云安全的基本概念（基本目标与指导方针）

一、云安全概念概述

1.1 概述

二、云安全的基本目标

2.1 安全策略开发模型

2.1.1 信息安全三元组

2.1.1.1 保密性(Confidentiality)

2.1.1.2 完整性(Integrity)

2.1.1.3 可用性(Availability)

2.1.2 信息安全三元组的局限性

2.2 其他信息安全属性

2.2.1 真实性

2.2.2 可问责性

2.2.3 不可否认性

2.2.4 可靠性

三、云安全的指导方针

3.1 以最新理念为指导思想

3.1.1 传统网络安全防御

3.1.1.1 传统防御的思路

3.1.1.2 传统防御的缺点

3.1.2 云计算网络安全防御

3.1.2.1 云计算防御理念

3.1.2.2 主动防御

3.1.2.3 诈骗防御

3.1.2.4 面向场景

3.1.2.5 普遍联系

3.1.2.6 智能闭环

3.1.2.7 循证评价

3.2 以专业服务为辅助措施

3.3 以政策法规为达标基准

3.3.1 网络安全和信息化工作座谈会

3.3.2 网络安全法

3.4 以先进技术为创新支撑

3.5 以生命周期为覆盖范围

3.5.1 安全覆盖系统开发生命周期

3.5.2 安全覆盖数据生命周期

3.6 以能力建设为方法模型

一、云安全概念概述

1.1 概述

云安全是云计算安全的简称。云安全的目标是保障在云上运行的各种应用的保密性、完整性、可用性、可审计性、不可否认性等安全目标的满足，同时保证云上数据的保护满足相应的法律、法规、标准以及业务安全要求。

二、云安全的基本目标

《信息技术信息安全信息安全管理体系概述和词汇》(ISO/IEC 27000—2014)中强调，通常情况下保密性、完整性和可用性被称为信息安全的基本属性。此外，信息安全的目标还可能涉及其他属性，如真实性、可问责性、不可否认性和可靠性等。同时，部署在云环境的数据需要考虑数据的可追溯性和可恢复性来帮助企业提供足够的安全。

2.1 安全策略开发模型

2.1.1 信息安全三元组

信息安全三元组(CIA)是一个著名的安全策略开发模型，用于识别信息安全领域的问题。

2.1.1.1 保密性(Confidentiality)

保密性也称机密性，是指对信息资源开放范围的控制，确保信息不被非授权的个人和计算机程序访问。对于信息系统而言，保密性涉及的范畴非常广泛，它既可以是国家涉密信息，也可以是企业或研究机构的业务数据，还可以是个人的银行账号、身份证号等敏感数据信息。

2.1.1.2 完整性(Integrity)

完整性是指保证信息系统中的数据处于完整的状态，确保信息没有遭受篡改和破坏。任何对系统信息、数据未授权的插入、篡改、伪造都是破坏系统完整性的行为，这些行为可能导致严重的服务欺骗或其他问题。

2.1.1.3 可用性(Availability)

可用性是通过系统、访问通道和身份验证机制等来确保数据和系统随时可用。这就意味着无论什么情况下，都要确保得到授权的实体所访问的信息系统是可用的。增强的可用性要求还包括时效性及避免因自然灾害（火灾、洪水、雷击、地震等）和人为破坏导致的系统失效。

高可用系统的架构就是针对特定的可用性需求进行设计，它能有效地应对断电、硬件故障等问题对可用性的影响。例如，在网络中可使用多个接入链路来避免网络中断，从而很好地应对拒绝服务攻击这类风险。

2.1.2 信息安全三元组的局限性

该模型也有其局限性。CIA三元组关注的重点是信息，虽然这是大多数信息安全的核心要素，但对于信息系统安全而言，仅考虑CIA是不够的，信息安全的复杂性决定了还存在其他的重要因素。

2.2 其他信息安全属性

2.2.1 真实性

真实性是指能够对信息的来源进行判断，能对伪造来源的信息予以鉴别。

2.2.2 可问责性

问责是承认和承担行动、产品、决策和政策的责任，包括在角色或就业岗位范围内的行政、治理和实施以及报告、解释，并对所造成的后果负责。

2.2.3 不可否认性

是指信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。在法律上，不可否认意味着交易方不能拒绝已经接收到的交易，另一方也不能拒绝已经发送的交易。

2.2.4 可靠性

是指产品或系统在规定的条件下、规定的时间内完成规定功能的能力。

三、云安全的指导方针

3.1 以最新理念为指导思想

3.1.1 传统网络安全防御

3.1.1.1 传统防御的思路

传统防御模型一般都是采用“发现威胁—分析威胁—处置威胁”的思路，并且基于现有的特征库或者规则对网络数据和行为进行过滤，无法有效地发现和阻断新型、未知的网络攻击。

3.1.1.2 传统防御的缺点

传统网络防御存在边界化静态防御容易被绕过、安全组件缺乏联动、检测攻击具有被动性和延迟性等缺点。
传统防御能力主要集中在边界，而对于目标对象内部的安全漏洞和被预先植入的后门等，攻击者能够较容易地穿透静态网络安全技术防御屏障发起攻击。
传统网络安全组件（如防火墙、入侵检测系统、漏洞扫描等外置式网络防护手段）的防御能力是相对固定的，单一的安全组件所能获得的信息有限，不足以检测到复杂攻击。
另外，其防御或检测能力不能动态提升，只能以人工或者定期的方式升级，防护能力的有效性、持续性和及时性主要依赖于安全人员的专业知识以及厂家的服务保障能力。

3.1.2 云计算网络安全防御

3.1.2.1 云计算防御理念

基于云计算的安全防护新理念主要体现在主动防御、诈骗防御、面向场景、普遍联系、智能闭环和循证评价等几个主要方面。

3.1.2.2 主动防御

针对传统网络防御手段存在的问题或缺陷，目前主要采用主动防御或纵深防御思想来构建网络安全防护体系。主动防御是与被动防御概念相对应的一种防御哲学理念，强调主动减少攻击面、通过态势预测来优化防御机制，利用各种技术手段将攻击扼杀在萌芽期，最大化降低信息系统面临的风险。

纵深防御体系是对边界防御体系的改进，强调的是任何防御措施都不是万能的，都存在黑客可以突破的风险。纵深防御的本质就是多层防御，企业组织通过建立纵深防御体系，使得信息系统的各个层次相互联动配合，将多种防御措施结合使用，增加攻击难度；设立多级风险检查点，阻止大多数恶意病毒及威胁的入侵；防御策略方面，管理人员可针对不同类型的威胁进行策略部署及有效防御，最终达到将风险降低到可接受程度的目的。

3.1.2.3 诈骗防御

蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐的类型包括仿真Web蜜罐、通用Web蜜罐、系统服务蜜罐、伪装缺陷蜜罐等。基于防护方的角度，通过蜜罐技术结合欺骗伪装手段，实现网络攻防中的主动对抗，及时诱捕、发现、处置、溯源，甚至反制攻击者。但在蜜罐使用过程中，一定要注意其安全性，在最近几年的网络攻防演习中，曾经出现过某些厂商将蜜罐无隔离地直接部署在企业内网，进而使攻击者以蜜罐为跳板渗透进内网的案例。

3.1.2.4 面向场景

不同的业务场景会有不同的差异化安全需求，通用方案落地到具体的业务场景中时必须面向场景进行威胁建模，具体分析面临的安全风险，剖析潜在的安全隐患，通过选取合适的安全控制措施进行有针对性的安全风险管理。

3.1.2.5 普遍联系

威胁情报系统通过采用基于神经网络的关联分析技术、基于模型推理的关联分析技术和基于分布式的关联分析技术对收集到的各类信息进行关联分析，从而得到有价值的威胁信息，诸如MD5、IP、URL、木马样本等。威胁情报是某种基于证据的知识，包括上下文、机制、标识、含义和能够执行的建议，如恶意IP和域名、网络攻击和后门日志信息、恶意程序的注册表信息等，这些知识与资产所面临的已有或酝酿中的威胁相关，可用于对这些威胁或危害的相关决策提供信息支持。

企业的网络安全事件通常具备明显的攻击流程，采用关联威胁情报数据的攻击链分析，可以快速帮助企业定位攻击来源。针对APT攻击威胁情报的各个环节，可利用云端、本地以及客户自建的威胁情报库进行关联分析，对安全事件进行预警和高危安全事件关联，通过威胁情报掌握某些组织的常用IP、惯用攻击方式，选择采取攻击的某一个步骤或多个步骤进行关联，即可快速预判攻击者的目标和范围，提前做好重点区域的安全防控。

3.1.2.6 智能闭环

智能闭环是针对发现的高级威胁事件，可提供对应的安全响应处置策略和任务，通报协同各个节点的下一级态势感知分析平台和安全产品实施终止、隔离、取证等的安全手段；它能够快速终止威胁、构建一体化联动防护能力，从而达到减轻安全运维人员工作负担、提升安全运维效率的目的。

2005年，安全信息事件管理(Security Information Event Management, SIEM)应运而生，进而演化成用户/实体行为分析(User and Entity Behavior Analytics,UEBA)、终端检测与响应(Endpoint Detection and Response, EDR)、安全编排自动化与响应(Security Orchestration Automation and Response, SOAR)等产品。

Gartner将SOAR定义为：使组织能够收集不同来源的安全威胁数据和告警的技术。SOAR将安全编排和自动化(Security Orchestration and Automation,SOA)、安全事件响应平台(Security Incident Response Platform，SIRP)和威胁情报平台(Threat Intelligence Platform，TIP)这三种技术相融合，这些技术利用人工与机器的组合来执行事件分析和分类，从而根据标准工作流来帮助定义、确定优先级并推动标准化的事件响应活动。

3.1.2.7 循证评价

在安全管理中，最重要的是基于可靠而充分的安全信息做出有效的安全决策。但令人遗憾的是，因安全决策所需的必要安全信息缺失而导致的许多安全管理失败问题经常发生。因此，可以通过确定与安全管理问题密切相关的最佳证据来获得更加有效的安全管理方案。

循证实践是基于最佳证据进行有效决策的一种方法，已广泛应用于医学、法学、政策学、教育学、管理学与经济学等领域，并已发展形成数门独立的新学科，如循证医学、循证法学、循证政策学、循证教育学与循证管理学等。

当前许多企业进行网络安全防护时虽然部署了很多安全设备，但仍然存在这些设备有没有很好地基于安全策略和安全控制措施来实现安全防护目标的疑问，此时就需要使用循证评价的方式来验证安全防护效果。

3.2 以专业服务为辅助措施

单纯的网络安全设备、软件并不能带来安全的根本性提升，信息安全保障必须结合专业安全服务和专业安全人员指导下的安全制度建设，才能最大化发挥安全资产和系统的价值。

网络安全服务体系是指适应整个安全管理战略的需要，为用户提供覆盖网络安全各个环节全生命周期的解决方案并予以实施的服务，从高端的全面安全体系到细节的技术解决措施，涵盖不同专业和层级的服务团队，并受各类标准规范指导。

3.3 以政策法规为达标基准

3.3.1 网络安全和信息化工作座谈会

2016年4月19日，国家主席在网络安全和信息化工作座谈会发表重要讲话，为我国网络空间安全事业的发展指明了方向。《国家网络空间安全战略》《网络空间国际合作战略》相继出台，为我国网络空间安全发展勾勒了战略指引。

3.3.2 网络安全法

2017年6月1日，《中华人民共和国网络安全法》（简称《网络安全法》，后续提及法律用类似简称方式）正式施行，它为维护国家网络主权提供了法律依据。随着《密码法》、《数据安全法》、《个人信息保护法》、《信息安全技术　网络安全等级保护基本要求》(GB/T 22239—2019)以及《信息安全技术　关键信息基础设施安全保护条例》的颁布实施，这些法律法规对保护社会公共利益，保护公民合法权益、促进经济社会信息化健康发展提出了更高的要求。

3.4 以先进技术为创新支撑

网络攻击日趋分布化、复杂化、自动化，同时，网络安全威胁检测和防御方法面临新变革。一方面，安全监测分析需求由点向面扩展，检测效率、精准度急需提升；另一方面，安全防御需求由被动向主动转化，安全态势感知、主动防御体系得到重视。

诸如基于机器学习和自然语言处理的AI技术，使分析师能够以更高的自信和更快的速度响应威胁、协同分析、全生命周期跟踪安全事件的溯源流程，可极大程度地方便运维人员进行安全威胁排除、攻击链分析、事件溯源，从而提升信息系统的整体安全防御能力。

3.5 以生命周期为覆盖范围

3.5.1 安全覆盖系统开发生命周期

系统开发生命周期涵盖了信息系统的整个生命周期，它是信息系统从产生直到报废的生命周期，周期内一般包括需求分析、系统设计、开发采购、交付实施、运行管理、废弃停用等阶段。需要将安全考虑集成在软件开发的每一个阶段，以减少漏洞，将安全缺陷和风险降低到最小程度。

3.5.2 安全覆盖数据生命周期

基于大数据分类分级和权限安全，构建数据全生命周期的安全治理体系，提供对数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁各环节的安全审计和管控。

3.6 以能力建设为方法模型

国家标准《信息安全技术　云计算服务安全能力要求》(GB/T 31168—2014)描述了以社会化方式为特定客户提供云计算服务时，云服务商应具备的信息安全技术能力。

该标准分为一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同，云服务商应具备的安全能力也各不相同。该标准提出的安全要求分为10类，分别是系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员和物理与环境保护等。

中国信息安全测评中心的信息安全服务（云计算安全类）资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。基本能力要求包括组织与管理要求和技术能力要求，后面章节会详细阐述。

好了，本次内容就分享到这，欢迎大家关注《云计算安全》专栏，后续会继续输出相关内容文章。如果有帮助到大家，欢迎大家点赞+关注+收藏，有疑问也欢迎大家评论留言！