“云時代”：如何保護云中的信息安全？

關鍵詞：信息安全 云計算 云安全 身份管理 安全解決方案

企業信息安全， 因“云”生變

隨著云計算、物聯網、大數據融合應用的迅速推進，云計算中心在各個城市不斷落地，幾乎很少有人會否認云計算是這個時代最為主要的IT趨勢。

然而，“棱鏡門”事件卻給蓬勃發展的云計算中心敲響了信息安全的警鐘——由于信息泄密的風險威脅并未消除，尤其是那些牽涉敏感信息安全防護的問題，更是受到了許多人的“詬病”。信息安全雖是老問題，但其內涵隨著信息技術的發展、經濟社會信息化程度的加深而不斷豐富，面臨的新挑戰和新問題也不斷出現。

《2011年互聯網安全威脅報告》曾將2011年列為數據泄露年。據此推測，2013年則是不折不扣的“嚴重泄露年”。因為，2013年的泄露事件總數比2012年的253起高出 62%。這個數字當然更高于2011年的208起。即便是62%也未能真實反映出2013年泄露事件的規模之巨。在2013年的8起泄露事件中，每起事件泄露的身份信息都超過了1000萬條。2012年，僅有一起事件泄露的身份信息超過千萬條。就連2011年，達到如此規模的事件也僅有五起。

2013年10月3日，Adobe發布了一份官方聲明：“290萬Adobe客戶的某些信息，包括客戶名稱、加密的信用卡或借記卡號碼、到期日期、以及其他與客戶訂單相關的信息” 被盜用。最昂貴的密碼黑客會打包盜取一個組織的整個數據庫資料，包括客戶和/或雇員的用戶 ID 和密碼。憑借竊取的資料，犯罪分子就能迅速獲得數據或金錢。無論是出于財務考慮還是間諜活動，由此導致的結果都是災難性的。

于是，云安全越來越成為安全業界關注的重點，一方面云計算應用的無邊界性、流動性等特點引發了很多新的安全問題；另一方面云計算技術及理念也對傳統安全技術及應用產生了深遠的影響。

相信每個企業CIO都會承認數據是所有企業的核心資源，企業處理業務，使產品和服務在未來轉化為競爭優勢，在很大程度上都依賴數據信息，這一點在IT技術迅猛發展的今天，得到了更多的證明。因此，保護數據對企業來說是至關重要的。今天，對于大部分組織企業來說，風險防范、數據隱私和遵從法規要求，成為云安全的首要顧慮。

云計算產業具有巨大的市場增長前景，但對于使用這項服務的用戶來說，云計算服務存在著異于傳統IT的風險和挑戰，企業遷入云中后，信息資源放在云端，其安全性又受到了新的威脅。為了提高云中各系統資源的安全性，企業必須提供更高層次的保密性以實現對云中資源的安全訪問和管理。構建云環境下安全有效的資源訪問以實現業務邏輯的增值已成為眾多企業的最新選擇，基于網絡分配資源的云計算，面臨諸多的安全挑戰，如身份認證安全挑戰、虛擬化安全挑戰和數據安全挑戰等。

對采納云計算服務企業的主要挑戰之一是在云端安全和及時地管理報到（即創建和更新賬戶）和離職（即刪除用戶賬戶）的用戶。企業私有云中的用戶是動態變化的，用戶的角色和職責經常會因為業務因素而變化。同時，各組織企業內還存在用戶流動的問題。針對用戶的移動性，各組織企業應加強和改進對訪問內部及外部服務的不同用戶群的訪問管理。

當企業開始利用云端服務時，以可信賴及易于管理方式來認證用戶是一個至關重要的要求。企業必須解決跟身份認證有關的挑戰，例如憑證管理（特權賬戶以及密碼管理）、強認證（通常定義為多因素身份認證）、SSO（單點登錄）、及跨越所有云服務類型的訪問控制管理以及數據安全。

云安全應對有招，撥開云安全迷霧

那么，企業應如何應對這些風險和挑戰呢？

首先，用戶的身份識別及訪問權限控制成為核心問題，必須進行有效的管理；其次，隨著訪問點以及企業內部與外部各種用戶的不斷增加，“身份”數量攀升，要應對預算減少而風險增大的壓力，企業需要的是一套集成化的安全解決方案，來簡化身份識別和訪問管理，從而確保哪些用戶能夠訪問哪些信息；第三，很多企業采用各不相同的系統來實現用戶的訪問權限管理等功能，一方面導致后臺成本增加，一方面難于管理，無法進行方便有效的審計等。

鑒于上述趨勢和挑戰，企業CIO、IT安全架構師們面臨著這樣一個問題，即如何用合理的資本和運營成本來解決管理多個機制的復雜性，并靈活響應身份認證不斷變化的需求？

現在我們已經了解了威脅環境及其對企業的影響，因此，需要通過實現多因素認證，以確定用戶是否是他所宣稱的那個人，這是如今每個企業關注的焦點。

我們建議可以選用通用認證服務器，更重要的是要斷開認證后臺和認證設備供應商的聯系。通用認證服務器，使企業能夠通過建立一個統一的系統架構，部署各種不同的認證方法，以實現強身份認證，并從不斷變化的認證機制中受益。一個通用的，且永遠不會過時的認證基礎設施，它支持多種認證機制對強身份認證的要求，使組織能夠快速配置那些已選的認證方法，從而滿足其具體需求。支持多種認證方法，而且容易添加新的方法以滿足不同的認證機制。企業還可以通過認證工作流程，捆綁兩個或以上的認證方法，以滿足強身份認證和授權的要求。

技術創新和業務中斷正在改變當今的軟件市場。針對不同企業的軟件應用

程序，人們對軟件即服務（SaaS）的理念不斷加深，并逐漸深入人心。今天，一個組織和部門內部使用10個或以上的Sa a S應用程序是很常見的。Gartner預測，從2010年至2015年，在預測期結束時，企業應用軟件市場中的 SaaS 軟件收入總額的整體年均復合增長率估計為 17.2%，或者 SaaS 軟件收入總額超過 220億美元。這種發展創新使環境變得更為復雜，它要求員工在訪問不同系統、應用程序或服務時，記住多個用戶名和密碼。而這些組織的用戶必須不斷努力才能記住每個應用程序所產生的新密碼和帳戶。

對于CIO，還需要思考如下一些問題：

1. 用戶在一個工作日內會訪問多少個應用程序？

2. 密碼多久更換一次？每90天？60天？ 30天？

3. 是否有有效的密碼策略？誰強制遵從？

4. 是否有密碼泄漏的情況（如便利貼、智能手機）？

5. 員工的工作效率/績效對企業重要嗎？

6. 是否因密碼共享導致欺詐事件？

隨著應用和部署的多樣化，組織需要制定和執行一個SSO策略，以減少密碼相關的支持事件，并為用戶提供更多的便利和更高效的認證流程。一個全面的SSO策略需要解決以下需求：

· 企業 SSO

· Web SSO

· 聯邦 SSO

· 移動 SSO

另外，出于合規或公司隱私的需求，云中的機密數據必須要保護。隨著由系統內部管理的機密信息不斷的遷移到云中，與之相應，需要花同樣的力氣去保護這些機密信息。將數據遷移到云中對提高機密性和數據保護沒有任何幫助。與之相反，由于失去了對處于公司安全邊界外的數據的控制，將會增加數據保護的復雜度，因而欺詐的風險也會上升。有很多因素促使企業考慮云中數據加密，包括：在將數據遷移到云中時通過加密來保護數據，所需要做的工作要多于僅僅確保使用安全轉移通道。在數據傳輸過程中加密不能確保數據在云中能得到保護。一旦數據達到云中，這些數據無論在云中還是在使用仍然需要保護；理解在數據的整個生存周期中，如何管理加密或解密的密鑰。如果只有你自己有密鑰，那么只有你有資格訪問你的文件；不要忘記保護那些經常被忽略的文件，因為它們經常包含敏感信息。在數據的訪問控制方面，可通過采用基于身份認證的權限控制方式，進行實時的身份監控、權限認證和證書檢查，防止用戶間的非法越權訪問。對數據進行加密是實現數據保護的一個重要方法，即使該數據被人非法竊取，對他們來說也只是一堆亂碼，而無法知道具體的信息內容。

在云計算應用環境下，數據的網絡傳輸不可避免，因此保障數據傳輸的安全性也很重要。數據傳輸加密可以選擇在鏈路層、網絡層、傳輸層等層面實現，采用網絡傳輸加密技術保證網絡傳輸數據信息的機密性、完整性、可用性。對于管理信息加密傳輸，可采用SSH、SSL等方式為云計算系統內部的維護管理提供數據加密通道，保障維護管理信息安全。對于用戶數據加密傳輸，可采用IPSec VPN、SSL等VPN技術提高用戶數據的網絡傳輸安全性。

由于用戶數據在云計算平臺中是共享存儲的，今天分配給某一用戶的存儲空間，明天可能分配給另外一個用戶，因此需要做好剩余信息的保護措施。所以要求云計算系統在將存儲資源重分配給新的用戶之前，必須進行完整的數據擦除，在對存儲的用戶文件/對象刪除后，對對應的存儲區進行完整的數據擦除或標識為只寫（只能被新的數據覆寫），防止被非法惡意恢復。

某大型商業銀行業務系統信息安全案例

該銀行需要一個基于網絡的網上銀行渠道，為地區的個人客戶和企業客戶服務。它必須符合或超出央行，包括金融管理局、銀監會所規定的安全準則的要求。

該銀行需要一整套解決方案，并要求該方案能滿足以下幾點：

· 對客戶PIN的端到端保護—必須從輸入點（瀏覽器）到比較點（硬件安全模塊內部）對加密的PIN進行加密。在整個創建和打印的過程中，客戶PIN也必須受到保護。

· 結合OTP（一次性密碼）、VASCO令牌和短信OTP的強身份認證—這也是基于企業的安全標準和網上銀行監管規定的要求。

· 一個通用的安全解決方案，以幫助他們解決上述兩個要求，以遵守針對網上銀行應用的政府法規。該解決方案必須提供行政和管理職能，以處理硬件令牌的分配和管理。

我們的集中安全管理方法在整個項目中都得以應用，以協助銀行實施和配置通用認證服務器（UAS）的端到端加密認證（E2EEA）、VASCO令牌管理模塊和短信OTP模塊，從而為銀行實現認證和管理要求提供后臺認證和管理平臺，以遵守針對網上銀行的銀行管理制度。

項目通用認證服務器的端到端加密認證（UAS E2EEA）為PIN生命周期管理，包括pin generation 和 pin mailer printing提供了一整套解決方案；通過UAS客戶端的加密庫，在端點（PC或移動設備）對Pin進行加密，并保持加密狀態，直到HSM內部的比較點。這可確保銀行內部無人有權訪問PIN。通用認證服務器的VASCO 令牌管理模塊還提供了與銀行現有的動態密碼鎖 OTP令牌的無縫集成，使得該銀行能夠不受干擾地保護現有的投資；通用認證服務器的VASCO令牌管理模塊還提供了開箱即用的解決方案，以充分利用由VASCO的DigiPass令牌提供的所有安全功能。預集成和經驗定的雙因素認證解決方案可降低集成的復雜性，并縮短對安全性要求較高的的應用程序為滿足強身份認證的要求而部署雙因素認證的時間。該集成解決方案還能管理整個令牌管理的生命周期，例如：

· 發行（出廠初始化或自動初始化）、交付、啟用、遺失令牌、不同步和超時更換

· 可定制的用戶界面，方便幫助臺的工作人員支持令牌管理功能

· 詳細審計跟蹤信息和靈活的報告

· 為用戶提供可定制的自助服務界面，以實施令牌管理職能

我們的通用認證服務器平臺保證了該銀行跨電子渠道訪問的信心及完整性。該平臺也奠定了強大的技術風險管理程序的信任基礎。該程序能夠處理所有已知的攻擊，并為快速響應未來攻擊提供了平臺。最后但同樣重要的是，該平臺允許銀行及其客戶端，靈活地選擇便捷而安全的、基于風險的認證方法來訪問其產品。

如今，世界各國之間的聯系日漸緊密，全球通信系統不斷推動著技術進步、社會變革和文化變遷。這種互聯導致風險的多樣化。如果企業不認證評估自己的風險，并確定和實施合適的認證，那么，他們終將繼續處于劣勢。多因素認證是確保企業朝正確的方向發展的重要一步。采用多因素認證允許跨端點的普適性，同時，可以保持高度的安全性和可靠性。