你好,游客 登录
背景:
阅读新闻

云计算安全论坛:从加密、云安全架构到可信计算面面观

[日期:2014-05-29] 来源:CSDN  作者:周小璐 [字体: ]

  【CSDN现场报道】第六届中国云计算大会于2014年5月20-23日在北京国家会议中心拉开帷幕。本次大会立足实践,以国际化的视野,帮助与会者了解全球云计算技术的发展趋势;从应用出发,探讨交通、医疗、教育、金融、制造、数字娱乐等行业领域的实践经验;并通过技术专场、产品发布和培训课程等方式,深度剖析云计算大数据的核心技术。

  中国科学技术大学信息处理中心主任、教授 俞能海

  “云计算安全论坛”在中国科学技术大学信息处理中心主任、教授俞能海的主持下,正式开始。云计算的落地和移动设备的普及向信息安全提出了新的挑战,产生了新的IT环境下的新问题,如公用云数据安全、专用云防御、移动支付安全等。本论坛中安全领域的专家、学者就云计算安全所面临的问题,以更加务实科学的态度提出我国云计算安全发展的特色路径与突破方法。

  中国科学院软件研究所研究员 张敏

  中国科学院软件研究所研究员张敏首先发表了演讲“密文检索——打开云存储加密桎梏的金钥匙”。云计算已经成为不可逆转的技术趋势,对于个人来说,每个人每天在网上都会产生大量的数据,其中包括主动公开的数据,如网上晒的图片和文章等。还有很大一部分是我们希望自己独享或者跟自己亲近朋友才分享的信息,比如商业上重要的文档或者自己个人觉得比较敏感私密性的照片等等。但是这些个人隐私数据也都是存储在互联网上或者在服务商的服务器上,加密成为确保这些数据安全的重要手段,但是加密会带来使用上的不方便等等,其中最大的一个问题是查询和检索的不便,于是产生了密文检索的需求。

  密文检索的目标是支持用户查找远程服务器上的密文信息。广义的密文检索包括可搜索加密和外包数据库加密检索。可搜索加密是指通过关键词对非结构化的信息,如文档进行检索。可搜索加密又分为对称可搜索加密(SSE,用户既是密文数据生成者,又是密文信息检索者)和非对称可搜索加密(ASE,密文数据生成者与密文数据检索者并非同一人)。 外包数据库加密检索,是指针对结构化数据的检索,但是 存储在服务器上的信息全是密文信息,服务器并不掌控我的密钥。张敏在演讲中介绍了密文检索目前的发展状况与未来的趋势。

  张敏所在的中科院软件所中,TCA实验室研发的“云存储安全支撑平台”已经实现了演讲中介绍的密文检索功能。现在国家标准草案“云存储安全技术要求”当中也有密文检索的相关要求,张 敏认为密文检索技术正从科研走向实用化,未来或将成为云计算中心、数据中心不可缺少的组成部分。

  国家计算机网络应急技术处理协调中心副主任、总工程师 云晓春

  国家计算机网络应急技术处理协调中心副主任、总工程师云晓春带来的演讲是“提升基于网络大数据的安全分析能力”。国家计算机网络应急技术处理协调中心每年年初,都会发布上一年国内互联网安全实践的情况。根据今年3月份的最新数据,我国仍面临大量来自境外地址的攻击威胁。 2013年,境外有3.1万台主机通过植入后门对境内6.1万个网站实施远程控制,虽然境外控制主机数量较2012年下降4.3%,但所控制的境内网站数量却大幅增长62.1%。从所控制的境内网站数量看,位于美国的主机居首位,共有6215台主机控制着境内15349个网站,平均每个主机控制2.5个境内网站,较2012年(约1.4个)增长78.6%。其次是中国香港,控制境内13116个网站,较2012年大幅增长179.5%。排名第三的是韩国,控制境内7052个网站,较2012年下降11.1%。

  在网络钓鱼攻击方面,针对我国的钓鱼站点有90.2%位于境外,共有3823个境外IP地址承载29966个针对我国境内网站的仿冒页面,分别较2012年增长54.3%和27.8%。从承载的钓鱼页面数量看,美国仍居首位,共有2043台主机承载12573个钓鱼页面,中国香港和韩国列第二、三位,分别承载4500个和1093个钓鱼页面。

  云晓春认为基于网络大数据的安全分析能在4个方面发挥作用:第一,在感知安全威胁方面能够找到一些解决办法;第二评估安全状况;第三,预测安全趋势;第四,追根溯源安全根源。根据国家计算机网络应急技术处理协调中心中心在今年年初发布的2013年国内互联网安全情况,境内1090万台主机被境外2.9万个服务器控制,政府机构、基础电信企业、科研院所、大型商业机构的网络信息系统多次遭受攻击 。

  基于网络大数据的安全分析可以从四个步骤构成分析的流程,第一步,提交任务,因为所谓大数据不存在灵丹妙药说一个方法能够解决所有问题,它一定是有针对性的,针对不同的安全目标,针对不同的安全场景,针对不同的安全任务,要有不同的分析方法,因此第一步就是要对任务分析,抽象安全场景,对安全目标进行确定。第二步,有了这个场景和目标以后,就可以了解到我们的数据源到底有哪些,理解我们的数据,构想相应的模型。第三步,有了相应的模型,要选择控件,设计流程,小样本单步测试,多维度验证。最后一步,在模式库里面确定分析逻辑,设置合适参数,最后把整个分析任务、分析模式固化。这是我们认为基于大数据安全分析应该的安全分析流程。

  阿里云安全部安全专家 沈锡镛

  阿里云安全部安全专家沈锡镛的演讲题目是“云计算安全感”,这也是阿里巴巴安全部第一次出现在云计算大会上。目前阿里云有大量用户,在用户分类跟一般的云相比比较复杂,有大家传统认为的中小网站,也有像政府、电商等,在输出形态上也有很大的差异,沈锡镛的演讲主要从政务行业用户角度,解读了使用云计算服务安全的困惑。

  阿里云在和客户尤其政务客户接触的过程中,被问到最多的就是数据安全如何保证、用户是不是能够被有效隔离等等。沈锡镛认为云安全服务是云服务商默认就应该提供给客户的。为什么这么讲?云计算环境下,不能使用传统的防火墙了,但是事还是要做,所以在云安全服务过程当中必须打造传统用户需要的安全功能。

  如何打造呢?沈锡镛认为具有以下特征的云平台能满足需求:

  具备低成本、高精度、大规模的安全防御架构;

  平台自身具备完整的数据安全保护能力;

  全面合规,对行业用户来讲,尤其是政务和金融用户来讲,这是一个最基础的要求。

  最后沈锡镛用“若非建云、焉知安全,若非安全、焉敢入云”结束了演讲:很多人觉得上了云不安全,但是你想不到可能云中的数据更安全,因为云端可以让做到很多以前做不到的事情。

  360公司首席隐私官、副总裁 谭晓生

  接下来,360公司首席隐私官、副总裁谭晓生在演讲“基于大数据分析的网络攻击检测”介绍了如何用云计算技术解决安全问题。360作为安全公司是被别人攻击的重点,作为一个安全公司如果说你被别人渗透过来,恶意的样本被加载等等影响是非常大的,甚至会关系到国家安全层面的东西。

  而且,现在的安全问题已经不是过去传统的钓鱼、挂马等,新型的攻击方式如APT攻击才是今天网络安全防范的重点和难点。谭晓生认为APT攻击的精髓是攻击已经不再局限于仅利用 计算机的弱点和漏洞,而是结合社会工程学,利用人的弱点。现在的安全防御应该基于四个假设:

  系统有未发现的漏洞;

  系统有已发现的漏洞 未修补;

  系统已经 被渗透;

  员工不可靠。

  比如,360对员工的密码要求是最低15位,而且必须是多种组合,360有两台服务器是专门7*24小时对员工密码进行暴力破解的,只要能被破掉的必须改。

  谭晓生还介绍了360通过大数据的实时可视化对攻击进行分析的几个例子。360的大数据平台采用了Hadoop和Storm技术,数据量:

  实时监听100G带宽,每天清洗之后存储数据是50TB,对一个攻击响应时间是10秒

  存储&计算服务器规模超过15000台 总存储数据量200PB,每天新增1PB

  每天计算任务20000个,每天计算处理数据3.5PB

  谭晓生认为在现在的网络安全防范,包括云计算思维或者公有云的防范,有一招是现在不得不用的,就是基于大数据全流量监听,听下来之后在里面找异常攻击。这里面需要解决的问题是数据的隐私保护问题,因为你把所有的数据都听下来了,包括在办公室出口和核心交换上做的听包,对大家的日常邮件等都能听到。企业员工签署协议就要接受这样的监管,但是如果把它应用在更大的公有云范围内就会有隐私的问题。

  

  云安全联盟全球首席战略外交官 李雨航

  云安全联盟全球首席战略外交官李雨航在“云计算安全论坛”带来的演讲为“化干戈为玉帛”,李雨航介绍了云安全联盟总结的九大云安全威胁:

  Data breaches

  Data loss

  Account or service traffic hijacking (账号劫持或服务流量劫持)

  Insecure interfaces and APIs (不安全接口/应用程序接口)

  Denial of service (拒绝服务攻击)

  Malicious insiders

  Abuse of cloud services (滥用云服务)

  Insufficient due diligence

  Shared technology vulnerabilities (共享技术中的漏洞)

  十大安全云:

  Identity and Access Management (IAM) – 身份云

  Data Loss Prevention (DLP)

  Web Security

  Email Security

  Security Assessments

  Intrusion Management, Detection, and Prevention (IDS/IDP)

  Security Information and Event Management (SIEM) – 安全监控云

  Encryption

  Business Continuity and Disaster Recovery (BCDR)

  Network Security

  Gartner认为其中的身份云和安全监控云是需要引起重视的。目前,云安全联盟中国办事处已经正式成立,华为和国内多家研究机构加入了联盟。

  

  圆桌讨论环节

  最后,武汉大学教授、博士生导师张焕国主持了最后的圆桌讨论环节,英特尔云安全解决方案架构师李彦,华为技术有限公司云计算安全架构师叶思海,书生安全云CTO、天津书生软件公司总经理金友兵共同讨论了“端到端中国可信云基础设施和解决方案”。

  张焕国首先介绍了可信计算技术产生的背景:大多数不采用云计算的原因是担心云的“信息安全与隐私保护问题”,可信计算技术就是产生于这个原因,目标就是提高计算机信息系统的可信性让用户相信。2012年6月,武汉大学、英特尔、国民技术、华为、百敖、中标软件、道里云,共同发起成立了中国可信云计算社区。

  英特尔作为硬件厂商也在推出相应的解决方案,李彦介绍了英特尔的可信执行技术(TXT)、可信计算池(TCP)、开放式验证(OAT)。华为在这方面首先完成了可信云服务器的开发,并且实现了产业化。叶思海认为以实现产业化为目标,以重点应用为切入点,实行产学研合作开发,是发展我国可信计算技术与产业的一种有效途径。

推荐 打印 | 录入:Cstor | 阅读:
本文评论   
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款