物聯云平臺，加強多維度安全保障

文 | 本刊記者 姜紅德

物聯云平臺，加強多維度安全保障

文 | 本刊記者 姜紅德

如果說物聯網終端相當于人的手腳、眼鼻口，網絡通信傳輸管道相當于人的四肢軀干，那么云端就等同于人的大腦，其安全重要性可見一斑。

2017年2月底，由國內產學研多家機構聯合發布了《2016物聯網安全白皮書》，白皮書就當前熱門的物聯網安全問題進行了獨家分析，并重點指出物聯網是一個規模龐大的信息計算系統，這個系統需要一個強有力的平臺提供計算和存儲服務來支撐其應用需求，云平臺能夠對物聯網終端所收集的數據信息進行綜合、整理、分析、反饋等操作。

白皮書強調，物聯網中的應用都是數據密集型的，傳感設備與云平臺之間、用戶與云平臺之間和用戶與傳感設備之間時刻都在進行數據交互，一旦數據丟失和損壞都將造成難以預料的后果。如果說物聯網終端相當于人的手腳、眼鼻口，網絡通信傳輸管道相當于人的四肢軀干，那么云端就等同于人的大腦，其安全重要性可見一斑。物聯網云端保存著所有終端搜集上來的信息數據，以及據此分析獲得的新數據信息。這些信息就猶如存放在倉庫里的黃金珠寶，時刻誘惑著黑客發起攻擊。云端一個小小的業務邏輯漏洞，就可能會給黑客攻擊大開方便之門。因此，云平臺必須采取適當的安全策略來保證物聯網中數據的完整性、保密性和不可抵賴性。云平臺安全包括云存儲安全、云計算安全、云應用安全。

據白皮書主要撰寫人、梆梆安全研究院院長盧佐華介紹，云存儲安全的主要目的是保證數據存儲的完整性和保密性，常采用的安全機制包括數據隔離與交換、數據備份、數據檢錯糾錯、文件系統安全性、訪問控制和身份鑒別等。云存儲安全通過數據隔離與交換、冗余備份數據，將數據存放在不同的數據中心，以保證個別存儲設備的故障不影響整個存儲系統的可用性；通過采用檢錯和糾錯技術使系統迅速發現錯誤并找尋備份數據來完成數據存取訪問，保證數據的正確讀寫；通過文件系統加密實現存儲系統安全；通過訪問控制和身份鑒別技術有效地控制用戶對存儲資源的訪問，將用戶對存儲系統的訪問限制在一定的范圍內，從而保證其他用戶數據的安全性，防止越界訪問。

盧佐華表示，云計算安全主要是保證云平臺數據計算與運行環境的安全，特別是基于虛擬化技術的云計算安全。重點應考慮虛擬化軟件和虛擬服務器安全，虛擬化軟件安全是保證客戶虛擬機在多租戶環境下相互隔離的重要層次，必須嚴格限制任何未經授權的用戶訪問虛擬化軟件層，限制對于Hypervisor 和其他形式的虛擬化層次的物理和邏輯訪問控制。虛擬化層的完整性和可用性對于保證云平臺的完整性和可用性是最重要，也是最關鍵的。一個有漏洞的虛擬化軟件會暴露所有的業務域給惡意的入侵者。虛擬服務器位于虛擬化軟件之上，對于物理服務器的安全原理與實踐也可以被運用到虛擬服務器上，同時需要兼顧虛擬服務器的特點，包括選擇具有TPM 安全模塊的物理服務器、使用支持虛擬技術的CPU、安裝虛擬服務器時分配獨立的硬盤分區、使用VLAN和不同的IP 網段、在防火墻中為虛擬服務器做相應的安全設置等，以對它們進行保護和隔離，并與其他安全防范措施一起構成多層次防范體系。

云應用安全主要是面向用戶提供一些安全手段來保證用戶數據在傳輸、交換和使用過程中的安全性，防止用戶數據被非法訪問和泄露，常采用的安全機制包括存儲加密、交換加密、身份認證與訪問控制、接口安全和個人信息安全保護等。存儲加密是在訪問云入口時對數據進行加密，以保障傳輸和存儲的安全性；交換加密是采用數字信封等技術手段，保證用戶數據在交互過程中的安全性；身份認證與訪問控制機制是允許授權用戶在自己的權限范圍內進行數據操作，從而防止非法用戶對數據的訪問；接口安全是根據物聯網的應用需求不同而提供不同的應用接口，采用多接口模式和加密技術等通過接口安全保證應用程序對存儲資源的安全訪問；個人信息安全保護是采用數據自我銷毀技術等建立在云服務器端對用戶數據從創建到銷毀全過程的隱私保護機制。

針對云平臺的安全產品、安全方案很多，也在逐漸成熟，不過對于物聯網云平臺而言，盧佐華認為，還需要更注重移動安全這個維度的安全防御，例如需要移動威脅感知平臺來完善云平臺安全情報體系，通過SOC、M-SOC（Security Operation Center for Mobile）實現對物聯網安全體系的整體管控，通過移動安全測評云平臺實現對物聯網云端應用、源碼、服務器安全性的實時檢驗與監測。

SOC 并非一個新的概念，但在物聯網時代，面對復雜的物聯網安全體系，SOC 的作用在變得愈加凸顯。SOC 作為安全體系的一個集中單元，會在整個組織和技術的高度處理各類安全問題。SOC能夠將安全防御孤島連接起來，從安全情報、安全產品、安全運維到安全服務，SOC 可以使之不再割裂，提高整體安全防御效率，降低安全防御成本。SOC 由于自身特點，使其所處位置只能是在云端層面：其或會依托于云計算平臺，作為云平臺內部的一個模塊組件，或者單獨以安全管理云平臺的形式并列于云端之側。物聯網與業務之間的結合達到了一個前所未有的高度，那么在物聯網安全體系里，SOC 將以業務為導向驅動，量化安全、展示安全、控制安全，實現安全管理技術化。通過SOC 可以對物聯網云端、終端、傳輸端進行邏輯層、物理層等多層面的安全檢測，及時解決所發現的安全隱患，力爭將危機消滅于萌芽之中。而借助SOC 還能夠洞悉物聯網整體系統的安全態勢，即時制定新安全防御策略，實施有效的安全防護動作，并實現對全網傳統與新興安全能力的整合，避免安全防護一盤散沙局面的出現。而M-SOC 則能在物聯網移動維度實現全生命周期的安全防護，有力補足了物聯網安全體系可能出現的安全防護遺漏。

物聯網的安全觸角實在太為廣闊，覆蓋了眾多領域維度。從大的方面考慮，需要各SOC 能夠實現耦合，進行安全防御聯動，共享安全情報信息，整體把控物聯網安全。往小的層面看，由微邊界聯合起來的眾多物聯網終端微點，要能夠逐步實現矩陣化，從松散的個體成為組織化、智能自適應化的嚴謹統一整體。以集體的力量有效對抗有組織的惡意攻擊。

白皮書指出，在物聯網時代，不同行業的云平臺之間勢必將互相連通起來，物聯網可以說就是各類云平臺的整合。而在云平臺整合的背后，則聯動著不同行業、不同領域物聯網安全管控平臺的整合，物聯網安全體系內部各個環節的整合，物聯網微觀環境里各個單元、模組的整合。只有將一切松散元素鍛造成嚴密的統一整體，才能將物聯網安全清晰地呈現在人們面前。如何度量安全？在物聯網時代里，或將做到這一點。加上全生態環境安全協同，可讓物聯網安全變得高度可控！