“云時代”：如何保護(hù)云中的信息安全？

關(guān)鍵詞：信息安全 云計算 云安全 身份管理 安全解決方案

企業(yè)信息安全， 因“云”生變

隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)融合應(yīng)用的迅速推進(jìn)，云計算中心在各個城市不斷落地，幾乎很少有人會否認(rèn)云計算是這個時代最為主要的IT趨勢。

然而，“棱鏡門”事件卻給蓬勃發(fā)展的云計算中心敲響了信息安全的警鐘——由于信息泄密的風(fēng)險威脅并未消除，尤其是那些牽涉敏感信息安全防護(hù)的問題，更是受到了許多人的“詬病”。信息安全雖是老問題，但其內(nèi)涵隨著信息技術(shù)的發(fā)展、經(jīng)濟(jì)社會信息化程度的加深而不斷豐富，面臨的新挑戰(zhàn)和新問題也不斷出現(xiàn)。

《2011年互聯(lián)網(wǎng)安全威脅報告》曾將2011年列為數(shù)據(jù)泄露年。據(jù)此推測，2013年則是不折不扣的“嚴(yán)重泄露年”。因為，2013年的泄露事件總數(shù)比2012年的253起高出 62%。這個數(shù)字當(dāng)然更高于2011年的208起。即便是62%也未能真實反映出2013年泄露事件的規(guī)模之巨。在2013年的8起泄露事件中，每起事件泄露的身份信息都超過了1000萬條。2012年，僅有一起事件泄露的身份信息超過千萬條。就連2011年，達(dá)到如此規(guī)模的事件也僅有五起。

2013年10月3日，Adobe發(fā)布了一份官方聲明：“290萬Adobe客戶的某些信息，包括客戶名稱、加密的信用卡或借記卡號碼、到期日期、以及其他與客戶訂單相關(guān)的信息” 被盜用。最昂貴的密碼黑客會打包盜取一個組織的整個數(shù)據(jù)庫資料，包括客戶和/或雇員的用戶 ID 和密碼。憑借竊取的資料，犯罪分子就能迅速獲得數(shù)據(jù)或金錢。無論是出于財務(wù)考慮還是間諜活動，由此導(dǎo)致的結(jié)果都是災(zāi)難性的。

于是，云安全越來越成為安全業(yè)界關(guān)注的重點，一方面云計算應(yīng)用的無邊界性、流動性等特點引發(fā)了很多新的安全問題；另一方面云計算技術(shù)及理念也對傳統(tǒng)安全技術(shù)及應(yīng)用產(chǎn)生了深遠(yuǎn)的影響。

相信每個企業(yè)CIO都會承認(rèn)數(shù)據(jù)是所有企業(yè)的核心資源，企業(yè)處理業(yè)務(wù)，使產(chǎn)品和服務(wù)在未來轉(zhuǎn)化為競爭優(yōu)勢，在很大程度上都依賴數(shù)據(jù)信息，這一點在IT技術(shù)迅猛發(fā)展的今天，得到了更多的證明。因此，保護(hù)數(shù)據(jù)對企業(yè)來說是至關(guān)重要的。今天，對于大部分組織企業(yè)來說，風(fēng)險防范、數(shù)據(jù)隱私和遵從法規(guī)要求，成為云安全的首要顧慮。

云計算產(chǎn)業(yè)具有巨大的市場增長前景，但對于使用這項服務(wù)的用戶來說，云計算服務(wù)存在著異于傳統(tǒng)IT的風(fēng)險和挑戰(zhàn)，企業(yè)遷入云中后，信息資源放在云端，其安全性又受到了新的威脅。為了提高云中各系統(tǒng)資源的安全性，企業(yè)必須提供更高層次的保密性以實現(xiàn)對云中資源的安全訪問和管理。構(gòu)建云環(huán)境下安全有效的資源訪問以實現(xiàn)業(yè)務(wù)邏輯的增值已成為眾多企業(yè)的最新選擇，基于網(wǎng)絡(luò)分配資源的云計算，面臨諸多的安全挑戰(zhàn)，如身份認(rèn)證安全挑戰(zhàn)、虛擬化安全挑戰(zhàn)和數(shù)據(jù)安全挑戰(zhàn)等。

對采納云計算服務(wù)企業(yè)的主要挑戰(zhàn)之一是在云端安全和及時地管理報到（即創(chuàng)建和更新賬戶）和離職（即刪除用戶賬戶）的用戶。企業(yè)私有云中的用戶是動態(tài)變化的，用戶的角色和職責(zé)經(jīng)常會因為業(yè)務(wù)因素而變化。同時，各組織企業(yè)內(nèi)還存在用戶流動的問題。針對用戶的移動性，各組織企業(yè)應(yīng)加強和改進(jìn)對訪問內(nèi)部及外部服務(wù)的不同用戶群的訪問管理。

當(dāng)企業(yè)開始利用云端服務(wù)時，以可信賴及易于管理方式來認(rèn)證用戶是一個至關(guān)重要的要求。企業(yè)必須解決跟身份認(rèn)證有關(guān)的挑戰(zhàn)，例如憑證管理（特權(quán)賬戶以及密碼管理）、強認(rèn)證（通常定義為多因素身份認(rèn)證）、SSO（單點登錄）、及跨越所有云服務(wù)類型的訪問控制管理以及數(shù)據(jù)安全。

云安全應(yīng)對有招，撥開云安全迷霧

那么，企業(yè)應(yīng)如何應(yīng)對這些風(fēng)險和挑戰(zhàn)呢？

首先，用戶的身份識別及訪問權(quán)限控制成為核心問題，必須進(jìn)行有效的管理；其次，隨著訪問點以及企業(yè)內(nèi)部與外部各種用戶的不斷增加，“身份”數(shù)量攀升，要應(yīng)對預(yù)算減少而風(fēng)險增大的壓力，企業(yè)需要的是一套集成化的安全解決方案，來簡化身份識別和訪問管理，從而確保哪些用戶能夠訪問哪些信息；第三，很多企業(yè)采用各不相同的系統(tǒng)來實現(xiàn)用戶的訪問權(quán)限管理等功能，一方面導(dǎo)致后臺成本增加，一方面難于管理，無法進(jìn)行方便有效的審計等。

鑒于上述趨勢和挑戰(zhàn)，企業(yè)CIO、IT安全架構(gòu)師們面臨著這樣一個問題，即如何用合理的資本和運營成本來解決管理多個機制的復(fù)雜性，并靈活響應(yīng)身份認(rèn)證不斷變化的需求？

現(xiàn)在我們已經(jīng)了解了威脅環(huán)境及其對企業(yè)的影響，因此，需要通過實現(xiàn)多因素認(rèn)證，以確定用戶是否是他所宣稱的那個人，這是如今每個企業(yè)關(guān)注的焦點。

我們建議可以選用通用認(rèn)證服務(wù)器，更重要的是要斷開認(rèn)證后臺和認(rèn)證設(shè)備供應(yīng)商的聯(lián)系。通用認(rèn)證服務(wù)器，使企業(yè)能夠通過建立一個統(tǒng)一的系統(tǒng)架構(gòu)，部署各種不同的認(rèn)證方法，以實現(xiàn)強身份認(rèn)證，并從不斷變化的認(rèn)證機制中受益。一個通用的，且永遠(yuǎn)不會過時的認(rèn)證基礎(chǔ)設(shè)施，它支持多種認(rèn)證機制對強身份認(rèn)證的要求，使組織能夠快速配置那些已選的認(rèn)證方法，從而滿足其具體需求。支持多種認(rèn)證方法，而且容易添加新的方法以滿足不同的認(rèn)證機制。企業(yè)還可以通過認(rèn)證工作流程，捆綁兩個或以上的認(rèn)證方法，以滿足強身份認(rèn)證和授權(quán)的要求。

技術(shù)創(chuàng)新和業(yè)務(wù)中斷正在改變當(dāng)今的軟件市場。針對不同企業(yè)的軟件應(yīng)用

程序，人們對軟件即服務(wù)（SaaS）的理念不斷加深，并逐漸深入人心。今天，一個組織和部門內(nèi)部使用10個或以上的Sa a S應(yīng)用程序是很常見的。Gartner預(yù)測，從2010年至2015年，在預(yù)測期結(jié)束時，企業(yè)應(yīng)用軟件市場中的 SaaS 軟件收入總額的整體年均復(fù)合增長率估計為 17.2%，或者 SaaS 軟件收入總額超過 220億美元。這種發(fā)展創(chuàng)新使環(huán)境變得更為復(fù)雜，它要求員工在訪問不同系統(tǒng)、應(yīng)用程序或服務(wù)時，記住多個用戶名和密碼。而這些組織的用戶必須不斷努力才能記住每個應(yīng)用程序所產(chǎn)生的新密碼和帳戶。

對于CIO，還需要思考如下一些問題：

1. 用戶在一個工作日內(nèi)會訪問多少個應(yīng)用程序？

2. 密碼多久更換一次？每90天？60天？ 30天？

3. 是否有有效的密碼策略？誰強制遵從？

4. 是否有密碼泄漏的情況（如便利貼、智能手機）？

5. 員工的工作效率/績效對企業(yè)重要嗎？

6. 是否因密碼共享導(dǎo)致欺詐事件？

隨著應(yīng)用和部署的多樣化，組織需要制定和執(zhí)行一個SSO策略，以減少密碼相關(guān)的支持事件，并為用戶提供更多的便利和更高效的認(rèn)證流程。一個全面的SSO策略需要解決以下需求：

· 企業(yè) SSO

· Web SSO

· 聯(lián)邦 SSO

· 移動 SSO

另外，出于合規(guī)或公司隱私的需求，云中的機密數(shù)據(jù)必須要保護(hù)。隨著由系統(tǒng)內(nèi)部管理的機密信息不斷的遷移到云中，與之相應(yīng)，需要花同樣的力氣去保護(hù)這些機密信息。將數(shù)據(jù)遷移到云中對提高機密性和數(shù)據(jù)保護(hù)沒有任何幫助。與之相反，由于失去了對處于公司安全邊界外的數(shù)據(jù)的控制，將會增加數(shù)據(jù)保護(hù)的復(fù)雜度，因而欺詐的風(fēng)險也會上升。有很多因素促使企業(yè)考慮云中數(shù)據(jù)加密，包括：在將數(shù)據(jù)遷移到云中時通過加密來保護(hù)數(shù)據(jù)，所需要做的工作要多于僅僅確保使用安全轉(zhuǎn)移通道。在數(shù)據(jù)傳輸過程中加密不能確保數(shù)據(jù)在云中能得到保護(hù)。一旦數(shù)據(jù)達(dá)到云中，這些數(shù)據(jù)無論在云中還是在使用仍然需要保護(hù)；理解在數(shù)據(jù)的整個生存周期中，如何管理加密或解密的密鑰。如果只有你自己有密鑰，那么只有你有資格訪問你的文件；不要忘記保護(hù)那些經(jīng)常被忽略的文件，因為它們經(jīng)常包含敏感信息。在數(shù)據(jù)的訪問控制方面，可通過采用基于身份認(rèn)證的權(quán)限控制方式，進(jìn)行實時的身份監(jiān)控、權(quán)限認(rèn)證和證書檢查，防止用戶間的非法越權(quán)訪問。對數(shù)據(jù)進(jìn)行加密是實現(xiàn)數(shù)據(jù)保護(hù)的一個重要方法，即使該數(shù)據(jù)被人非法竊取，對他們來說也只是一堆亂碼，而無法知道具體的信息內(nèi)容。

在云計算應(yīng)用環(huán)境下，數(shù)據(jù)的網(wǎng)絡(luò)傳輸不可避免，因此保障數(shù)據(jù)傳輸?shù)陌踩砸埠苤匾?shù)據(jù)傳輸加密可以選擇在鏈路層、網(wǎng)絡(luò)層、傳輸層等層面實現(xiàn)，采用網(wǎng)絡(luò)傳輸加密技術(shù)保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的機密性、完整性、可用性。對于管理信息加密傳輸，可采用SSH、SSL等方式為云計算系統(tǒng)內(nèi)部的維護(hù)管理提供數(shù)據(jù)加密通道，保障維護(hù)管理信息安全。對于用戶數(shù)據(jù)加密傳輸，可采用IPSec VPN、SSL等VPN技術(shù)提高用戶數(shù)據(jù)的網(wǎng)絡(luò)傳輸安全性。

由于用戶數(shù)據(jù)在云計算平臺中是共享存儲的，今天分配給某一用戶的存儲空間，明天可能分配給另外一個用戶，因此需要做好剩余信息的保護(hù)措施。所以要求云計算系統(tǒng)在將存儲資源重分配給新的用戶之前，必須進(jìn)行完整的數(shù)據(jù)擦除，在對存儲的用戶文件/對象刪除后，對對應(yīng)的存儲區(qū)進(jìn)行完整的數(shù)據(jù)擦除或標(biāo)識為只寫（只能被新的數(shù)據(jù)覆寫），防止被非法惡意恢復(fù)。

某大型商業(yè)銀行業(yè)務(wù)系統(tǒng)信息安全案例

該銀行需要一個基于網(wǎng)絡(luò)的網(wǎng)上銀行渠道，為地區(qū)的個人客戶和企業(yè)客戶服務(wù)。它必須符合或超出央行，包括金融管理局、銀監(jiān)會所規(guī)定的安全準(zhǔn)則的要求。

該銀行需要一整套解決方案，并要求該方案能滿足以下幾點：

· 對客戶PIN的端到端保護(hù)—必須從輸入點（瀏覽器）到比較點（硬件安全模塊內(nèi)部）對加密的PIN進(jìn)行加密。在整個創(chuàng)建和打印的過程中，客戶PIN也必須受到保護(hù)。

· 結(jié)合OTP（一次性密碼）、VASCO令牌和短信OTP的強身份認(rèn)證—這也是基于企業(yè)的安全標(biāo)準(zhǔn)和網(wǎng)上銀行監(jiān)管規(guī)定的要求。

· 一個通用的安全解決方案，以幫助他們解決上述兩個要求，以遵守針對網(wǎng)上銀行應(yīng)用的政府法規(guī)。該解決方案必須提供行政和管理職能，以處理硬件令牌的分配和管理。

我們的集中安全管理方法在整個項目中都得以應(yīng)用，以協(xié)助銀行實施和配置通用認(rèn)證服務(wù)器（UAS）的端到端加密認(rèn)證（E2EEA）、VASCO令牌管理模塊和短信OTP模塊，從而為銀行實現(xiàn)認(rèn)證和管理要求提供后臺認(rèn)證和管理平臺，以遵守針對網(wǎng)上銀行的銀行管理制度。

項目通用認(rèn)證服務(wù)器的端到端加密認(rèn)證（UAS E2EEA）為PIN生命周期管理，包括pin generation 和 pin mailer printing提供了一整套解決方案；通過UAS客戶端的加密庫，在端點（PC或移動設(shè)備）對Pin進(jìn)行加密，并保持加密狀態(tài)，直到HSM內(nèi)部的比較點。這可確保銀行內(nèi)部無人有權(quán)訪問PIN。通用認(rèn)證服務(wù)器的VASCO 令牌管理模塊還提供了與銀行現(xiàn)有的動態(tài)密碼鎖 OTP令牌的無縫集成，使得該銀行能夠不受干擾地保護(hù)現(xiàn)有的投資；通用認(rèn)證服務(wù)器的VASCO令牌管理模塊還提供了開箱即用的解決方案，以充分利用由VASCO的DigiPass令牌提供的所有安全功能。預(yù)集成和經(jīng)驗定的雙因素認(rèn)證解決方案可降低集成的復(fù)雜性，并縮短對安全性要求較高的的應(yīng)用程序為滿足強身份認(rèn)證的要求而部署雙因素認(rèn)證的時間。該集成解決方案還能管理整個令牌管理的生命周期，例如：

· 發(fā)行（出廠初始化或自動初始化）、交付、啟用、遺失令牌、不同步和超時更換

· 可定制的用戶界面，方便幫助臺的工作人員支持令牌管理功能

· 詳細(xì)審計跟蹤信息和靈活的報告

· 為用戶提供可定制的自助服務(wù)界面，以實施令牌管理職能

我們的通用認(rèn)證服務(wù)器平臺保證了該銀行跨電子渠道訪問的信心及完整性。該平臺也奠定了強大的技術(shù)風(fēng)險管理程序的信任基礎(chǔ)。該程序能夠處理所有已知的攻擊，并為快速響應(yīng)未來攻擊提供了平臺。最后但同樣重要的是，該平臺允許銀行及其客戶端，靈活地選擇便捷而安全的、基于風(fēng)險的認(rèn)證方法來訪問其產(chǎn)品。

如今，世界各國之間的聯(lián)系日漸緊密，全球通信系統(tǒng)不斷推動著技術(shù)進(jìn)步、社會變革和文化變遷。這種互聯(lián)導(dǎo)致風(fēng)險的多樣化。如果企業(yè)不認(rèn)證評估自己的風(fēng)險，并確定和實施合適的認(rèn)證，那么，他們終將繼續(xù)處于劣勢。多因素認(rèn)證是確保企業(yè)朝正確的方向發(fā)展的重要一步。采用多因素認(rèn)證允許跨端點的普適性，同時，可以保持高度的安全性和可靠性。