李麗　張玉良　周麗莎　繆翀鶯

摘要：互聯(lián)網(wǎng)、云計(jì)算新技術(shù)、新服務(wù)模式的發(fā)展引發(fā)了新的安全需求，基于此分析了云安全產(chǎn)品的主要需求和特征，說(shuō)明了電信運(yùn)營(yíng)商的云安全產(chǎn)品框架的設(shè)計(jì)原則、主要功能、產(chǎn)品形態(tài)和運(yùn)維要求。

關(guān)鍵詞：云安全 網(wǎng)絡(luò)安全 電信運(yùn)營(yíng)商

1 引言

目前，企業(yè)運(yùn)營(yíng)已離不開互聯(lián)網(wǎng)，與此同時(shí)安全隱患高居不下，超過45%的企業(yè)在過去三年曾發(fā)生過不同量級(jí)的安全事故[1]，越大的公司受到的攻擊越多[2]。企業(yè)客戶安全形勢(shì)日趨嚴(yán)峻，這些安全事故直指商業(yè)機(jī)密、用戶信息等核心信息資產(chǎn)。數(shù)據(jù)顯示，目前全球云安全服務(wù)市場(chǎng)規(guī)模大約為36億美元，整體云安全服務(wù)市場(chǎng)規(guī)模增長(zhǎng)將達(dá)到23%，預(yù)計(jì)到2022年，整體市場(chǎng)規(guī)模將達(dá)到120億美元左右[3]。隨著智慧城市的推進(jìn)，政府各部門的核心數(shù)據(jù)不斷整合上云，但是在數(shù)據(jù)安全方面隱藏著大量安全隱患[4]。電信運(yùn)營(yíng)商作為政府和企業(yè)客戶信息化服務(wù)的主要提供商，有必要進(jìn)一步加強(qiáng)面向互聯(lián)網(wǎng)的云安全產(chǎn)品體系，以對(duì)客戶業(yè)務(wù)提供有力的保障。

2 新技術(shù)的發(fā)展引發(fā)了新的安全需求

互聯(lián)網(wǎng)、云計(jì)算帶來(lái)了很多新技術(shù)、新服務(wù)模式，在帶來(lái)益處的同時(shí)，也導(dǎo)致和引發(fā)了新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。在云計(jì)算中，虛擬化技術(shù)被大量使用，從而實(shí)現(xiàn)資源池化、按需分配、彈性調(diào)度、高可靠的目標(biāo)，但這也帶來(lái)新的安全風(fēng)險(xiǎn)。首先，用戶使用的主機(jī)、網(wǎng)絡(luò)、存儲(chǔ)等設(shè)施都是云服務(wù)提供者以虛擬化的形式提供的，使得用戶失去對(duì)物理資源和數(shù)據(jù)資源的直接控制，安全管控的職責(zé)主要由云服務(wù)提供商完成。其次，虛擬化環(huán)境下不同用戶之間需要共享物理資源，虛擬化共享技術(shù)自身的安全性需要有持續(xù)的完善管理。最后，虛擬化技術(shù)觸發(fā)了新的攻擊模式，比如說(shuō)虛擬機(jī)逃逸，即用戶可以突破自己的虛擬機(jī)來(lái)控制管理程序，進(jìn)而控制其他虛擬機(jī)甚至是宿主機(jī)，把云資源當(dāng)作跳板向外發(fā)送惡意流量和攻擊。這些新的需求要求電信運(yùn)營(yíng)商的云安全產(chǎn)品具備多租戶安全隔離、虛擬化安全管控、智能惡意程序識(shí)別等新的安全防范措施。

3 新的業(yè)務(wù)模式帶來(lái)新的產(chǎn)品形態(tài)

（1）依托高性能計(jì)算環(huán)境對(duì)抗大規(guī)模攻擊

現(xiàn)有的云業(yè)務(wù)遭受攻擊的頻率和規(guī)模都遠(yuǎn)遠(yuǎn)超過了傳統(tǒng)安全業(yè)務(wù)。以阿里云盾為例，每天收到超過958萬(wàn)次暴力破解攻擊、2000次以上DDoS攻擊、超過8億次Web攻擊[5]。攻擊次數(shù)高過傳統(tǒng)安全多個(gè)數(shù)量級(jí)，這要求云安全產(chǎn)品必須與云計(jì)算高性能計(jì)算體系融合在一起，依托分布式架構(gòu)的超強(qiáng)計(jì)算能力實(shí)現(xiàn)大規(guī)模攻擊的防控。

（2）動(dòng)態(tài)產(chǎn)品邊際

傳統(tǒng)的安全產(chǎn)品可以明確地定義安全管控的范圍和內(nèi)容，但是隨著云資源的動(dòng)態(tài)分配，互聯(lián)網(wǎng)共享經(jīng)濟(jì)與行業(yè)云、私有云的深入融合，采用傳統(tǒng)靜態(tài)的產(chǎn)品邊界已經(jīng)變得不合時(shí)宜。根據(jù)威脅、安全需求和策略的不同，劃分為不同的安全域，并基于安全域設(shè)計(jì)相應(yīng)的邊界防護(hù)策略、內(nèi)部防護(hù)策略，并形成跟隨策略的動(dòng)態(tài)可變安全域邊界，從而構(gòu)造起縱深的防護(hù)體，逐步發(fā)展為云安全產(chǎn)品的主要形態(tài)。

（3）滿足新的業(yè)務(wù)形態(tài)的要求

電信運(yùn)營(yíng)商的云計(jì)算中心部署的應(yīng)用和業(yè)務(wù)非常豐富，其中包括大流量的音視頻服務(wù)，當(dāng)受到各種網(wǎng)絡(luò)攻擊時(shí)，一般都伴隨著出現(xiàn)大量異常流量。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)，流量壓制、流量清洗是運(yùn)營(yíng)商面對(duì)此類攻擊的主要反攻擊手段。但隨著互聯(lián)網(wǎng)業(yè)務(wù)對(duì)運(yùn)營(yíng)商的沖擊，流量經(jīng)營(yíng)正成為運(yùn)營(yíng)商業(yè)務(wù)轉(zhuǎn)型的主要方向之一，流量業(yè)務(wù)運(yùn)營(yíng)指標(biāo)轉(zhuǎn)變?yōu)榻Y(jié)合了業(yè)務(wù)計(jì)價(jià)的綜合性指標(biāo)，以流量為基礎(chǔ)的業(yè)務(wù)產(chǎn)品相繼推出。這就要求基于流量的云安全產(chǎn)品在流量的監(jiān)測(cè)、分析上能夠?qū)崿F(xiàn)智能化的流量異常感知、及時(shí)高效的流量預(yù)警，將流量監(jiān)管、流量計(jì)價(jià)、流量壓制與清洗充分融合起來(lái)的、跨域統(tǒng)一的云安全產(chǎn)品。

4 云安全產(chǎn)品框架

按照預(yù)防、檢測(cè)、防御來(lái)實(shí)現(xiàn)協(xié)同、閉環(huán)工作的原則來(lái)實(shí)現(xiàn)云安全產(chǎn)品框架的設(shè)計(jì)。

預(yù)防與檢測(cè)的產(chǎn)品研發(fā)思路是在傳統(tǒng)方式的基礎(chǔ)上借助大數(shù)據(jù)技術(shù)，發(fā)現(xiàn)潛在的入侵和攻擊威脅，幫助客戶建設(shè)自己的安全監(jiān)控和防御體系，同時(shí)發(fā)揮互聯(lián)網(wǎng)的共享精神，激勵(lì)互聯(lián)網(wǎng)安全專家來(lái)測(cè)試和提交網(wǎng)站或業(yè)務(wù)系統(tǒng)的漏洞，保證安全風(fēng)險(xiǎn)可以快速進(jìn)行響應(yīng)和修復(fù)，同時(shí)逐步形成云安全產(chǎn)業(yè)生態(tài)圈，促進(jìn)產(chǎn)業(yè)良性發(fā)展。

整個(gè)防御體系劃分為接入終端域、應(yīng)用域、主機(jī)域、網(wǎng)絡(luò)域、數(shù)據(jù)域、物理域，通過分域、分區(qū)、分單元的方式分別治理，在每個(gè)域的邊界部署動(dòng)態(tài)安全防護(hù)策略，綜合起來(lái)防護(hù)，從而實(shí)現(xiàn)分區(qū)域管理、閉環(huán)防御的目標(biāo)。防御體系的功能分布如圖1所示：

相對(duì)于互聯(lián)網(wǎng)運(yùn)營(yíng)商，電信運(yùn)營(yíng)商有大量移動(dòng)終端接入業(yè)務(wù)，且隨著物聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，終端域有大規(guī)模的安全需求，需納入電信運(yùn)營(yíng)商云安全產(chǎn)品框架統(tǒng)一規(guī)劃，借助終端域接入優(yōu)勢(shì)，完善終端域細(xì)粒度的訪問控制、數(shù)據(jù)存儲(chǔ)和傳輸安全管理，加強(qiáng)終端域身份識(shí)別、加密處理以及虛擬桌面鏡像技術(shù)的防護(hù)，實(shí)現(xiàn)訪問安全、接入安全、風(fēng)險(xiǎn)追蹤定位。

通過定期的安全檢測(cè)、關(guān)鍵操作的多重授權(quán)和防篡改等措施保證應(yīng)用層安全。通過對(duì)服務(wù)主機(jī)/設(shè)備進(jìn)行安全配置和加固，部屬主機(jī)防火墻、主機(jī)IDS以及惡意代碼的防護(hù)、訪問控制等技術(shù)手段對(duì)虛擬主機(jī)進(jìn)行保護(hù)，確保主機(jī)能夠持續(xù)的提供穩(wěn)定的服務(wù)。

網(wǎng)絡(luò)域安全包括了實(shí)體網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)，除了傳統(tǒng)的網(wǎng)絡(luò)安全外，需通過虛擬層加固、虛擬機(jī)映像加固、不同虛擬機(jī)的內(nèi)存/存儲(chǔ)隔離、虛擬機(jī)安全檢測(cè)、虛擬化管理安全等措施實(shí)現(xiàn)虛擬化層的安全。

數(shù)據(jù)域除了基于傳統(tǒng)的數(shù)據(jù)隔離、數(shù)據(jù)加密等數(shù)據(jù)保護(hù)外，還需要借助行為收集技術(shù)和機(jī)器學(xué)習(xí)模型，發(fā)現(xiàn)潛在的入侵和攻擊威脅，為動(dòng)態(tài)安全策略調(diào)整提供支撐，使得智能化成為云安全產(chǎn)品的基本要素。

云安全產(chǎn)品框架需要構(gòu)建在云環(huán)境下，并與現(xiàn)有云產(chǎn)品體系融合。以中國(guó)電信政企天翼云產(chǎn)品線為例，云安全產(chǎn)品應(yīng)該是跨越云應(yīng)用、云服務(wù)與云基礎(chǔ)設(shè)施的綜合性產(chǎn)品，定位如圖2所示。

電信運(yùn)營(yíng)商現(xiàn)有的云安全產(chǎn)品主要覆蓋物理域、網(wǎng)絡(luò)域、主機(jī)域，這些產(chǎn)品在云計(jì)算的體系中，主要集中在基礎(chǔ)設(shè)施層，主要實(shí)現(xiàn)防Dos攻擊、流量管控等功能，隨著企業(yè)需求的變化，云安全產(chǎn)品的各項(xiàng)功能逐步擴(kuò)展到云服務(wù)和云應(yīng)用。在云服務(wù)層，依靠電信運(yùn)營(yíng)商的優(yōu)質(zhì)網(wǎng)絡(luò)和技術(shù)實(shí)力，按照云安全最佳實(shí)踐經(jīng)驗(yàn)為企業(yè)提供的全方位云安全解決方案和咨詢服務(wù)，保障用戶業(yè)務(wù)安全，同時(shí)，結(jié)合大數(shù)據(jù)技術(shù)，實(shí)現(xiàn)智能化的風(fēng)險(xiǎn)感知，幫助客戶建設(shè)、完善私有云安全防御體系。在云應(yīng)用層，則將相對(duì)獨(dú)立的入侵檢測(cè)、網(wǎng)頁(yè)防篡改等業(yè)務(wù)功能封裝為可獨(dú)立銷售的能力產(chǎn)品為政企客戶提供租用、購(gòu)買以及售后支持。

大數(shù)據(jù)技術(shù)為云安全產(chǎn)品帶來(lái)了智能化，SDN（Software Define Network，軟件定義網(wǎng)絡(luò)）、NFV（Network Function Virtualization，網(wǎng)絡(luò)功能虛擬化）技術(shù)為云安全產(chǎn)品存儲(chǔ)、網(wǎng)絡(luò)資源的自動(dòng)化部署和分權(quán)分域管理提供了更加簡(jiǎn)便的模式。隨著這些技術(shù)的采用，在產(chǎn)品形態(tài)和部署方式發(fā)生了一定的變化。在產(chǎn)品形態(tài)方面，主要體現(xiàn)是由硬件變化了軟件。在部署方式方面，主要通過合理設(shè)計(jì)虛擬化網(wǎng)絡(luò)邏輯結(jié)構(gòu)，將虛擬化安全設(shè)備部署在合理的邏輯位置，同時(shí)保證隨著虛擬主機(jī)的動(dòng)態(tài)遷移，能夠做到安全防護(hù)措施和策略的跟隨。

云安全產(chǎn)品主要由云安全產(chǎn)品提供商提供運(yùn)維服務(wù)，而新技術(shù)的采用帶來(lái)了云安全產(chǎn)品不同的產(chǎn)品形態(tài)和部署模式，在運(yùn)維上帶來(lái)的新挑戰(zhàn)主要集中在：云安全數(shù)據(jù)管理權(quán)與所有權(quán)分離，用戶與運(yùn)營(yíng)商需要在安全管理界面上達(dá)成一致，避免安全責(zé)任不清的風(fēng)險(xiǎn)，受到攻擊時(shí)，需要相關(guān)節(jié)點(diǎn)配合聯(lián)動(dòng)[6]，需要建立一套統(tǒng)一的云安全應(yīng)急響應(yīng)機(jī)制和標(biāo)準(zhǔn)化流程，形成由全國(guó)、地方兩級(jí)運(yùn)營(yíng)支撐體系構(gòu)成的服務(wù)支撐體系[7]，同時(shí)配置具有較高的安全知識(shí)和技能安全運(yùn)維人員，實(shí)現(xiàn)對(duì)系統(tǒng)的持續(xù)安全檢測(cè)、防護(hù)，并對(duì)突發(fā)事件進(jìn)行處理。

5 結(jié)束語(yǔ)

未來(lái)幾年是中國(guó)網(wǎng)絡(luò)安全發(fā)展的黃金窗口，網(wǎng)絡(luò)安全企業(yè)面臨著巨大的發(fā)展機(jī)遇[8]。由公安部負(fù)責(zé)起草的云等保標(biāo)準(zhǔn)（包括《云計(jì)算信息安全等級(jí)保護(hù)基本要求》、《云計(jì)算信息安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、《云計(jì)算信息安全等級(jí)保護(hù)測(cè)評(píng)要求》，簡(jiǎn)稱：云等保標(biāo)準(zhǔn)）即將頒布執(zhí)行，這些新標(biāo)準(zhǔn)的執(zhí)行將推動(dòng)云安全產(chǎn)品的逐步規(guī)范化[9]。而另外一方面，互聯(lián)網(wǎng)的共享精神會(huì)沖擊云安全產(chǎn)品的現(xiàn)有標(biāo)準(zhǔn)化形態(tài)，形成一種新的產(chǎn)品動(dòng)態(tài)產(chǎn)品形態(tài)，比如說(shuō)整個(gè)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”，識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫(kù)，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時(shí)進(jìn)行采集、分析以及處理。參與者越多，每個(gè)參與者就越安全，整個(gè)互聯(lián)網(wǎng)就會(huì)更安全[10]。在這兩種不同力量的共同推動(dòng)下，云安全產(chǎn)品將進(jìn)入快速、多變的發(fā)展通道，云安全產(chǎn)品的內(nèi)涵、標(biāo)準(zhǔn)、形態(tài)將隨著技術(shù)基本快速發(fā)展，需要電信運(yùn)營(yíng)商不斷完善自身的產(chǎn)品體系，提供符合時(shí)代要求的業(yè)務(wù)。

參考文獻(xiàn)：

[1] 中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì). CTO企業(yè)信息安全調(diào)查報(bào)告[R]. 2015.

[2] 普華永道. Key findings from The Global State of Information Security? Survey 2015[R]. 2015.

[3] 費(fèi)天元. 云安全保障迫在眉睫 行業(yè)集中度快速提升[N]. 上海證券報(bào)， 2016-10-20.

[4] 陳靜. 技術(shù)創(chuàng)新護(hù)航網(wǎng)絡(luò)安全未來(lái)[N]. 中國(guó)高新技術(shù)產(chǎn)業(yè)導(dǎo)報(bào)， 2016-10-11.

[5] 阿里云. 云安全解決方案[EB/OL]. [2016-10-27]. https：//yundun.aliyun.com/？spm=5176.55802.416540.246.s3IzAi.

[6] 王建峰，樊寧，沈軍. 電信行業(yè)云計(jì)算安全發(fā)展現(xiàn)狀[J]. 信息安全與通信保密， 2012（11）： 98-101.

[7] 張新躍，劉志勇，趙進(jìn)延，等. 電信運(yùn)營(yíng)商的安全服務(wù)云研究與設(shè)計(jì)[J]. 現(xiàn)代電信科技， 2012（1-2）： 105-106.

[8] 張漢青，王穎慧. 用工匠精神鑄造大國(guó)網(wǎng)絡(luò)安全[N]. 經(jīng)濟(jì)參考報(bào)， 2016-10-19.

[9] 行業(yè)私有云安全能力者聯(lián)盟. 等級(jí)保護(hù)制度已進(jìn)入2.0時(shí)代云等保標(biāo)準(zhǔn)頒布在即[EB/OL]. （2016-10-13）[2016-10-25]. http：//science.china.com.cn/2016-10/13/content_9087300.htm.

[10]百度百科. 云安全[EB/OL]. [2016-10-25]. http：//baike.baidu.com/link？url=gbxAgG5D1jGwoUu9aQFGJ5VXu8Ztg0TfwLpjxMr7CrTOBbjcMJ4A90aZdih37nImxv77aWu7WmrVNROj2sd1f-b1hY1ae9-slJSlEAz5slEYOVgErrMkf4AsPn-KKEvZ. ★