大數據丨雲計算、物聯網、大數據 的安全風險和對策研究

「2017 年（第十一屆）發電企業信息技術與應用研討會」

報名熱線

聯繫人：張嫚

聯繫方式：13701278405

1、前言

如今越來越豐富的市場數據，正在打消人們對於「雲」概念的懷疑。越來越多的成功部署案例，表明雲計算不再是漂浮在頭頂上一團虛無縹緲的水氣。目前，對雲計算的定義和特徵、應用等存在各種不同的看法和流派，較為公認的一個雲計算描述是美國技術和標準研究院（NIST）的五個關鍵特徵，即按需的自服務、寬頻接入、虛擬池化的資源、快速彈性架構、可測量的服務。

隨著雲計算的部署和實施，雲計算服務的提供者需要考慮一個亟待解決的問題，即如何在保障雲計算平台自身安全的基礎上，更好的為客戶提供服務。本文將針對這個問題，給出一種雲計算安全技術體系框架，旨在為雲計算平台安全技術體系的建設，提供一個有益的參考和借鑒。

2、雲計算面臨的主要安全威脅

一般而言，要解決安全問題，應該先正確的識別其安全威脅。雲安全聯盟CSA 於2010 年3 月份發表了自己的研究成果——雲計算的七大威脅[2]，獲得了廣泛的引用和認可，相關分析闡述如下：

2.1、雲計算的濫用、惡用、拒絕服務攻擊（Abuse and Nefarious Use of CloudComputing），一是針對雲計算服務的拒絕服務攻擊，會導致整個平台的不可用；二是利用雲計算的強大服務能力，對其他系統發起的攻擊將是致命的。雲計算服務很容易成為濫用、惡意使用服務的溫床。在2010 年Defcon 大會上，David Bryan 公開演示了，如何在Amazon的EC2 雲計算服務平台上，以6 美元的成本對目標網站發起致命的拒絕服務攻擊 。另外，利用雲計算服務來破解密碼、構建殭屍網路等惡意使用案例也屢有報道。

2.2、不安全的介面和API（Insecure Interfacesand APIs），雲計算服務商需要提供大量的網路介面和API，整合上下游、發展業務夥伴、甚至直接提供業務。但是，從業界的安全實踐來看，開發過程的安全測試、運行過程中的滲透測試等，不管從測試工具還是測試方法等，針對網路介面和API 都還不夠成熟，這些通常工作於後台相對安全環境的功能被開放出來后，帶來了額外的安全入侵入口。

2.3、惡意的內部員工（Malicious Insiders），Verizon Business 最新的數據泄漏調查報告（DBIR 2010）顯示，48% 的數據泄漏是由於惡意的內部人士所為。對於雲計算服務而言，有許可權、有能力接觸並處理用戶數據的人員範圍進一步擴大，這種訪問許可權範圍的擴大，增加了惡意的「內部員工」濫用數據和服務、甚至實施犯罪的可能性。

2.4、共享技術產生的問題（Shared Technology Issues），資源的虛擬池化和共享是雲計算的根本，但是這種共享並不是沒有代價的。最為典型的代價就是安全上的不足。事實上，針對虛擬層（hypervisor）的安全研究已經被廣為重視，從2007 年開始，主流的虛擬層（hypervisor）軟體常有漏洞被披露。

2.5、數據泄漏（Data Loss or Leakage），事實上，數據泄漏是雲計算、尤其是公共「雲」最為廣泛的擔憂之一。很多威脅場景都可能會導致雲中的數據的丟失和泄漏，如：密鑰的丟失會導致事實上的數據毀壞。

2.6、賬號和服務劫持（Account or Service Hijacking），在雲環境中，如果攻擊者能夠獲得你的賬號信息，他們可以竊聽你的活動和交易、操縱處理的數據、返回假冒的信息、將你的客戶導向到假冒的站點，並且被「劫持」的服務和賬號可能會被利用來發起新的攻擊，並利用你的網路「信譽」或「信用」。

2.7、未知的風險場景（Unknown Risk Profile），由於技術發展的不平衡，以及雲計算服務商和用戶之間的信息不對稱性，使得雲計算的用戶處在大量的未知安全風險中。當然，雲計算面臨的安全威脅還有很多，比如大量迅猛湧現的Web 安全漏洞、潛在的合同糾紛和法律訴訟等等，此處不再贅述。

3、雲計算平台安全技術體系框架

依據雲安全聯盟（CSA）的觀點：對於不同的雲服務模式（IaaS、PaaS、SaaS），IaaS 是所有雲服務的基礎，PaaS 建立在IaaS 之上，而SaaS 又建立在PaaS 之上；在不同雲服務模型中，提供商和用戶的安全職責有著很大的不同。具體來說，IaaS 提供商負責解決物理安全、環境安全和虛擬化安全這些安全控制，而用戶則負責與IT 系統（事件）相關的安全控制，包括操作系統、應用和數據；PaaS 提供商負責物理安全、環境安全、虛擬化安全和操作系統等的安全，而用戶則負責應用和數據的安全；SaaS提供商不僅負責物理和環境安全，還必須解決基礎設施、應用和數據相關的安全控制。

想知道後面說了什麼嗎？點擊「閱讀原文」觀看全部文章內容

版權聲明：

——電力信息化創新戰略聯盟

關注我們