千人智庫官方二維碼

首頁  >   千人智庫 > 首頁焦點
李雨航:信息安全的云衛士
時間:2018-12-10 14:55:43來源:千人雜志
提交需求
提要:“我們個人信息安全正處于十分嚴峻的時代,數據泄露事件不斷發生?!睂τ谠朴嬎愦髷祿男畔⑿孤?,李雨航介紹道:“這類新興技術,基于數據信息中央存儲的形式,數據一旦丟失,損失非常大,會加劇信息丟失的嚴重性?!?/div>
李雨航:信息安全的云衛士

文/本刊記者裴媛

隨著云計算等新興技術的發展,云安全問題受到越來越多人的關注,新興技術及其業務模式的發展不僅帶來便利和富足的物質生活,也帶來了嚴峻的信息安全問題。西方媒體曾做過一項調查,76%的人會因為個人信息泄露而減少網絡活動,而在中國這一比例只有20-30%,這充分說明目前我們對個人信息安全的重視程度遠遠不夠。故本刊特邀云安全聯盟大中華區主席李雨航教授,請他為我們介紹當今網絡安全形勢及云安全行業發展現狀。

網絡安全形式嚴峻

“我們個人信息安全正處于十分嚴峻的時代,數據泄露事件不斷發生。”對于云計算大數據的信息泄露,李雨航介紹道:“這類新興技術,基于數據信息中央存儲的形式,數據一旦丟失,損失非常大,會加劇信息丟失的嚴重性。”對于個人的信息泄露,李雨航認為最主要的原因在于國家針對個人隱私問題的法律在推出和實施上還沒有細化。

據李雨航介紹,云安全有兩個含義:一個是保障云服務的安全,另一個是利用云計算來增強安全能力。一方面,云計算的計算能力和存儲能力非常強大,黑客能夠進攻它,也能夠利用它的力量來強化攻擊技術。另一方面,云計算可以成為安全專家和安全防護人員的武器,安全防護人員可以用云計算大數據的力量來打造新的安全服務,把這些安全服務利用云技術傳遞給用戶。這個概念在云安全范疇里,稱為安全云或者安全云服務。

對于企業來說,隨著云計算、大數據等新興技術的產生,面臨的數據安全問題更加嚴峻。“云計算是把企業的計算資源作為一種服務,放在云計算中心,由云服務商來提供傳統的IT服務。企業從先期購買IT資源變成到云服務商那里租用IT服務的用戶,企業的數據就已經從隔離保護的邊界里出去,不再由企業掌控。另外云計算采用了大量虛擬機等技術,這些技術的安全性如何,還需要時間來驗證。在這種情況下,如何對數據進行安全保護成為更大的難題。”李雨航介紹道。

李雨航做了一個比喻,企業數據以往在自己“家”里非常安全,周圍有安全門、防盜鎖等一系列完備的安全防護措施。由于企業需要發展,數據被搬到一個公共環境——云計算中,云計算類似于一個新環境,在這種環境下數據面臨更多的風險和威脅,數據的保護方式與傳統手段截然不同。在傳統方式中,黑客要進攻企業數據資產,他會采用物理方式,通過門禁系統進來,或者通過防火墻外部進來。在云計算的環境中,攻擊者也可以購買一個服務,他可能跟企業共享一個虛擬機,這樣威脅系數直線上升。“你在自己家里,入侵者如果想進來,他需要破壞你的報警和防御系統。如果你處于一個公共環境,你身邊可能處處是敵人,黑客要攻擊你就容易了,這種威脅程度是不一樣的。”李雨航強調,“數據在云端遭遇的攻擊面更大,黑客可以變成一個租戶從側面進攻,甚至黑客會收買云服務商的管理員,從背后或內部攻擊企業數據。”

李雨航認為目前我們面臨的安全形勢緊張,未來更有挑戰性。“我們的對手,黑客和攻擊者他們也在想盡各種方法增強自身的實力。而且還存在一些特殊組織,他們會高額投資技術來專門做攻擊,攻擊手段更是層出不窮。”李雨航提到,“這些新興技術引入了太多變量,太多攻擊面,我們防守者很難保護。因為攻擊者只需要攻破一個點,能夠進來就攻擊成功了。而防守者卻需要面面俱到,把所有的點都堵住,這對防守者來說十分困難。”

多種手段共同維護信息安全

“維護信息安全,需要結合法律手段、管理手段和技術手段,同時還要注重公民教育,僅從一個局部下手無法從根本上解決問題。”李雨航解釋道。

“法律在其中起決定性作用。法律是源頭,沒有法律的約束,黑色產業會越來越猖獗。”李雨航強調,“其他手段只是修修補補,法律是核心。”2015年,國家推出《國家安全法》,首次把網絡安全寫進國家安全;2016年國家推出網絡安全領域的基本法律《中華人民共和國網絡安全法》。這一系列法律政策讓網絡安全有法可依,表明了國家對數據信息的保護越來越重視。

管理手段是法律手段的補充,法律法規在具體實施上需要通過管理和技術手段來幫助落實。如政府結合國內外安全行業形勢頒布了安全行業標準,要求企業和服務商做對應的防護措施;美國政府和云安全聯盟合作推出了RAMP STAR認證;云安全聯盟結合安全產業形勢對服務商發布了行業的云安全標準。政府和行業都會制定安全標準,這些標準是對云服務商和企業的一種管理手段。“如果不提要求,有些云服務商可能會偷懶,畢竟安全投資需要大量資金。”李雨航說。

個人隱私的泄露已經成為整個行業的痛點,因此企業和學術界做了大量前沿性的研究工作,在隱私技術方面產生了很多新興技術。從賬號管理體系、身份認證體系、訪問控制體系到審計體系等,都取得了不菲的成績。李雨航舉了一個例子:現在被蘋果引用的差分隱私技術是由微軟科學家發明的,當個人隱私在被傳到中央服務端時,差分隱私技術通過對個人隱私加一些噪聲,達到保護統計后隱私信息的目的。在大量隱私信息被傳到中央儲存的情況下,黑客識別不出哪些是個人的,所以隱私能夠得到保護。“在技術上,我們能做的事非常多,但技術是要有成本投入的。”李雨航說,“如果法律有這方面的要求,比如要保護隱私,那么相應的技術手段會得到投資”。如歐盟在2016年頒布的《通用數據保護條例》是一個典型例子,如果企業達不到這個要求,將會受到非常重的處罰,罰款最高甚至可以達到全球營業額的4%。在這種情況下與歐盟業務相關的企業,他們就愿意投資有關隱私保護的技術。

除此之外,公民教育也是很重要的一種手段。李雨航提到云安全這類新興技術,知識更新非???,無法及時進入課堂,導致目前我國安全產業人才匱乏。“現在有了非常大的轉變,我們國家意識到網絡安全是非常重要的領域,所以從去年開始把網絡空間安全列為了一級學科,跟計算機學科是并列的,授權很多大學來開展這個學科的教育。”李雨航提到,“但是我覺得從長期來講,國內教育還有許多工作要做,給學生提供更多實踐經驗。我希望有更多的高校和云服務或云安全公司進行合作,共同致力于網絡安全人才的培養。”

除了上述幾種手段以外,李雨航認為,為了應對未來網絡安全不斷惡化的形勢,云服務商和云安全公司需要擺脫傳統防御的思維來做一些創新,化被動為主動,針對新環境開發新技術。新技術不僅可以帶來威脅和風險,也可以用來增強安全能力。李雨航介紹,云安全聯盟在這方面做了很多創新性工作,“我們有一個方案是讓攻擊者看不見攻擊目標,不管攻擊者再厲害,系統應用的漏洞再多,你看不見我,就沒法進攻,這種叫做隱身術,我們有不少這樣的方案。”李雨航認為,“我們行業需要思考怎樣利用新興技術來做安全工作。不只是防御,還有到檢測,再到數據自我保護。不管環境是否安全,有無漏洞,核心數據資產都能夠自我保護,受到攻擊后能夠快速地自我識別、自我恢復。”

云安全聯盟——網絡安全的領跑者

云安全聯盟(CSA)2009年在RSA安全大會上正式成立,目前有美洲區、歐非區、亞太區及大中華區。在李雨航的努力促成下,云安全聯盟大中華區在2017年依托中國云安全聯盟開始進行專業化運作。李雨航擔任國際云安全聯盟CSA大中華區主席兼全球戰略總顧問。聯盟向企業會員提供服務,現在會員大約有300家來自全球500強的科技公司和安全公司,比如亞馬遜、微軟、谷歌、騰訊云、華為等。

中國云安全聯盟是獨立、中立、專業、權威、具有公信力的中國非盈利組織,也是國際產業組織(如國際云安全聯盟CSA)在華的運營單位。中國云安全聯盟使得國際安全業務在中國自主可控,為中國引進來、走出去搭建國內外認可的國際通道,為中國網絡安全產業在國際發聲。

對于企業會員,CSA一般采用定制化的合作。企業與CSA一起制定標準,做人才培訓和研究安全技術等工作。“通常企業會提出一個特定的問題或需求,云安全聯盟幫助企業整合資源,由企業作為工作組長,一起對問題做研究。比如在華為,我們成立了兩個工作組,一個針對云安全管理項目,還有一個針對云安全產品組件安全項目。”李雨航介紹到。

對于個人會員,CSA會提供很多活動機會,幫助他們了解最新技術知識和發展趨勢,甚至包括新技能培訓。“安全人才的儲備是我們與攻擊者較量中最重要的一環,如果我們沒有足夠的后備力量,很難打贏這場安全戰爭。云安全聯盟創立了認證培訓計劃,開設有關云安全專業的培訓課程,通過考試的專家可以拿到證書,他可以向業界證明他掌握了一定的安全知識技能,這是聯盟的工作之一。”李雨航提道。

CSA有近千位業界資深安全專家,以安全研究為基礎,對所有新興技術的安全進行前期探索及研究工作,安全專家在30多個工作組里做30多個安全研究項目。很多的安全研究成果被業界廣泛認可,例如CSA云安全指南、STAR認證、CCSK等。

針對數據在云上面臨的威脅,CSA在2017發布了最新版本的《12大頂級云安全威脅:行業見解報告》,幫助用戶梳理和認識云計算中12個比較大的威脅。為了幫助產業更好地應對云安全威脅,CSA在2016年發布了《云計算安全技術標準》;2017年發布了《云計算關鍵領域安全指南》第四版;2017年年底發布了《物聯網安全技術標準》、《大數據安全技術標準》等一系列安全指南和安全標準。

云安全聯盟在構建受信任的云生態系統方面已經取得了巨大進展,李雨航表示未來云安全聯盟將繼續對物聯網等相關領域進行研究,以解決市場需求,并加速努力,進入下一代安全構建模塊領域,例如人工智能、區塊鏈和霧計算。“國際云安全聯盟作為一個非盈利機構,可以為中國網絡信息安全產業的發展提供幫助。我們會把國際的先進經驗和先進技術介紹到中國來,當然最終要靠企業將技術產業化。”李雨航最后說道。

李雨航,云安全聯盟全球總顧問/大中華區主席,中國云安全聯盟常務副理事長

標簽
李雨航 信息安全 云衛士

版權聲明:千人智庫網系千人智庫唯一官方網站,凡轉載本網內容請注明來源與作者。

作者系裴媛

評論詳情

   暫無相關評論!
免费观看的黄片