李丽　张玉良　周丽莎　缪翀莺

摘要：互联网、云计算新技术、新服务模式的发展引发了新的安全需求，基于此分析了云安全产品的主要需求和特征，说明了电信运营商的云安全产品框架的设计原则、主要功能、产品形态和运维要求。

关键词：云安全 网络安全 电信运营商

1 引言

目前，企业运营已离不开互联网，与此同时安全隐患高居不下，超过45%的企业在过去三年曾发生过不同量级的安全事故[1]，越大的公司受到的攻击越多[2]。企业客户安全形势日趋严峻，这些安全事故直指商业机密、用户信息等核心信息资产。数据显示，目前全球云安全服务市场规模大约为36亿美元，整体云安全服务市场规模增长将达到23%，预计到2022年，整体市场规模将达到120亿美元左右[3]。随着智慧城市的推进，政府各部门的核心数据不断整合上云，但是在数据安全方面隐藏着大量安全隐患[4]。电信运营商作为政府和企业客户信息化服务的主要提供商，有必要进一步加强面向互联网的云安全产品体系，以对客户业务提供有力的保障。

2 新技术的发展引发了新的安全需求

互联网、云计算带来了很多新技术、新服务模式，在带来益处的同时，也导致和引发了新的安全风险和挑战。在云计算中，虚拟化技术被大量使用，从而实现资源池化、按需分配、弹性调度、高可靠的目标，但这也带来新的安全风险。首先，用户使用的主机、网络、存储等设施都是云服务提供者以虚拟化的形式提供的，使得用户失去对物理资源和数据资源的直接控制，安全管控的职责主要由云服务提供商完成。其次，虚拟化环境下不同用户之间需要共享物理资源，虚拟化共享技术自身的安全性需要有持续的完善管理。最后，虚拟化技术触发了新的攻击模式，比如说虚拟机逃逸，即用户可以突破自己的虚拟机来控制管理程序，进而控制其他虚拟机甚至是宿主机，把云资源当作跳板向外发送恶意流量和攻击。这些新的需求要求电信运营商的云安全产品具备多租户安全隔离、虚拟化安全管控、智能恶意程序识别等新的安全防范措施。

3 新的业务模式带来新的产品形态

（1）依托高性能计算环境对抗大规模攻击

现有的云业务遭受攻击的频率和规模都远远超过了传统安全业务。以阿里云盾为例，每天收到超过958万次暴力破解攻击、2000次以上DDoS攻击、超过8亿次Web攻击[5]。攻击次数高过传统安全多个数量级，这要求云安全产品必须与云计算高性能计算体系融合在一起，依托分布式架构的超强计算能力实现大规模攻击的防控。

（2）动态产品边际

传统的安全产品可以明确地定义安全管控的范围和内容，但是随着云资源的动态分配，互联网共享经济与行业云、私有云的深入融合，采用传统静态的产品边界已经变得不合时宜。根据威胁、安全需求和策略的不同，划分为不同的安全域，并基于安全域设计相应的边界防护策略、内部防护策略，并形成跟随策略的动态可变安全域边界，从而构造起纵深的防护体，逐步发展为云安全产品的主要形态。

（3）满足新的业务形态的要求

电信运营商的云计算中心部署的应用和业务非常丰富，其中包括大流量的音视频服务，当受到各种网络攻击时，一般都伴随着出现大量异常流量。在这种流量成分日益复杂，异常流量海量涌现，流量压制、流量清洗是运营商面对此类攻击的主要反攻击手段。但随着互联网业务对运营商的冲击，流量经营正成为运营商业务转型的主要方向之一，流量业务运营指标转变为结合了业务计价的综合性指标，以流量为基础的业务产品相继推出。这就要求基于流量的云安全产品在流量的监测、分析上能够实现智能化的流量异常感知、及时高效的流量预警，将流量监管、流量计价、流量压制与清洗充分融合起来的、跨域统一的云安全产品。

4 云安全产品框架

按照预防、检测、防御来实现协同、闭环工作的原则来实现云安全產品框架的设计。

预防与检测的产品研发思路是在传统方式的基础上借助大数据技术，发现潜在的入侵和攻击威胁，帮助客户建设自己的安全监控和防御体系，同时发挥互联网的共享精神，激励互联网安全专家来测试和提交网站或业务系统的漏洞，保证安全风险可以快速进行响应和修复，同时逐步形成云安全产业生态圈，促进产业良性发展。

整个防御体系划分为接入终端域、应用域、主机域、网络域、数据域、物理域，通过分域、分区、分单元的方式分别治理，在每个域的边界部署动态安全防护策略，综合起来防护，从而实现分区域管理、闭环防御的目标。防御体系的功能分布如图1所示：

相对于互联网运营商，电信运营商有大量移动终端接入业务，且随着物联网业务的发展，终端域有大规模的安全需求，需纳入电信运营商云安全产品框架统一规划，借助终端域接入优势，完善终端域细粒度的访问控制、数据存储和传输安全管理，加强终端域身份识别、加密处理以及虚拟桌面镜像技术的防护，实现访问安全、接入安全、风险追踪定位。

通过定期的安全检测、关键操作的多重授权和防篡改等措施保证应用层安全。通过对服务主机/设备进行安全配置和加固，部属主机防火墙、主机IDS以及恶意代码的防护、访问控制等技术手段对虚拟主机进行保护，确保主机能够持续的提供稳定的服务。

网络域安全包括了实体网络和虚拟网络，除了传统的网络安全外，需通过虚拟层加固、虚拟机映像加固、不同虚拟机的内存/存储隔离、虚拟机安全检测、虚拟化管理安全等措施实现虚拟化层的安全。

数据域除了基于传统的数据隔离、数据加密等数据保护外，还需要借助行为收集技术和机器学习模型，发现潜在的入侵和攻击威胁，为动态安全策略调整提供支撑，使得智能化成为云安全产品的基本要素。

云安全产品框架需要构建在云环境下，并与现有云产品体系融合。以中国电信政企天翼云产品线为例，云安全产品应该是跨越云应用、云服务与云基础设施的综合性产品，定位如图2所示。

电信运营商现有的云安全产品主要覆盖物理域、网络域、主机域，这些产品在云计算的体系中，主要集中在基础设施层，主要实现防Dos攻击、流量管控等功能，随着企业需求的变化，云安全产品的各项功能逐步扩展到云服务和云应用。在云服务层，依靠电信运营商的优质网络和技术实力，按照云安全最佳实践经验为企业提供的全方位云安全解决方案和咨询服务，保障用户业务安全，同时，结合大数据技术，实现智能化的风险感知，帮助客户建设、完善私有云安全防御体系。在云应用层，则将相对独立的入侵检测、网页防篡改等业务功能封装为可独立销售的能力产品为政企客户提供租用、购买以及售后支持。

大数据技术为云安全产品带来了智能化，SDN（Software Define Network，软件定义网络）、NFV（Network Function Virtualization，网络功能虚拟化）技术为云安全产品存储、网络资源的自动化部署和分权分域管理提供了更加简便的模式。随着这些技术的采用，在产品形态和部署方式发生了一定的变化。在产品形态方面，主要体现是由硬件变化了软件。在部署方式方面，主要通过合理设计虚拟化网络逻辑结构，将虚拟化安全设备部署在合理的逻辑位置，同时保证随着虚拟主机的动态迁移，能够做到安全防护措施和策略的跟随。

云安全产品主要由云安全产品提供商提供运维服务，而新技术的采用带来了云安全产品不同的产品形态和部署模式，在运维上带来的新挑战主要集中在：云安全数据管理权与所有权分离，用户与运营商需要在安全管理界面上达成一致，避免安全责任不清的风险，受到攻击时，需要相关节点配合联动[6]，需要建立一套统一的云安全应急响应机制和标准化流程，形成由全国、地方两级运营支撑体系构成的服务支撑体系[7]，同时配置具有较高的安全知识和技能安全运维人员，实现对系统的持续安全检测、防护，并对突发事件进行处理。

5 结束语

未来几年是中国网络安全发展的黄金窗口，网络安全企业面临着巨大的发展机遇[8]。由公安部负责起草的云等保标准（包括《云计算信息安全等级保护基本要求》、《云计算信息安全等级保护安全设计技术要求》、《云计算信息安全等级保护测评要求》，简称：云等保标准）即将颁布执行，这些新标准的执行将推动云安全产品的逐步规范化[9]。而另外一方面，互联网的共享精神会冲击云安全产品的现有标准化形态，形成一种新的产品动态产品形态，比如说整个互联网就是一个巨大的“杀毒软件”，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。参与者越多，每个参与者就越安全，整个互联网就会更安全[10]。在这两种不同力量的共同推动下，云安全产品将进入快速、多变的发展通道，云安全产品的内涵、标准、形态将随着技术基本快速发展，需要电信运营商不断完善自身的产品体系，提供符合时代要求的业务。

参考文献：

[1] 中国互联网安全领袖峰会. CTO企业信息安全调查报告[R]. 2015.

[2] 普华永道. Key findings from The Global State of Information Security? Survey 2015[R]. 2015.

[3] 費天元. 云安全保障迫在眉睫 行业集中度快速提升[N]. 上海证券报， 2016-10-20.

[4] 陈静. 技术创新护航网络安全未来[N]. 中国高新技术产业导报， 2016-10-11.

[5] 阿里云. 云安全解决方案[EB/OL]. [2016-10-27]. https：//yundun.aliyun.com/？spm=5176.55802.416540.246.s3IzAi.

[6] 王建峰，樊宁，沈军. 电信行业云计算安全发展现状[J]. 信息安全与通信保密， 2012（11）： 98-101.

[7] 张新跃，刘志勇，赵进延，等. 电信运营商的安全服务云研究与设计[J]. 现代电信科技， 2012（1-2）： 105-106.

[8] 张汉青，王颖慧. 用工匠精神铸造大国网络安全[N]. 经济参考报， 2016-10-19.

[9] 行业私有云安全能力者联盟. 等级保护制度已进入2.0时代云等保标准颁布在即[EB/OL]. （2016-10-13）[2016-10-25]. http：//science.china.com.cn/2016-10/13/content_9087300.htm.

[10]百度百科. 云安全[EB/OL]. [2016-10-25]. http：//baike.baidu.com/link？url=gbxAgG5D1jGwoUu9aQFGJ5VXu8Ztg0TfwLpjxMr7CrTOBbjcMJ4A90aZdih37nImxv77aWu7WmrVNROj2sd1f-b1hY1ae9-slJSlEAz5slEYOVgErrMkf4AsPn-KKEvZ. ★