压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

北大國(guó)信云計(jì)算安全實(shí)驗(yàn)室主任章恒跟我們分享一下”云計(jì)算安全風(fēng)險(xiǎn)研究與測(cè)評(píng)實(shí)踐”。

章恒：各位來(lái)賓下午好！今天下午公安部李明博士給大家介紹了國(guó)家層面云計(jì)算安全方面的一些要求，接著阿里、百度、京東介紹了云計(jì)算安全方面的解決方案和流程，是否做到這些就安全了呢？是否安全自己說(shuō)了不算，下面國(guó)家測(cè)評(píng)團(tuán)隊(duì)出場(chǎng)做一些事情。

北大國(guó)信云計(jì)算安全實(shí)驗(yàn)室是由北京大學(xué)和國(guó)家信息中心聯(lián)合創(chuàng)辦的一個(gè)實(shí)驗(yàn)室，國(guó)家信息中心在信息安全方面做了大量的工作，包括測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等等，積累了大量的實(shí)踐經(jīng)驗(yàn)，而北京大學(xué)在云計(jì)算安全方面也積累了大量的研究成果，我們經(jīng)過(guò)前期接觸、磨合，成立這樣一個(gè)實(shí)驗(yàn)室，其主要目的也是為了在咱們國(guó)家云計(jì)算安全測(cè)評(píng)方面能夠達(dá)到領(lǐng)先水平。另外一個(gè)目的，國(guó)家在云計(jì)算安全方面或在信息安全方面的人才是急缺的，也正好是我們這個(gè)實(shí)驗(yàn)室建立的目的、初衷，北大國(guó)信云計(jì)算安全實(shí)驗(yàn)室有攻防實(shí)訓(xùn)平臺(tái)，可以在這個(gè)平臺(tái)上進(jìn)行實(shí)戰(zhàn)演練，為社會(huì)、為企業(yè)輸送信息安全方面的人才。

北大國(guó)信云計(jì)算安全實(shí)驗(yàn)室的LOGO從上半部分代表Cloud，下面C代表computer，中間S是security，整個(gè)LOGO像一個(gè)陰陽(yáng)太極圖案，表達(dá)了中國(guó)太極功夫?qū)ο裨七@種飄浮不定的控制力。

云計(jì)算及安全發(fā)展現(xiàn)狀

2015年中國(guó)云計(jì)算發(fā)展調(diào)查報(bào)告-公有云。如圖代表IAAS應(yīng)用，綠色代表SAAS應(yīng)用，中間代表PAAS應(yīng)用。從2002-2015年上半年，SAAS的應(yīng)用比較多，IAAS應(yīng)用增長(zhǎng)比較快，PAAS應(yīng)用占比較少，而且發(fā)展也不是太迅猛。如圖對(duì)我們用戶(hù)調(diào)查結(jié)果，大部分用戶(hù)習(xí)慣把自己業(yè)務(wù)往云計(jì)算平臺(tái)上遷移，只有少量用戶(hù)是在減少或不清楚。如圖用戶(hù)所關(guān)心的方面，如是否有比較優(yōu)化的安全策略，是否有聽(tīng)過(guò)第三方安全測(cè)評(píng)等等億，用戶(hù)關(guān)心產(chǎn)品是否經(jīng)過(guò)第三方安全和質(zhì)量測(cè)評(píng)是他們關(guān)心的最主要的一個(gè)方面。安全性已經(jīng)成為用戶(hù)選擇服務(wù)提供商最主要的因素，服務(wù)價(jià)格、服務(wù)穩(wěn)定性、品牌知名度相對(duì)于服務(wù)安全性方面用戶(hù)考慮更多。

2015中國(guó)云計(jì)算發(fā)展調(diào)查報(bào)告-私有云。企業(yè)在私有云上承載的主要系統(tǒng)，企業(yè)信息管理系統(tǒng)占的比重相比較高。

如圖，2014年統(tǒng)計(jì)結(jié)果，企業(yè)用戶(hù)對(duì)于云計(jì)算核心關(guān)注度方面主要集中在幾個(gè)方面：數(shù)據(jù)安全、隱私保護(hù)、系統(tǒng)穩(wěn)定性、可移植性和可用性方面，政府用戶(hù)對(duì)于云計(jì)算核心關(guān)注度方面更多考慮數(shù)據(jù)安全、是否有相關(guān)技術(shù)標(biāo)準(zhǔn)、合規(guī)性。

專(zhuān)利分布。目前大部分核心專(zhuān)利被國(guó)外所掌握，確切地說(shuō)專(zhuān)利是異步是被美國(guó)所壟斷，各種云計(jì)算和云安全方面的專(zhuān)利美國(guó)現(xiàn)有占有97%，而其他國(guó)家占比較低。專(zhuān)利布局方面，大部分專(zhuān)利都集中在傳統(tǒng)IT企業(yè)，如微軟、IBM、思科等傳統(tǒng)的IT巨頭。在國(guó)內(nèi)的浪潮、華為、阿里等也是我們國(guó)家專(zhuān)利主要申請(qǐng)人。

國(guó)外相關(guān)標(biāo)準(zhǔn)。這里不做詳細(xì)一一介紹，會(huì)后大家有興趣可以看相應(yīng)PPT。

國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)。因?yàn)槲覀儑?guó)家電信行業(yè)在云計(jì)算安全方面比較領(lǐng)先，相關(guān)標(biāo)準(zhǔn)制定早一些，他們相對(duì)比較成熟。安標(biāo)委有兩個(gè)主要的標(biāo)準(zhǔn)是去年剛拿了標(biāo)準(zhǔn)號(hào)，GB/T31167-2014，GB/T31168-2014，這兩個(gè)標(biāo)準(zhǔn)是去年拿到標(biāo)準(zhǔn)化的，之前也經(jīng)過(guò)一段時(shí)間征求意見(jiàn)。

等保方面有三個(gè)標(biāo)準(zhǔn)在指定過(guò)程中，云計(jì)算安全要求、云計(jì)算測(cè)評(píng)要求、云計(jì)算安全技術(shù)要求。這三個(gè)標(biāo)準(zhǔn)形成征求意見(jiàn)稿，正在準(zhǔn)備對(duì)外公布。

中央網(wǎng)信辦前幾天發(fā)布了《關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》，騰訊、京東等都是被審查的對(duì)象。

云計(jì)算環(huán)境安全風(fēng)險(xiǎn)場(chǎng)景

管理方面。

機(jī)房放在境外，對(duì)系統(tǒng)中存在的違規(guī)信息無(wú)法取證和采取控制措施；

云服務(wù)方對(duì)云租戶(hù)業(yè)務(wù)數(shù)據(jù)和隱私信息的非授權(quán)訪(fǎng)問(wèn)可能導(dǎo)致用戶(hù)信息的泄露和被云服務(wù)方濫用；云服務(wù)商所雇傭的員工個(gè)人可能竊取或斜路數(shù)據(jù)信息；

未經(jīng)云租戶(hù)授權(quán)的情況下，對(duì)云租戶(hù)的數(shù)據(jù)進(jìn)行備份，制作虛擬機(jī)鏡像和快照，分析系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的審計(jì)數(shù)據(jù)、監(jiān)控信息等，均會(huì)造成云租戶(hù)信息斜路或被濫用；

單一廠(chǎng)商提供所有安全產(chǎn)品，如出現(xiàn)漏洞，可能會(huì)影響很大。云服務(wù)商往往對(duì)使用自己或單一來(lái)源的安全產(chǎn)品（安全廠(chǎng)商），我們認(rèn)為也存在一定安全風(fēng)險(xiǎn)，所以對(duì)于用戶(hù)來(lái)說(shuō)，可以給他們一個(gè)選擇自己安全產(chǎn)品或安全服務(wù)的權(quán)利；

沒(méi)有約定云服務(wù)商和云租戶(hù)的權(quán)限與責(zé)任，如果責(zé)任不明確的話(huà)就會(huì)導(dǎo)致出現(xiàn)問(wèn)題責(zé)任劃分不清，如果造成故障的話(huà)，會(huì)給云服務(wù)商或云租戶(hù)相應(yīng)的借口，這也是導(dǎo)致不安全的風(fēng)險(xiǎn)點(diǎn)；

未約定服務(wù)終止責(zé)任，導(dǎo)致云租戶(hù)信息沒(méi)有完整的返還。云平臺(tái)上用戶(hù)信息大量釋放以后，沒(méi)有完全清零或沒(méi)有完全清楚掉；

云租戶(hù)不能及時(shí)知曉云服務(wù)商相關(guān)的安全事件或威脅，對(duì)系統(tǒng)安全狀況不知情，云租戶(hù)不能確認(rèn)安全措施的有效性。

技術(shù)方面。

攻擊者在云環(huán)境下可訪(fǎng)問(wèn)其他租戶(hù)的虛擬網(wǎng)絡(luò)設(shè)備，虛擬網(wǎng)絡(luò)接口等共享網(wǎng)絡(luò)資源，過(guò)量占用設(shè)備硬件資源或網(wǎng)絡(luò)帶寬；

沒(méi)有足夠的邊界訪(fǎng)問(wèn)控制措施，租戶(hù)之間、租戶(hù)的應(yīng)用系統(tǒng)之間會(huì)產(chǎn)生安全風(fēng)險(xiǎn)；

在發(fā)生虛擬機(jī)遷移時(shí)，安全策略沒(méi)有隨之遷移，導(dǎo)致安全風(fēng)險(xiǎn)；

身份認(rèn)證，云服務(wù)商或云的客戶(hù)端本身存在相應(yīng)安全風(fēng)險(xiǎn)，如果云客戶(hù)端或云終端被控制，也會(huì)對(duì)云服務(wù)平臺(tái)造成一定影響；

安全審計(jì)，目前應(yīng)該要求云服務(wù)商要提供能夠接入第三方審計(jì)的接口，如果沒(méi)有相應(yīng)審計(jì)制度的話(huà)，對(duì)云租戶(hù)的服務(wù)和保護(hù)也是存在相應(yīng)隱患，事后責(zé)任無(wú)法認(rèn)定、無(wú)法追查。

云計(jì)算環(huán)境下風(fēng)險(xiǎn)場(chǎng)景非常多，在這里不能一一給大家介紹，大家有興趣的話(huà)可以會(huì)后看PPT。

在進(jìn)行測(cè)評(píng)標(biāo)準(zhǔn)研究時(shí)，最主要的來(lái)源是要做調(diào)研，通過(guò)調(diào)研過(guò)程中發(fā)現(xiàn)目前虛擬化所帶來(lái)的安全問(wèn)題還是用戶(hù)考慮一個(gè)主要方面，也是我們?cè)谧鰷y(cè)評(píng)時(shí)考慮的一個(gè)主要問(wèn)題。我們?cè)谧隹蛻?hù)調(diào)研時(shí)把用戶(hù)所關(guān)心的問(wèn)題做了羅列，我們做相應(yīng)安全測(cè)評(píng)或做相應(yīng)標(biāo)準(zhǔn)制定時(shí)，都會(huì)對(duì)這些用戶(hù)關(guān)心的安全問(wèn)題做相應(yīng)考慮。

虛擬化安全問(wèn)題：網(wǎng)絡(luò)資源虛擬化、存儲(chǔ)資源虛擬化、計(jì)算資源虛擬化。從虛擬化角度來(lái)看云平臺(tái)：節(jié)點(diǎn)硬件、網(wǎng)絡(luò)物理層、虛擬網(wǎng)絡(luò)層、網(wǎng)絡(luò)協(xié)議、硬件虛擬、操作系統(tǒng)、平臺(tái)、提供計(jì)算、存儲(chǔ)資源池、云計(jì)算服務(wù)提供。我們?cè)跍y(cè)評(píng)過(guò)程中主要按照這種風(fēng)險(xiǎn)點(diǎn)給大家做相應(yīng)測(cè)評(píng)，我們考慮系統(tǒng)脆弱性時(shí)，考慮系統(tǒng)所面臨威脅時(shí)，也是按照這樣一個(gè)層次架構(gòu)給大家做相應(yīng)的測(cè)評(píng)。

截止到2014年12月底虛擬化平臺(tái)漏洞統(tǒng)計(jì)，主要針對(duì)VMware、XEN、KVM。

漏洞成因分類(lèi)分為虛擬機(jī)層面、硬件層面、網(wǎng)絡(luò)層面。

VMware漏洞簡(jiǎn)介，牽涉到具體細(xì)節(jié)問(wèn)題，沒(méi)有必要在這個(gè)大會(huì)上向大家做詳細(xì)介紹，都是可以在網(wǎng)上或相應(yīng)工作看到這樣一些漏洞。

前面介紹比較多的都是大家對(duì)于漏洞的分析，另外一個(gè)我們認(rèn)為在云環(huán)境下主要的風(fēng)險(xiǎn)點(diǎn)在于隱蔽信道，隱蔽信道其實(shí)很簡(jiǎn)單，我們看過(guò)諜戰(zhàn)片，地下組織窗臺(tái)上放了一個(gè)花盆代表安全，不放花盆代表威脅，這個(gè)花盆就是一個(gè)隱蔽信道。在云計(jì)算環(huán)境下，對(duì)于CPU負(fù)載的占用，對(duì)于共享內(nèi)存泄露的分析，都是我們隱蔽信道的來(lái)源。在實(shí)驗(yàn)室對(duì)隱蔽信道分析方面做了大量的分析工作，形成了一些研究成果。

測(cè)評(píng)工具。

檢查表單及集成測(cè)評(píng)工具。

針對(duì)虛擬化的安全檢查及評(píng)估系統(tǒng)。這個(gè)漏洞庫(kù)來(lái)源不是大一的，是來(lái)源于VMware，虛擬產(chǎn)品本身發(fā)布的漏洞，還有來(lái)源于中國(guó)漏洞信息庫(kù)提供的漏洞庫(kù)，還有我們測(cè)試產(chǎn)品自己發(fā)現(xiàn)的漏洞。

面向智能終端APP的用戶(hù)隱私安全檢測(cè)工具。我們認(rèn)為終端安全也是云計(jì)算、云服務(wù)安全的一個(gè)延伸，如果終端不安全的話(huà)，也會(huì)對(duì)云服務(wù)平臺(tái)安全造成一定的影響。

面向云計(jì)算環(huán)境的安全審計(jì)系統(tǒng)。我們主要針對(duì)于云管理平臺(tái)、虛擬化管理軟件，比如像遷移、資源分配、虛擬機(jī)的調(diào)度，通過(guò)后臺(tái)大量數(shù)據(jù)分析、合規(guī)性分析，認(rèn)為它什么樣的操作是危險(xiǎn)的、異常的，都會(huì)通過(guò)安全審計(jì)系統(tǒng)分析出來(lái)。

云計(jì)算環(huán)境等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)工具。在我們國(guó)家相關(guān)標(biāo)準(zhǔn)前提下做的一個(gè)測(cè)評(píng)工具。

北大國(guó)信云計(jì)算安全實(shí)驗(yàn)室構(gòu)建基于云計(jì)算環(huán)境的安全檢查與評(píng)估服務(wù)平臺(tái)。平臺(tái)最下層搭建了異構(gòu)的云環(huán)境，在異構(gòu)的云環(huán)境上是評(píng)測(cè)平臺(tái)，有相應(yīng)的評(píng)測(cè)工具來(lái)做相應(yīng)工作。在這個(gè)評(píng)測(cè)平臺(tái)上面是業(yè)務(wù)管理平臺(tái)，將來(lái)大家如果想對(duì)自己云平臺(tái)或云服務(wù)進(jìn)行檢測(cè)，我們就要提供相應(yīng)的業(yè)務(wù)管理接口與大家進(jìn)行對(duì)接。上面是主要的一些服務(wù)內(nèi)容，企業(yè)的應(yīng)用系統(tǒng)或方案如果在上線(xiàn)之前沒(méi)有完全把握或沒(méi)有經(jīng)過(guò)驗(yàn)證測(cè)試的話(huà)，可以拿到我們這個(gè)平臺(tái)上進(jìn)行驗(yàn)證測(cè)試，我們會(huì)根據(jù)我們的工具、根據(jù)我們?cè)谠朴?jì)算測(cè)試方面的積累，給大家出一個(gè)詳細(xì)檢測(cè)的報(bào)告或一個(gè)說(shuō)明。

APP虛擬化平臺(tái)檢測(cè)工具。有打分、解決方案等其他相關(guān)信息。

針對(duì)虛擬化漏洞平臺(tái)簡(jiǎn)單的滲透，這個(gè)漏洞是CVE-2013-1662。

測(cè)試環(huán)境是Ubuntu 14.04下的VMware Workstation，版本號(hào)為：9.0.1 build-894247。

我們先構(gòu)建了一個(gè)二進(jìn)制文件，對(duì)它進(jìn)行了編譯，然后打開(kāi)終端，將桌面的路徑添加勞改系統(tǒng)的PATH環(huán)境變量中，執(zhí)行”VMware mount-L”命令，可以成功將/etc/shadow文件cat出來(lái)，而終端中單獨(dú)運(yùn)行”cat/etc/shadow”命令是不能成功的。

北大國(guó)信云計(jì)算安全實(shí)驗(yàn)室在云計(jì)算安全檢測(cè)方面的研究，另外是增進(jìn)云計(jì)算方面一些安全人才的培養(yǎng)，普通高校畢業(yè)生在走向社會(huì)或剛畢業(yè)時(shí)對(duì)相關(guān)檢測(cè)并沒(méi)有相應(yīng)的手段，或者大家想練這個(gè)技術(shù)到網(wǎng)上去練，這個(gè)行為也是違法的，我們這個(gè)平臺(tái)給大家提供了一個(gè)環(huán)境來(lái)進(jìn)行相應(yīng)實(shí)戰(zhàn)訓(xùn)練，為企業(yè)提供更好信息安全方面的實(shí)戰(zhàn)人才，不懂得攻擊手段就沒(méi)辦法進(jìn)行相應(yīng)防御。所以我們主要目的還是在防御，而不是在攻擊。另外培訓(xùn)完成以后會(huì)給大家發(fā)相應(yīng)培訓(xùn)證書(shū)，會(huì)提供信息安全攻防技術(shù)人員和信息安全攻防專(zhuān)家的培訓(xùn)證書(shū)，歡迎大家都來(lái)參加我們培訓(xùn)。謝謝大家！