驗室的研究內容。我們做了一些簡單的歸納,應該不止這一項,這里面羅列的只是一些舉例,把主要的風險列出來了,還有一些細項沒在這里面過多的進行展開,大家需要交流的話,可以會下再做詳細的一些交流。
在確定了風險以后,構建整個指標體系的下一步工作就是面臨相應風險的時候所應該采取的安全措施。我這里也羅列了一些,包括云服務門戶的安全,多租戶隔離、數據安全、服務水平協議管理等等這些安全措施。這些安全措施為我們將來測評云計算信息系統的時候提供了一定的測評標準,就是我們在做相應測評的時候,對于這種要求有沒有采用相應的安全措施,也是作為一種評判的依據。
有了指標框架,有了威脅與風險的分析以后,下一步的工作我們就是在構建整個指標體系上要導出云計算環境安全保護的基本要求,應該說每一項要求都是要有一個確定落實的對象。所以說在這一層的時候我們又做了一下工作,就是說針對于每一層,對于基礎設施、物理環境和設備來說,都有一個對應的具體產品。因為我們將來所有的要求,所有的措施都是落實在具體的產品之上的。打個比方來說,針對于主機設備身份鑒別,在面臨身份假冒的時候,需不需要去提醒?如果需要的話我們就打鉤,以此導出相應的安全項,這就是我們所有指標項具體的導出辦法。
有了指標以后,下一步的工作就是落實計算模型。指標肯定要有一個判定的分值依據,不應該只停留在指標項,不應該只停留在一個定性的分析上,我們應該針對于每一項指標有一個評分。這個評分是怎么做的?因為所有的指標均來源于相應的保護對象保護的風險,所以打分的基礎也是對應于相對風險項的值。在總體框架下,保護對象是三級的,比如虛擬化層的主機虛擬化訪問控制模塊,我們認為這是一個指標項,我們打分也是針對于這樣一個指標項進行打分。在每一個指標對象上又要考慮三個方面的內容,做風險評估的人都知道,風險評估的打分主要有三個方面的主要依據,包括資產的重要程度、對象的脆弱性以及外部威脅。對象的脆弱性是通過現場評估的檢查結果來的,就是系統本身內部存在的一種安全缺陷。這個安全缺陷是根據我們的要求來得出的,就是說針對于相應的檢查要求,應該得出一個得分。
外部威脅是根據現場一些外部分析的列表來做對應的,同樣也有一個威脅權值的評估。在完成賦值以后,我們就要進行計分,這個計分有多種模式,可以是縱向的,也可以是橫向的,最后的打分不是得出整個系統就是一個評分,每一層都有自己的。可以針對物理環境的訪問控制模塊的身份假冒有一個得分,也可以針對物理環境整個面對身份假冒風險的得分,也可以得出整個物理環境的安全得分,是一個縱橫交叉的得分系統。根據這樣一個縱橫交叉的得分系統來進行分層分權的計分模型,每一層都能夠推導出上層的得分。這是我們其中考慮的一種計分模型的算法,其中威脅這一塊還是一個統計結果,威脅權值是從統計結果得出來的,算法這個不做具體的介紹了,有興趣的話大家可以會后交流。
在整個評分系統完成以后,我們要運行在針對安全系統的信息評估方面,可以對你的方案進行評價,再就是建設方面,遷移、驗收、運維和設計方面,從整個信息系統來說,打分指標在實時的起作用,可以實時評估整個云計算信息系統的安全風險情況。在完成上面一套信息系統以后,我們也開展了一些試點工作。既然是試點,我們想盡量的把單位要涵蓋得全面一些,能夠有一定的普適作用,但是任何時候,所有的指標都不可能是面面俱到的,只可能是會偏重于某一個方面。所以說我們下面的工作也會再進一步進行這些指標,根據試點得出的反饋結果會做一些調整,包括算法上,包括計分模型上,都會做一些調整。
我的演講就到這里,謝謝大家!
