邵國安:云計算環境下的數據安全要求
責編:gltian |2018-06-20 13:59:34摘要:本文介紹了網絡安全的特點、本質及核心內容,全方位的網絡安全應該包括五個維度及要求,在云計算環境下,我們應該怎么做好數據安全及相關建議。
邵國安????國家信息中心高級工程師
在座各位可能有甲方用戶,可能有云計算的開發商、技術總監,你的安全理念決定了你的云計算怎么用得好、怎么好用。習大大說了“理念決定行動”,如果僅就云計算考慮安全問題,安全問題是做不好的,一定要從整體來考慮安全問題,才能把云計算以及云計算環境下的數據安全做好。
習主席的“4.29”講話已經兩周年了。總書記講到的這些有多少是落地的?比如,全天候全方位感知網絡安全態勢。網絡安全的指向和含義是不一樣的。全方位包含哪幾個方位?云計算是不是該考慮?比如,終端安全是不是該考慮?比如,云計算應用該怎么考慮?在座各位都有微信,微信就是一朵云,你不用關心它的安全,那是騰訊公司負責的。但是,在座各位有很多是云計算的建設方,或者是云計算的開發方,你應該怎么考慮安全問題?我作為甲方,我的運算要放到云服務上去,我應該提出哪些要求?作為開發方,你是不是要考慮用戶有哪些要求?怎么滿足用戶的需求?兩年過去了,領導的講話我們是認認真真學精神、轟轟烈烈走過場。在這種情況下,我們怎么落地?
怎么樹立正確的安全的理念,對于你的行動是有密切關聯的。我問大家三個問題:網絡安全的特點是什么?網絡安全的本質是對抗,對抗的背后是什么?網絡安全的核心到底是什么?
網絡安全的特點,它的時效性、復雜性、專業性及不對稱性。你發現了攻擊和問題是必須要馬上處理的,這是時效性決定的。如果是共有云,如果你的網絡沒有連上互聯網,就是專有的私有云,我們不去考慮。只要你連到互聯網,是不是在任何時間、任何地域都可以訪問到?你永遠不知道你的對手在什么時間、用什么方式對網絡發起攻擊。這個結論是正確的。你應該怎么做安全?你的對手都是有國家背景、有組織背景的專業人士,在座各位有多少本事能夠對抗美國的頂級黑客?網絡安全做到最后一定要通過國家的力量,我們應該怎么辦?
我先提出一些問題,給大家介紹一下我的理念。我們可以拿著習大大的講話去找領導要錢。領導是這么說的,按照領導的要求,我們要達到全天候全方位,我要找專業的分析人員和專業團隊,你得給錢。
從安全來說,你首先要保護自己。如果你是做安全的,你永遠不知道你的對手從你這里拿走多少數據。你花再多的錢都不敢拍胸脯說百分之百的安全。這種對抗是組織、國家和個人之間在互聯網上的智力博弈,這種對抗的背后是國家的力量、人才的競爭、技術的競爭,技術是第一定律。在美國能用,在我們這里也能用。問題是我們怎么把全球的先進理念用到我們的網絡安全上面來。
在這種情況下,網絡安全的核心是專業的分析團隊和情報的共享。我們國家現在能做到嗎?大多數的安全廠商都是賣盒子的,賣盒子是基于對抗的嗎?你的電視機不壞,十年也不會找廠家。但是,你買個防火墻,你放到上面去,你如果不找廠商,可能他也不會找你。放上去有用嗎?沒有情報的共享,今天發生了問題,過兩天,同樣的事情在其他地方同樣發生。我們的文化和理念就是大事化小、小事化了,有事情我們自己處理掉,能不報就不報。美國是怎么做的?一類比較重大的安全事件是需要重復研究,通過立法防止此類事件重復發生。
我摘取了美國網絡安全國家行動計劃里面的一段內容,在復雜的網絡情況下,單個機構已經沒辦法應對,不再讓單個機構單獨建造、運行和維護IT設備。也就是集中。這個結論是對的嗎?我認為是對的。我們國家的理念是誰運營誰負責、誰主管誰負責、誰使用誰負責。現在還是這個理念。2007年中辦發27號文,里面講的就是這兩段話。到現在已經15年了,還是這個理念,還是這個要求。我們的安全應該怎么做?
在我的觀點看來,需要重新認知網絡,對網絡安全的常態的實時的監控,而不是設備放在那里不管了。等級保護是網絡安全的最低要求,對于網絡應用、數據的實時監控是你應該做的。
重新認知用戶是什么意思?比如,你是一個公務員,你有一張數字證書嗎?基于單位、基于身份、基于角色的訪問,有多少單位做到了?90%都沒做到。我們是不是應該重新認知用戶?
重新認知流量。如果有異常的流量,是不是應該馬上預警?我們知道嗎?我們基本上都不知道,我只知道上網速度慢了,什么原因造成的?不知道。
要重新認知對手。在互聯網上,只要做安全,一定要從全球的維度來考慮安全問題,只盯著自己的云計算是做不好安全的。你的對手一定是全球的關注你的這些黑客,他們有國家和組織背景。在關注過程中,戰術、技術和過程都是你要關注的。比如,對你進行DDOS攻擊,這是一種戰術,但它的目的未必是把你的網絡搞癱瘓,目的可能是通過挖掘未知的漏洞來獲取你的數據。整個過程是不是我們要必須關注的?
蘇格拉底說“智慧源于對術語的定義”。講到網絡安全,每個人對這個術語的定義都是含糊的。比如,你的產品開發有沒有基于術語和概念的定義?華為公司的所有產品首先把概念和術語定義清楚,再做產品開發,所以華為能走到世界上去。
我們國家所有的文件出來,第一是什么?指導思想。美國政府有一本專門的術語定義,包括歐盟、北約,我們是不是應該好好借鑒?我們國家在這個方面做的特別差。除了國家標準有術語定義以外,其他所有的技術文檔有一張術語定義嗎?基本上沒有。
隨便舉一個例子,我們講的網絡攻擊、信息跟美國人的定義是不一樣的,腦子里想的也不一樣。在全球一體化的網絡安全過程中,你怎么跟人家對話?講的都不是一樣,鴨和雞怎么對話?
全方位的網絡安全應該包括哪幾個方位?你們是不是這樣想的?網絡邊界的安全,我給它的定義是國家關鍵基礎設施和互聯網連接點的安全,這是網際的安全,我們國家整體缺失,沒有人研究。美國的愛因斯坦是可以對照的,但我們國家是沒有做的;安全防護就是基于動態的實時的安全防護,你認為我們做的好嗎?基本上也是很差;終端安全,我們國家到目前為止還沒有對終端進行定義,我們的等級保護到2.0還是主機安全,各位的腦子里一會兒是服務器安全,一會兒是終端安全。我對終端的定義,所有的筆記本、一體機、PC終端,還包括你每個人身上的移動智能終端,包括可穿戴設備、物聯網的前端設備,終端的數量特別龐大。我們講云管端,端不定義清楚,怎么做安全?我們跟360交流,360認為交換機、路由器也是終端,你們認為對嗎?云管端到底包括哪些方面?我最近看了網絡安全知識體系框架,里面提到連接安全,管就是連接。我們現在講的所有互聯網,3G、4G、5G,包括WIFI、衛星通信,都是屬于連接要關注的安全問題,包括交換機、路由器。端就是終端,終端可以分成兩大類。按照我的方法論,復雜問題是分解,而不是眉毛胡子一把抓。怎么分解?終端安全是兩大類,一類是人口終端的綁定。還有一類是物聯網設備跟后臺數據、前端的數據采集設備;應用安全,云計算是提供基礎設施服務,應用安全是什么?我理解應用安全應該是身份認證、授權管理、責任認定、應用軟件、源代碼的安全、服務器的安全,我給主機安全的定義是服務器裸機加操作系統。它的定義清楚了,你的安全、目標、指向才會很準確;數據安全,應該怎么做?按照我的觀點,云計算一定是今后的發展趨勢,它的應用會越來越多,數據也會越來越多,它帶來的安全風險也會越來越大。云計算上的數據安全應該怎么做?數據的采集、傳輸、使用、銷毀要進行全生命周期的管控。數據安全怎么做?數據的分級分類、原數據的標準,以及對于敏感重要數據的加密存儲。這五個維度是我理解的全方位的安全,希望對你們有點啟發。展開分析,我們每一塊都做的不好。
這是一個扇形的防御體系,從網際安全到數據安全,最重要的是關注數據。數據要作為你的資產來保護,網絡是保證暢通。但是,現在眉毛胡子一把抓,講到安全問題,先把網絡分開。你怎么做安全?看來是沒辦法做的。這個圖也不是我發明的,這是2003年美國的博士艾倫公司跟美國國土安全部做交流時用的一張圖。你的理念決定你的行動,決定你后面該怎么做。在做安全防護的時候,你不僅僅要防范來自外部的網絡攻擊行為,還要防范來自內部的網絡數據竊取。如果你是甲方用戶,你一定要知道什么時間、什么人、訪問什么數據。如果云計算服務商提供不了這些內容,你要讓他回去想明白,你的數據和應用系統就不能上云。
智慧源于對術語的定義,術語一定要定義清楚。現在都在說網際的安全,眉毛胡子一把抓,防火墻也是網際的安全是不對的。
明確界定網絡安全的概念和定義,要形成一致的認識和框架,這是做好網絡安全的基礎。沒有這個基礎,真的是有問題。
這是我們準備出的標準,下一步要上升為國家標準。現在對網絡攻擊的報告是沒有分級分類的。國家安全標準有對安全事件的分級分類,這個標準是已經形成的安全事件的分級分類。你說我們的安全設備一點沒有用嗎?還是有點用吧,至少可以擋住30%的網絡攻擊。比如,郵件的暴力破解、拆口令、授權訪問,還是有一些安全措施可以阻止這些惡意行為的。但是,你該不該分類?該不該統計?如果這些都做不好,你怎么做安全?
在座各位一定有體會,網信辦、公安部發起的“2018護網行動”,它對你的網絡進行探測、訪問,發現你的漏洞,這跟黑客攻擊的特征是一樣的,你該不該區分出來?比如,電子政務的數據往美國發、往臺灣發、往俄羅斯發,該不該預警?但這都是正常的,我們的安全設備連個日志都沒有,你能發現嗎?你的數據泄漏怎么辦?
講到云計算,你要把概念弄清楚。現在天天在炒名詞、炒概念,云計算炒三年沒新意了,現在在炒物計算、容器計算、邊緣計算,看問題要看它的本質。對我來說,騰訊的云是一個云,跟我法任何關系,我不用關心它在哪里,我只要使用就行。如果你是打開機房的門,云服務提供商和建設單位告訴你也是一朵云,你怎么辦?你是不是讓他回去把云搞清楚?打開機房的門,你看見的一定是服務器、交換機和存儲設備。數據機是linux,在VM上面再部署應用的操作系統,每一塊都要弄的很清楚,才能把安全放上去。
很多省里面把應用部署到云上去以后就發現數據永久丟失。我的觀點,他們很多的是把鏡像副本快照和備份混為一談。備份定時、定點,是RPO、RTO的概念。你可以離線備份,可以把備份的RPR和RTO分出來。鏡像副本為了保證可靠使用,可能有兩到三個副本,更夸張的可能默認七個副本,占用存儲空間。如果誤操作,這七個副本全部是零。怎么辦?你在做應用遷移的時候,先做好備份。你可以承受的數據的時間點,5分鐘,或者半個小時,數據丟了就重新輸一遍。這些概念和理念一定要弄清楚。
云計算的特點和安全要求。云計算是什么特點?資源的動態調度和業務的快速部署。這是云計算的最大特點。基于這些最大的特點,還有第三方的引入,也就是云服務商的引入。我的觀點,你應該怎么做安全?基于主動的安全防御、主動的漏洞掃描。核心的問題用戶、云租戶和云服務商的邊界責任一定要通過紙面落實下來。這是一定要做的。有些東西,云服務商跟你交流的時候,胸脯拍的很響。你一定要讓他落到紙面,他就不敢寫了。比如,省里的數據不能出省。這個要求很正常吧?貴州省的數據哪一天在杭州發現了,有沒有問題?你問他敢不敢拍胸脯,我的數據肯定不出事。
在這種情況下,數據安全應該怎么做?全生命周期數據的管控一定是我們考慮的,數據從產生到傳輸、使用、存儲、銷毀整個全生命周期的管控,它要貫穿于整個云計算數據的全過程。
去年的“5.18”爆發的“想哭病毒”,很短的時間在150個國家爆發。很多人都在講它造成的危害,但很少有人關注它背后的根本原因。根本原因是美國國家安全局部分的網絡武器庫的曝光。網絡武器庫曝光以后,所有國家的黑客都在研究這些文件。黑客的感知能力、作戰能力、隱藏能力都在增強。對于做安全防護的人來說,是不是挑戰更大?
2015年,美國OPM指控中國的黑客偷竊了美國聯邦雇員400萬雇員的個人信息。公安部到美國去賠禮道歉,這個事情是我們有錯。這個黑客是OPM攻擊的主要成員之一,他認為沒事了。去年到美國去開會,開完會就被FBI帶走。我們自己能發現是哪個黑客來竊取數據嗎?我們有這個能力嗎?
在互聯網上,一定要牢記這兩句話:
“若成為入侵目標,你總會是目標”。全球的黑客關注中國的政治、經濟、軍事、科技,總有一點是他關注的,你今天處理掉了,他明天又會來,所以要持續的關注。這就是安全基于對抗安全的特點。
“你必須放進來的,你就無法進行阻攔”。比如,郵件、門戶網站是必須開放在互聯網上的,現在的APP90%以上都是通過郵件。在這種情況下,你是不是應該重點關注用戶、重點關注人?
在安全理念下,一定要基于對抗做安全,核心是保證數據的安全。沒有網絡安全就沒有國家安全,國家的關鍵基礎設施的安全跟國家安全相關。保證國家關鍵基礎設施的安全,保證網絡安全,于無聲處捍衛國家安全。這就是我們的使命。