信息化觀察網(wǎng)

本文來自微信公眾號數(shù)觀天下，作者/懂甲方的商密媒體。

伴隨云計算技術的飛速發(fā)展，其所面臨的安全問題日益凸顯。傳統(tǒng)的云基礎架構(gòu)中存在較高安全風險，攻擊者對虛擬機的非法入侵破壞了云服務或資源的可用性，不可信的云存儲環(huán)境增大了用戶共享、檢索私有數(shù)據(jù)的難度，各類外包計算和云應用需求帶來了隱私泄露的風險。

近日，基于對商用密碼在云計算領域的研究，數(shù)觀天下分別對云計算市場、云計算安全、政務云密碼應用場景、重點企業(yè)布局等主題進行分析，從多個角度講述商用密碼在云計算領域的應用、安全防護、以及發(fā)展趨勢等。

云計算市場

據(jù)IDC報告顯示，2022年上半年中國公有云服務市場整體規(guī)模（IaaS/PaaS/SaaS）達165.8億美元。其中IaaS市場同比增長27.3%，PaaS市場同比增速為45.4%。

廠商市場份額方面。阿里云、天翼云、騰訊云占據(jù)公有云IaaS市場份額前三，華為云、光環(huán)新網(wǎng)（排名不分先后）處于第二集團；阿里云、騰訊云、百度云、華為云位于公有云PaaS市場前列。

云計算安全

云計算采用服務外包模式，其核心技術包括虛擬化、多租戶和跨域共享等，因而其既面臨傳統(tǒng)的安全威脅，也受到新的安全挑戰(zhàn)。

（1）數(shù)據(jù)安全：數(shù)據(jù)泄露、數(shù)據(jù)丟失、隱私泄露，數(shù)據(jù)存取權(quán)限管理復雜、數(shù)據(jù)銷毀困難等；由于云計算采用服務外包模式，隱私泄露的風險尤為突出。

（2）訪問控制與身份認證：因為涉及海量共享資源的管理，訪問控制與身份認證的管理復雜度劇烈膨脹，一旦發(fā)生賬戶劫持，則往往帶來更加嚴重的后果。

（3）虛擬化安全：雖然服務商都設計實現(xiàn)了看似完備的虛擬機隔離策略，但虛擬機之間的攻擊仍無法完全避免；虛擬服務使得協(xié)同攻擊更易發(fā)生和難以追蹤；虛擬機遷移時還會導致安全域的變化。虛擬化技術使傳統(tǒng)主機的邊界變得模糊，以主機為粒度的安全策略需要改變。

（4）多租戶和跨域共享：多租戶隔離、多用戶安全需要得以保障；跨域共享使得服務授權(quán)和訪問控制變得更加復雜，云計算實體之間的信任傳遞需要重新審視。

（5）高級持續(xù)性威脅：APT是對云計算系統(tǒng)長期有計劃的入侵和攻擊行為，這種行為日漸增多，并形成了一些地下利益鏈條。

（6）系統(tǒng)安全漏洞：由于云計算系統(tǒng)服務龐雜，眾多服務商管理和服務水平不一，因此總是存在不安全的接口和API，系統(tǒng)中的其他安全漏洞也會由于云計算的規(guī)模效應放大其危險。

（7）內(nèi)部人員威脅：服務商內(nèi)部人員的無意或有意的信息泄露，往往使得針對外部攻擊的安全策略難以奏效，這已成為當下云計算安全的一個重要議題。

（8）云服務錯誤應用：誤用、濫用和違法使用云服務；云計算的誤用會給用戶、服務商或第三方帶來困擾，通常表現(xiàn)為信息處理效率的下降；云服務的濫用和違法使用，則會造成嚴重后果。

服務可用性：服務質(zhì)量難以保障、拒絕服務。因為社會對云計算服務的依賴程度在逐年增加，一旦某個云服務的可用性受到影響，形成的損失也在逐步加重。近年很多云計算安全事件，都表現(xiàn)為云計算服務的不可用；防范拒絕服務攻擊已然成為各大云服務商的一個重要安全目標。

云計算主要的安全風險

（1）特權(quán)用戶接入

在外部網(wǎng)絡處理敏感數(shù)據(jù)必然存在一定的風險，管理部門無法得知云服務商內(nèi)部物理、邏輯的改變或人員控制的情況，因此，對于管理數(shù)據(jù)的特權(quán)人員要進行詳細的調(diào)查，要求云服務商提供這些人的具體資料，控制他們的訪問。

（2）可審查性

即便由云服務商來管控數(shù)據(jù)，用戶也是確保數(shù)據(jù)安全和完整性的第一責任人。傳統(tǒng)的云服務商服從外部審計和安全認證，如果云服務商拒絕接受審查，那意味著用戶只能使用云服務做一些瑣碎的事情。

（3）數(shù)據(jù)存放位置

當使用云服務時，用戶可能不知道自己的數(shù)據(jù)所存儲的確切位置。要與云服務商簽訂合同確保遵守當?shù)氐碾[私法規(guī)。

（4）數(shù)據(jù)隔離

云平臺中用戶的數(shù)據(jù)處于一個共享的環(huán)境中，雖然加密是有效的方法，但也不能保證萬無一失。建議將自己的數(shù)據(jù)跟其他用戶的數(shù)據(jù)隔離開來，云服務商向用戶提供證據(jù)證明加密算法是符合國家相關標準的。

（5）數(shù)據(jù)恢復

即使用戶不知道數(shù)據(jù)存放在哪里，云服務商也應該說明發(fā)生災難會對用戶數(shù)據(jù)和服務造成怎樣的損害。用戶應詢問云服務商是否有能力完成數(shù)據(jù)恢復，需要多長時間。

（6）調(diào)查支持

在云計算中，調(diào)查不當行為活動行為可能是很難實現(xiàn)的。云服務中，多個用戶的日志記錄和數(shù)據(jù)是共同存放的，在查詢過程中，可能會牽扯到云服務商的數(shù)據(jù)，如果用戶在與云服務商簽訂合同時，沒有說明可以進行特定形式的調(diào)查，云服務商肯定不愿意配合這樣的行為。

（7）長期生存性

用戶選定云服務商后，最理想的狀態(tài)就是：云服務商永不破產(chǎn)或被其他公司收購。但是世事難料，發(fā)生這樣的事情后，用戶必須確保數(shù)據(jù)仍然可用。

云計算中商用密碼四大保護對象

（1）云存儲數(shù)據(jù)加密

采用數(shù)字證書、數(shù)字信封、加解密等技術保障用戶信息機密性。用戶通過對稱密鑰實施數(shù)據(jù)信息加密處理，隨后將數(shù)字信封傳輸至云中實施合理存儲。這種加密措施能幫助用戶減輕對云計算服務商信任度，并在云中存儲相關信息數(shù)據(jù)。

（2）虛擬機安全

采用完整性保護以及數(shù)據(jù)加密等密碼技術，聯(lián)通內(nèi)部通信渠道，確保虛擬機和用戶端以及不同虛擬機之間的信息安全傳輸，確保信息傳輸環(huán)節(jié)不會產(chǎn)生隨意篡改、監(jiān)聽和信息切取等現(xiàn)象。

（3）身份認證

采用跨域、集中式身份認證以及證書交叉認證系統(tǒng)，針對多身份源實施統(tǒng)一身份管理，進一步聯(lián)系用戶自身的安全等級差異實現(xiàn)多種等級身份認證，保護認證信息的完整性和保密性。

（4）安全審計

創(chuàng)建集中、統(tǒng)一的安全審計體系，相關審計日志對應權(quán)限管理需要按照使用權(quán)和管理權(quán)互相分離的基礎原則，借助加密、簽名等密碼技術保障相關信息數(shù)據(jù)完整性和真實性。

政務云密碼應用場景

遵循國家密碼應用政策和法律法規(guī)，依據(jù)國密標準體系建設要求，構(gòu)建滿足國密應用的密碼基礎設施，提供密碼服務支撐和密碼應用保障，實現(xiàn)安全接入、安全通信、安全存儲、安全交換及國密應用支撐的業(yè)務需求，國密密碼應用保障框架包括以下幾方面：

Ø密碼基礎設施，主要包括密碼子系統(tǒng)、產(chǎn)品服務、密碼協(xié)議和密鑰管理等。

Ø密碼服務，主要包括終端加固、身份鑒別、授權(quán)鑒權(quán)、傳輸保、安全存儲、訪問控制、安全隔離、安全審計等。

Ø密碼應用保障，主要包括物理與環(huán)境、網(wǎng)絡與通信、設備與計算、應用與數(shù)據(jù)等安全密碼應用設計。

Ø密碼應用，主要包括國密安全接入平臺、國密安全通信平臺、國密安全存儲平臺、國密安全交換平臺和國密應用支撐服務。

Ø密碼標準體系，主要是滿足國密應用政策和法律法規(guī)等。

Ø運維保障體系，主要包括密碼應用服務運維管理和服務保障等。

重點企業(yè)布局

云計算，是分布式計算的一種，指的是通過網(wǎng)絡“云”將巨大的數(shù)據(jù)計算處理程序分解成無數(shù)個小程序，然后，通過多部服務器組成的系統(tǒng)進行處理和分析這些小程序得到結(jié)果并返回給用戶。近年來，隨著信息技術的突破和數(shù)據(jù)科學的崛起，云計算引起了產(chǎn)業(yè)界、學術界和政府部門的高度關注。

我們選取了三未信安、吉大正元、格爾軟件以及江南天安進行分析對比看看這些企業(yè)在云計算安全賽道怎樣發(fā)力。

三未信安是國內(nèi)主要的密碼基礎設施提供商，在云計算密碼應用方向走在前列，提出政務云密碼應用解決方案、混合云密鑰管理解決方案、云計算環(huán)境密碼解決方案。同時三未信安的云密碼機服務于各個行業(yè)的最終用戶，并被眾多網(wǎng)絡安全廠商和系統(tǒng)集成商集成在解決方案中。

吉大正元推出云密碼服務方案，建設提供安全服務模式的云安全服務平臺，充分保障應用系統(tǒng)各環(huán)節(jié)的身份認證、機密性、完整性和抗抵賴性，按照用戶的安全需求提供安全服務，用戶按需購買和接受服務，可以有效節(jié)約安全投入，及時便利享受到高效服務，滿足更多行業(yè)和企業(yè)客戶的安全需求。

格爾軟件是中國較早研制和推出PKI公鑰基礎設施產(chǎn)品的廠商，也是國內(nèi)較早通過國家密碼管理局審查、支持SM2算法、省級電子認證服務機構(gòu)的建設單位。格爾擁有大批政務、金融、軍工等領域核心客戶，面向社會數(shù)字化轉(zhuǎn)型的新形勢，完成了云計算、大數(shù)據(jù)環(huán)境下大規(guī)模復雜場景的安全體系建設。

江南天安公司將自有專利與云計算技術相結(jié)合，研發(fā)了國內(nèi)首款支持云計算應用的密碼機，推出了國內(nèi)首張三級云服務密碼卡，在公有云、私有云、金融云、政務云、警務云等環(huán)境下，實現(xiàn)云計算應用的密鑰管理、數(shù)據(jù)加密、身份認證、數(shù)字簽名等云加密服務。

數(shù)觀總結(jié)

數(shù)觀天下認為商用密碼在云計算領域，從技術方面，應針對云計算平臺相關密碼支撐系統(tǒng)等基礎設施建設進行系統(tǒng)研究；從市場方面，隨著新基建的推進，商用密碼在與云計算領域?qū)⒓涌鞈寐涞剡M程，在互聯(lián)網(wǎng)、政務、金融、交通、物流、教育等不同領域?qū)崿F(xiàn)快速發(fā)展。