科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全CSA云安全联盟 在发展的角度上看云计算安全问题

CSA云安全联盟 在发展的角度上看云计算安全问题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

第七届云计算大会中的“云计算安全与可信计算论坛”吸引了很多人的目光。诚然,近期国内网络安全事件频发,在云计算进程中也不例外,安全是其中一个重要的考量因素。

来源:ZDNet安全频道【原创】 2015年6月9日

关键字: 第七届中国云计算大会 焦点讨论 CSA 云安全 云安全联盟

  • 评论
  • 分享微博
  • 分享邮件

第七届云计算大会于6月5日完满落下帷幕,大会除了主论坛的精彩演讲,还有一系列的技术专题论坛和行业应用论坛,其中的“云计算安全与可信计算论坛”吸引了很多人的目光。诚然,近期国内网络安全事件频发,在云计算进程中也不例外,安全是其中一个重要的考量因素。

第七届云计算大会第三天的主会上,CSA云安全联盟创始人兼CEO Jim Reavis曾举例说:“如果我是7岁的孩子,父亲会鼓励我到外面去玩,那么母亲就会说‘要注意安全’,不管做什么,都要安全第一。CSA云安全联盟就是母亲的角色,保证大家在云操作方面更加的安全。”

CSA云安全联盟 在发展的角度上看云计算安全问题

CSA云安全联盟创始人兼CEO Jim Reavis

 

Jim Reavis说,根据调查,在北美很多大型的企业都会有800-1000多个数据中心服务器来搜集信息,安全方面所做的预算或者付出的资金可能只占投入资金的10%,预测5年后,一些大型公司在IT系统方面一定在云方面非常领先,他们大部分的设备都是在云端建立起来的,而非自己的设备,但在他们组织内部就可以进行直接的管理。Jim Reavis表示,面对安全带来的挑战,需要进行教育,提供一些资质,获得一些认证,才能保证云更加的安全。

在此后的云计算安全与可信计算论坛上,CSA大中华主席、华为首席网络安全专家,同时也是西安交通大学教授李雨航,以“云计算2.0时代的网络空间安全”为题发表了演讲。

CSA云安全联盟 在发展的角度上看云计算安全问题

云安全联盟全球首席战略外交官 李雨航

 

目前,很多企业等只是把一些非敏感的应用搬到云里,很多真正的IT关键的应用实际上还没有向云计算全部转型,但云计算对很多创业公司是有吸引力的,云计算的优势能够在一些中小公司、创业公司中体现出价值。现在随着云计算技术的不断发展,越来越多的企业以及其他社会单位考虑将自己的关键业务放在云端运行,这也带来一个问题就是安全问题,黑客和破坏者们开始将目标瞄向云端了,而云端安全技术显然还没跟上云计算的发展。

这种新的商务模式和安全技术之下,安全的问题是更加严重,在云计算不断前进发展的同时,我们不能忽视云计算安全技术的跟进。在网络空间主要的安全挑战是面临几个方面,主要有外国间谍机构的监听和网络攻击以及内部的泄密,最后是新技术带来的安全挑战。李雨航认为,要解决云安全的问题,必须解决整个网络空间的安全的问题,云安全是网络空间安全的一个子集。

云安全联盟总结的九大云安全威胁:

  • Data breaches
  • Data loss
  • Account or service traffic hijacking (账号劫持或服务流量劫持)
  • Insecure interfaces and APIs (不安全接口/应用程序接口)
  • Denial of service (拒绝服务攻击)
  • Malicious insiders
  • Abuse of cloud services (滥用云服务)
  • Insufficient due diligence
  • Shared technology vulnerabilities (共享技术中的漏洞)

李雨航表示,网络安全顶层架构应该划分成6个维度,包括国际战略、国家法律、行业标准、管理流程、技术工具以及人才培训六点。当然,此架构可以有各种划法,这种划法可以作为一个指导,指导实践。

首先在国际战略层面,云安全是网络安全的一个子集,受网络安全的影响,网络安全又是国家安全的一部分,国家安全又是整个国家战略的一部分,现在全球大概有40多个国家都有了自己的国家网络安全战略,中国亟需发展此战略。

法律层面上,我们很多安全的工作是通过法律的制定和执法来完成的。在网络空间实际上也是类似的,亟需相关法律的制定,可以借鉴欧盟和加拿大的《隐私法》。

行业标准层面上,现在网络空间很多是以ICT产品来搭建的,加之全球化的影响,很难用一家的产品或者一个国家的产品来搭建本国的网络空间。对此,我们可以建立国际互认的认证认可制度,把国际认证当做国际ICT产品认证的通行证,现在在产品的安全认证这方面有CCM的例子。

在管理流程方面,有一个说法叫七分管理、三分技术,流程管理在信息安全、网络安全里边起到了非常重要的作用。怎么样把有安全保障体系、产品的安全质量做到有保障?需要管理流程来进行保证。在云计算时代我们需要加紧运维,把产品和方案变成服务,像以前的初步式的流程,刚才微软有讲过微软的SDL开发流程,在云计算的流程下对后边服务这一块还没有覆盖到,这个管理方面我们也需要新的思维。

最后是人才的培育,现在网络安全方面的人才奇缺,如果我们还不作为那以后网络安全会面临青黄不接的境况。要解决这个问题,我们要对人才培育有计划地来开展一些工作。这里边就分了不同的教育,比如说对云计算的用户有些基本安全知识的教育,包括手机的用户,还有对初级的安全人才、专业的安全人才和已经在职有经验的,都要有不同的培训的内容,还有攻防大赛,可能都是对这种专门做安全测试、安全渗透专业人士等于是一种竞争展示的机会。

云安全联盟为了解决下一代云计算安全也做了很多工作,例如针对物联网,还有智能手机加入云计算的形态系统后实施的一个动态边界。李雨航介绍到,这个中心思想就是把网络空间里面的节点全部隐藏,黑客根本就看不见,你看不见就没有办法攻击。我们这套系统已经做出来了,去年在云安全联盟的大会上都拿出来让大家进攻,这个进攻到现在已经有大概100亿次,没有人能够攻破。

李雨航补充到,另外云安全联盟的量子安全有三大块,包括量子计算,量子通讯和量子加密。量子加密就是一种方法,它在理论上量子加密是绝对安全的,它是由三个物理定律来进行保障的。除此以外云安全联盟还涉及到移动应用安全以及物联网安全,CSA现在还有一个CSA STAR的项目,是基于安全控制的一个系统的协议,来涉及整个行业,另外一个领域是虚拟私有云。CSA安全联盟已经拥有了技术,知道在哪里放密钥、在哪里加密,来确保合适的方法进行部署。

CSA云安全联盟现在在做的一项重要工作是SDP(软件定义边界),这个是源于情报部门和军事部门,通过创造一个开源的模式来实现,它共包括5层的安全控制,把这个控制数据流以一种非常一致的方式分离出来,也就是说在中间会有一个够虚拟的控制器。

李雨航总结到,安全性和隐私性是普及云计算的关键。目前云计算还没有普遍达到为用户储存高机密数据和高敏感隐私的安全标准,我们将继续开展工作以消除广大用户(包括政府、企业和个人)所承担的风险和明确各机构的义务。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章