定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《中国通信标准化协会:云上攻防发展洞察2024(40页).pdf》由会员分享,可在线阅读,更多相关《中国通信标准化协会:云上攻防发展洞察2024(40页).pdf(40页珍藏版)》请在本站上搜索。 1、 云上攻防发展洞察云上攻防发展洞察 本报告版权属于中国通信标准化协会云计算标准和开源推进委员会,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国通信标准化协会云计算标准和开源推进委员会”。违反上述声明者,委员会将追究其相关法律责任。版权声明 前 言 云计算技术持续迭代创新,企业上云转型加速进行,随着企业云上资产和业务的比重逐渐提升,安全问题日益凸显。针对云上资产的网络攻击事件层出不穷,云计算技术被滥用的风险迅速增加,云上攻防态势和发展备受关注。本报告梳理了云计算场景下的网络攻防态势现状,分析当前我国云上攻防行业市场格局,归纳常见网络攻击技术和防御手段,以探讨传2、统网络攻防和云计算结合的新态势,洞察云计算时代网络空间安全的行业未来发展。前 言 编制组 王睿宁 孔 松 郭 雪 吴剑刚 梁 伟 廖 铨 何永翀 严仍义 周 月 徐 贤 范淑杰 李晓明 郑 斌 刘金革 陈焕新 编制组 目 录 一、云上攻防态势洞察.1(一)云上风险点位增加,攻防视角发生变化.1 1云上风险点位变化.1 2网络攻击目标变化.2 3网络攻防形式变化.4(二)科技竞争引导网络博弈,云上防御体系逐渐完善.6 二、云上攻防市场洞察.8(一)我国云上攻防市场不断扩大.8(二)国内外市场格局基本形成.12 1云计算攻防产品和服务品类丰富.12 2国内外云安全市场参与者众多.13 三、云上攻防3、技术洞察.16(一)攻防技术逐渐适应云计算环境.16(二)攻防框架构建体系化知识库.23 四、发展趋势与建议.26(一)ICT 新技术融合加速云上攻防态势复杂化.26(二)多措并举维护云安全生态.28 附录:云安全实践优秀案例.30 目 录 图目录 图 1 云上攻防场景示意图.1 图 2 2022 中国通用网络安全服务细分市场规模.9 图 3 2022 年中国数据安全、安全网关、终端安全市场占有率.10 图 4 企业云安全建设主要驱动因素.11 图 5 云上攻防产品和服务概览.13 图 6 最受关注的 API 安全问题 Top10.17 图 7 云平台 DDoS 防御架构参考.21 表 1 近4、期大规模云上网络攻击事件.3 表 2 国外云安全市场典型企业.14 表 3 国内云安全市场典型企业.15 图目录 表目录 云计算标准和开源推进委员会云上攻防发展洞察(2024)1 一、云上攻防态势洞察 随着数字化转型不断推进,云计算与大数据的应用衍生至千行百业,各类云服务承载了无法估量的数字资产,互联网则支撑了海量数据和信息在云上业务间传递。云计算在赋能数字化发展的同时,也为黑客提供了新的攻击目标和攻击手段。时逢全球局势动荡,科技竞争激烈,网络攻防态势日益严峻。本报告从网络攻击侧和防御侧的典型态势出发,聚焦云计算环境新风险,洞察云上攻防新趋势。来源:中国信息通信研究院 图 1 云上攻防场景示意5、图(一)(一)云上风险点位增加,攻防视角发生变化云上风险点位增加,攻防视角发生变化 1云上风险点位变化云上风险点位变化 业务上云打破了传统数据中心的集中式部署方式,分散化的数据存储和即开即用的原生化服务对网络性能高度依赖,增加了云计算安全的风险点位。云计算标准和开源推进委员会云上攻防发展洞察(2024)2 隐私和数据泄露风险增加,一些云用户安全意识薄弱,时常出现凭据信息保存不当、数据访问操作不规范等情况,增加了敏感信息暴露在网络中的潜在风险。服务可用性不受控,云厂商承担着大部分数字基础设施运行和维护的责任,一旦遭受网络攻击造成服务不可用,可能会影响众多企业的业务运营,云用户自身则难以规避此类风6、险。云上风险暴露面扩大,为满足日益复杂的业务需求,多云、混合云部署成为常态,各类管理平台、运维工具关联众多云上资产,每一个开放接口和网络边界都是潜在的攻击面,增加了风险暴露管理的难度。易受互联网波动影响,用户上云用云高度依赖互联网,尤其是公有云和专有云,用户侧的网络传输质量不确定性大,网络延迟、中断等情况将严重影响使用体验和安全性。企业上云使得潜在的安全风险发生变化,面向云的攻击者与防御者视角也随之改变。2网络攻击目标变化网络攻击目标变化 传统数据中心多为“存用一体”的业务架构,对于攻击者来说,能够渗透目标企业的网络、存储等基础设施,就意味着对数据和应用的破坏也轻而易举,而在云计算环境中,攻击7、目标被拆分成云服务商和云用户两个主体,双方面临不同的安全风险。一是面向云服务商的攻击主要针对数字基础设施,造成大规模数据泄露、服务不可用和数据勒索等事件。目前,数据窃取仍是黑客云上攻击的主要意图,其影响范围广且难以预防。2023 年数据泄露的平均成本达到445万美元,创历史新高。今年5月,云存储巨头Snowflake的大量客户实例遭黑客攻击,导致全球超过 165 家知名企业发生大规云计算标准和开源推进委员会云上攻防发展洞察(2024)3 模数据泄露,成为云计算历史上最严重的数据泄漏事件之一。此外,对云服务商的勒索攻击迅速增长,涉及数据量和金额不断创下新高,由于各国对勒索事件的监管力度不一,存在8、大量灰色地带,其扩张趋势在短时间内难以遏制。二是面向云用户的攻击主要集中在用户终端或云外网络,利用了部分用户安全意识薄弱、安全配置不足的特点。主要手段包括通过网络钓鱼窃取隐私信息、利用暴露的网络端口和 API 进行非法访问、扫描并入侵用户配置漏洞和未及时更新的系统漏洞等。云上攻击者利用API Key、敏感文件执行等手段发起攻击的次数明显上升,暴力破解、钓鱼攻击、社会工程等针对用户侧的攻击大幅增加。虽然大多数企业都已建立安全防御体系,但由于安全人员匮乏、安全预算不足、云安全理念和决策落后等原因,往往处于被动防御状态,为不法分子创造了可乘之机。表 1 近期大规模云上网络攻击事件 时间时间 安全安全9、事件事件 攻击方式与影响攻击方式与影响 2023 年 8 月 数据加密勒索 丹麦大型云服务提供商CloudNordic服务器遭勒索软件加密,所有系统、网站和邮件不可用,导致全部客户数据丢失,公司陷入“彻底瘫痪”。2023 年 11 月 密码泄露 斯洛文尼亚电力公司 HSE 遭受勒索软件攻击,攻击者通过从未受保护的云存储实例中窃取了 HSE 系统的密码,锁定了 IT 系统和文件。2024 年 1 月 API 数据泄露 Atlassian 旗下的在线项目管理工具 Trello 遭到黑客攻击,黑客利用其公共 API 匹配云计算标准和开源推进委员会云上攻防发展洞察(2024)4 时间时间 安全安全事件10、事件 攻击方式与影响攻击方式与影响 现有的电子邮件数据库,超 1500 万数据被泄露。2024 年 2 月 数据加密勒索 美国最大的医疗 IT 公司 Change Healthcare遭受了医疗系统有史以来最严重的勒索软件攻击之一,导致美国各地药店瘫痪,处方药的配送出现严重问题,初步损失超 60 亿元。2024 年 3 月 DDoS 攻击 法国多个政府机构遭遇了大规模的分布式拒绝服务(DDoS)攻击,影响了超过 300 个网页域名和 177,000 个 IP 地址,导致重要公共服务网站的严重中断。黑客组织Anonymous Sudan 声称对此次攻击负责。2024 年 5 月 云存储数据泄露 11、云存储巨头Snowflake的大量客户实例遭黑客攻击,导致全球超过 165 家知名企业发生大规模数据泄露,数以亿计的个人受到影响。来源:公开资料整理 3网络攻防形式网络攻防形式变化变化 云计算在提供便捷的计算资源和服务的同时,也为网络攻击提供了更多形式和手段,大规模、有组织的长期对抗成为主流。云计算环境数据集中化,是网络攻击的重点目标,更是国际上有组织、有实力的黑客团体制造大规模安全事件的绝佳标靶。反之,云计算分布式部署和资源虚拟化的特性同样可能被黑客利用,捏造虚拟身份,隐藏真实地址,增加了企业威胁防御的难度,也使得攻击溯源更加复杂。云计算标准和开源推进委员会云上攻防发展洞察(2024)5 一12、是大规模恶意攻击以云网络为介质,传播速度快,攻击频率高,破坏力强。黑客突破云服务商内部防火墙,将木马病毒植入到云服务器上,就能够利用云计算的特性轻而易举地侵占计算资源或传播木马病毒。近年来,针对云平台的大规模挖矿攻击层出不穷。“8220”挖矿组织通过向云平台传播恶意脚本,自动下载挖矿程序以及其他恶意程序。“Outlaw”则是攻击云服务器组建僵尸网络,在节点中植入挖矿木马,并通过云网渗透扩张,以获得更大规模的计算资源。这些挖矿组织长期活跃,造成了大量算力流失和资源浪费。二是云计算提供虚拟资源和服务,为匿名访问提供便利,攻击者真实身份难追溯。洋葱网络(Tor)是黑客常用的分布式匿名网络,可以通过多13、次跳转来保护用户的隐私和匿名性。攻击者在云计算环境中部署 Tor 节点用以传播恶意流量,不但弱化了网络攻击地域限制和资源限制,还可以利用协议伪装使得攻击流量几乎不能被溯源工具拆解分析。三是云计算成为关键数字基础设施,云上攻击对重点行业的影响加剧。长期以来,高级持续攻击(APT)都是黑客组织入侵他国数字基础设施,破坏重要机构,窃取机密信息的主要手段。随着军事战术、空天科技、信息通信等国家重要领域不断上云转型,对数字基础设施的依赖程度加深,加剧了其遭受国际组织 APT 攻击的潜在风险。俄乌冲突、巴以冲突都将网络攻击置于重要战略地位,不断使用 APT、DDoS 等手段攻击数字基础设施,造成了通讯延迟14、、能源供应中断等影响。云计算标准和开源推进委员会云上攻防发展洞察(2024)6(二)(二)科技竞争科技竞争引导网络博弈,引导网络博弈,云上云上防御体系逐渐防御体系逐渐完善完善 云计算作为众多数字基础设施的运行平台和数据信息的传递媒介,承载了大量信息通信、经济运行和公共服务等活动,是国家科技实力的重要体现,当今网络空间和云环境已成为国际科技和经济竞争的重要战场,云上攻防态势愈演愈烈。云上攻击方式复杂多变。一是云计算作为攻击目标,遭破坏后影响广泛。据 IBM 报告显示,2023 年与云环境中所存储数据相关的泄露事件占总数的 82%,其中 39%的攻击跨越多个云环境,造成的平均损失高达 475 万美15、元。互联网、金融云、工业云仍是遭受网络攻击最多的三大领域,近年来已发生数起重大云安全事件,诸如加拿大石油巨头遭到网络攻击导致全国加油服务中断、Microsoft 365 及 Azure 云服务因 DDoS 攻击而频繁中断、OpenAI 和阿里云同时遭受 DDoS攻击影响全系产品等。二是云计算作为攻击手段,能够加剧网络攻击效果。实际上,使用网络攻击对关键数字基础设施造成持久的物理损害并不普遍,其在科技竞争中的应用更多是作为威胁手段和设置阻碍。一些基于云计算的攻击即服务(AaaS)、勒索软件即服务(RaaS)和僵尸在互联网灰色地带异常活跃。利用云服务提供的高带宽和计算资源,攻击者可以发动规模更大、16、更复杂的 DDoS 攻击,瘫痪目标系统。攻击者通过云平台实时更新恶意代码,绕过传统的安全防护措施,并迅速传播到全球的目标系统,不仅提高了攻击的成功率,还使得防御方难以迅速响应和溯源。云计算标准和开源推进委员会云上攻防发展洞察(2024)7 云上防御体系基本成形。一是各国云上安全政策逐步完善,监管力度提升、粒度细化。美国发布国防部云战略、美国本土外云计算战略等文件,明确了云计算运用发展的指导原则,将重要数据和应用服务向云上迁移。俄乌冲突爆发后,欧洲陆续发布网络安全条例、网络团结法案等多项法规,巩固云安全防线。各国对网络空间的防御策略逐渐转变,由被动防护转变为主动防御,由对网络关基设施的关注延伸到17、各个领域的上云业务。二是技术创新不断落地,国家级防御体系加快建设。一些政府组织已开始尝试将云计算引入国家防御体系。美空军加速推进“一号云”和“联合作战云能力”两大云计算项目,提升军事信息系统的服务可靠性、存储灵活性和安全性。欧盟着眼于未来网络安全技术研发,在 6G、量子安全体系等方面投入大量资源,建立联合网络单元共享预警信息,确保组织内对网络安全事件响应协调一致。三是广交同盟,共建网络空间防御共同体。发起安全倡议、组建多方联盟等是各大利益共同体提升网络防御能力的常见方式。2023 年,欧盟发布提案建立欧洲网络护盾和区域网络合作中心,提升组织内部和与周边国家的网络安全战略关系。北约合作网络防御卓18、越中心面向成员国和合作伙伴共享威胁情报和防御资源,提升整体网络防御能力。云计算标准和开源推进委员会云上攻防发展洞察(2024)8 二、云上攻防市场洞察(一)(一)我国云上攻防市场我国云上攻防市场不断扩大不断扩大 网络安全是维护企业数字业务平稳运行的基石,企业对攻防产品和服务需求多样化,传统网络攻防市场基本盘稳定,以攻防即服务引导的云上攻防市场增长迅速。从市场规模来看,我国网络攻防市场体量较小,云安全市场仍处于上升期。企业参与网络攻防市场可分为提供网络攻防服务和输出网络攻防产品两种形式,国内网络攻防市场主要以企业对外提供网络攻防服务为主,如红蓝对抗、重保演练、应急响应、渗透测试等。如图 2 所示19、,中国网络安全服务细分市场中,安全运营服务仍是的绝对主力,攻防服务占比 16%,仍有较大提升空间。云计算正在全球范围重塑组织的 IT 架构,云上资产重要性的提升,云安全市场已经成为网络安全技术提供商的必争之地,包括网络安全厂商、云服务商、电信运营商等纷纷投入大量资源。2023 年全球云安全市场规模为 378.7 亿美元1,预计 2032 年将增长到 1562.5 亿美元,其中,随着中国、日本、印度等国家的监管体系不断完善,亚太地区的云安全市场复合增长率全球领先。1云安全市场规模、份额、趋势和行业分析,FORTUNE BUSINESS INSIGHTS,https:/ 云计算标准和开源推进委员会20、云上攻防发展洞察(2024)9 数据来源:嘶吼网络安全服务市场洞察报告 图 2 2022 中国通用网络安全服务细分市场规模 从参与企业来看,头部安全厂商和云服务商主导市场,新型挑战者不断涌现。传统安全厂商积极推进安全产品虚拟化部署,提升云端适配能力,帮助企业加固云环境,并提供面向云的网络安全服务,如云安全托管运营、云上渗透测试、云安全风险评估等;部分企业搭建自有云平台,将现有安全产品原生化,实现安全能力内循环。云服务商安全赛道竞争激烈,基于云平台提供 SaaS 安全产品,赋能云服务客户的虚拟资产和业务安全,同时对外开放 API 接口,满足外部开发者安全需求;头部云服务商网络安全市场参与度高,如21、图 3所示,阿里云的数据安全市场占有率与头部安全厂商不相上下,在安全网关市场云服务商市占率达到四成。云安全专精型企业成长迅速,企业云上安全防御需求多样,青藤云等聚焦云安全解决方案的创新型企业快速崛起,已在国内终端安全市场跻身前列。云计算标准和开源推进委员会云上攻防发展洞察(2024)10 数据来源:Statista 图 3 2022 年中国数据安全、安全网关、终端安全市场占有率 从市场需求来看,政策合规和增强韧性是云上攻防市场发展的主要推动力。网络活动复杂多变,攻防威胁广泛存在,网络空间安全已经上升为国家安全战略。近年来,东西方网络空间大国先后密集出台了大量的网络安全政策法规,如美国的 5G 22、云基础设施保护指南、中国的网络安全“三大基本法”和等级保护要求,都对云安全做出了规范指引。在逐渐完善的法律框架下,云服务商和云服务客户受合规要求驱动,安全意识不断提升,对云服务的安全防御水平需求进一步提升。同时,云计算市场规模的不断扩大,云平台遭受攻击的次数逐年增长,破坏程度和经济损失触目惊心。日益严峻的云安全态势使得企业更加重视云上安全投资。IDC 调查显示,中国 2024 年网络安全支出居亚太地区首位,占比 40%,五年复合增长率达到 13.5%。在国内,政府、金融、电信是网络安全支出主要行业,占据了总投资市场阿里云,5%2022年中国数据安全市场占有率奇安信阿里云启明星辰天空卫士天融信其23、他阿里云,25.4%腾讯云,13.3%2022年中国安全网关市场占有率阿里云腾讯云中国电信华为F5其他青藤云,7.2%2022年中国终端安全市场占有率奇安信亚信安全青藤云深信服天融信其他云计算标准和开源推进委员会云上攻防发展洞察(2024)11 的 60%。由于事前风险事件预防压力大,企业逐渐将投资重心转向业务韧性和事后安全保障,增强抗风险能力,减少不必要的损失。增强韧性已经成为企业使用云安全解决方案的最主要驱动力。数据来源:Statista 图 4 企业云安全建设主要驱动因素 从云计算细分领域来看,云计算架构调整带来新的风险点位。一是 IaaS 安全需求庞大。我国公有云数字基础设施需求量庞大24、,IaaS 市场规模占公有云整体(IaaS/PaaS/SaaS)市场规模的一半以上2。在 IaaS环境中,云服务客户对基础设施和操作系统具有更多的控制权,攻击暴露面更大,安全防御压力高。在工作负载方层面,常见的 IaaS 攻击向量通常针对虚拟机、操作系统、存储等安全设置中的错误配置或漏洞;在网络层面,DDoS 攻击以其成本低、影响大、收益高等特点受到了众多攻击团伙的青睐。IDC数据显示,2023年中国公有云抗DDoS市场规模约为 22 亿元人民币,规模同比增长 15.8%,市场集中度不断提升,竞争进一步增强。二是多云/混合云环境成为主要战场。企业虚拟资产庞大,数字业务复杂,单一的数字化环境难以25、满足日益增 2 IDC,https:/ 0%20%40%60%增强企业韧性缩短开发时间成本控制减少软件补丁更新工作量提高用户和系统行为可见性延长正常运行时间提升性能企业云安全建设主要驱动因素云计算标准和开源推进委员会云上攻防发展洞察(2024)12 长的数据安全和应用多活需要,多地、多云的虚拟化部署架构被广泛应用。Gartner 认为,到 2024 年中国混合云市场渗透率将达到 70%。尤其是对于政府组织、银行、医疗等服务行业,将对外业务迁移到公共云能够有效提高业务敏捷性和成本效率,将关键流程和核心应用迁移到私有云能够更好地维护安全性。因此,多云、混合云攻防统一管控成为云服务商和安全厂商共同关26、注的产品和服务方向。(二)(二)国内外国内外市场市场格局格局基本形成基本形成 1云计算云计算攻防产品攻防产品和和服务服务品类丰富品类丰富 云计算攻防市场产品类别丰富,依托于云计算的弹性扩展和原生化特性,攻击和防御能力均呈现服务化趋势。根据企业上云用云过程,云计算攻防可划分为企业组织和开发安全、云基础资源安全、网络和数据安全、业务和应用安全等场景。从攻击视角来看,云上攻击产品和服务按照攻击目的可划分为:1)拒绝服务类,如 DDoS 服务、加密勒索;2)漏洞利用类,如渗透工具、容器逃逸;3)信息收集类,如扫描工具、逆向工具;4)伪造欺骗类,如钓鱼邮件、社会工程。随着新兴技术发展,AaaS、RaaS27、 市场不断扩张,细分领域逐渐成形,有专注于某些特定攻击(如 DDoS、勒索软件、网络间谍活动)的服务提供商,也有提供端到端攻击服务的综合性平台,从简单的工具租赁到复杂的定制化攻击方案,攻击者提供的服务越来越专业化。从防御视角来看,云上防御产品和服务按照防御方式可划分为:1)检测与响应类,如云防火墙、失陷感知;2)运营运维类,如云工云计算标准和开源推进委员会云上攻防发展洞察(2024)13 作负载保护平台、云堡垒机;3)安全管理类,如风险管理、API 管理;4)面向云的安全服务,如安全托管、安全评估、安全培训。随着零信任理念不断渗透,安全大模型广泛接入,云上防御产品和服务逐渐成熟,构建一个综合性28、的云安全体系,已经成为企业实现数字化转型、保障业务稳定运行的必备条件。由于业务部署方式和责任承担模式不同,国内外云安全市场中产品和服务供应形式有所差异,值得进一步探讨。来源:中国信息通信研究院 图 5 云上攻防产品和服务概览 2国内外国内外云安全云安全市场参与者市场参与者众多众多 国际上,云服务商引领云安全产品市场。北美云安全市场较为成熟,云平台安全主要由相应的云服务商进行维护,亚马逊 AWS、微软 Azure、谷歌云等头部云服务商在网络攻防领域竞争力强,通常能够提供精细化的安全产品和功能,并通过 SDK、API 向开发者提供安全支持。Zscaler、Palo Alto Networks、Fo29、rtinet 等网络安全厂商则倾云计算标准和开源推进委员会云上攻防发展洞察(2024)14 向于提供集成的云安全解决方案和云边安全服务,通过自有综合性云安全平台进行管理和监控。表 2 国外云安全市场典型企业 企业企业 类型类型 云云安全安全产品和服务产品和服务 亚马逊 云服务商 亚马逊是北美最大的云服务供应商,依托云服务业务提供安全防御能力,包括基础设施保护、账户安全服务、实例安全服务、安全管理服务以及与其他合作伙伴的安全与合规解决方案。微软 云服务商 微软云安全产品和服务并不直接产生营收,而是用于自有云平台,Azure Security Center 是微软的云安全管理和监控服务,帮助客户保30、护其Azure 订阅中的资源,提供了安全策略建议、威胁检测、漏洞管理和安全警报等功能。谷歌云 云服务商 谷歌为云服务客户提供全面的安全和访问控制产品和服务,并将安全大模型接入全线安全产品,提升云平台防御能力。此外,谷歌云提供 API、SDK 和大模型平台 Security AI Workbench 等,为开发者提供支持。Zscaler 网络安全 提供商 Zscaler 提供全面的网络安全和访问控制解决方案,包括互联网访问安全、云防火墙、云 DLP 等产品。除了自有云安全平台,Zscaler 还可以通过API 调用、代理部署、集成解决方案等方式,为其他云平台提供安全服务,帮助企业保护多云环境中的31、网络、应用和数据安全。Palo Alto Networks 网络安全 提供商 Palo Alto Networks 基于自有云安全平台提供一系列云安全产品和解决方案,用于保护公共云、私有云和混合云环境中的工作负载、容器、Serverless 应用和存储服务。云计算标准和开源推进委员会云上攻防发展洞察(2024)15 企业企业 类型类型 云云安全安全产品和服务产品和服务 Fortinet 网络安全 提供商 Fortinet 通过综合的网络安全平台进行安全服务与管理,并提供云防火墙、云 WAF、CASB 等一系列云安全产品,通过一体化解决方案向云服务商和云服务客户提供云安全支持。来源:公开资料整理32、 我国云安全市场“产品+服务”模式更加普遍。国内云安全产品和服务模式更加适应我国云安全和网络安全环境现状,头部云服务商的安全能力较为成熟,安全产品能够覆盖云平台安全需求,且普遍支持对外提供安全服务和开放 API,为用户提供安全支持。一些聚焦于云安全解决方案但不主营云基础资源的新型云安全厂商快速崛起,受到多云、混合云环境企业广泛青睐。云上攻防、渗透测试、云安全托管等面向云的安全服务仍由安全厂商主导,搭配云安全工具形成配套解决方案。运营商自建云+安全厂商联动模式也较为普遍,在政府部门、央国企组织数字化转型过程中应用广泛。以下选取国内典型的云服务商、运营商、安全厂商和新型云安全厂商的云安全业务进行介33、绍。表 3 国内云安全市场典型企业 企业企业 类型类型 云云安全产品和服务安全产品和服务 阿里云 云服务商 阿里云为客户提供稳定、可靠、安全的云计算基础服务,SaaS 化安全产品类型众多,覆盖网络安全、数据安全、身份安全等各个领域,同时提供 API、SDK 等方式,便于客户接入云平台的安全能力。天翼云 运营商 天翼云依托运营商基本盘,发挥在网络基础设施和通信技术方面的资源优势,云计算标准和开源推进委员会云上攻防发展洞察(2024)16 企业企业 类型类型 云云安全产品和服务安全产品和服务 整合电信行业威胁情报资源、提供高性能安全防护产品。与安全厂商联动,更加适应复杂的多云环境,为地方政企数字化34、转型提供支撑。青藤云安全 云安全厂商 青藤云聚焦主机安全和云安全赛道,通过安全管理平台,为企业云环境提供整体云安全解决方案,广泛应用于金融、互联网、医疗、政府等多个行业,为大量企业提供了有效的安全保障。新华三 网络安全 提供商 新华三结合自身软硬件网络安全基础,将安全能力虚拟化,形成云安全资源池,适配政企云安全合规需求。为用户提供云平台安全设计、安全加固、攻防对抗、云安全托管等安全服务。来源:公开资料整理 三、云上攻防技术洞察(一)攻防技术(一)攻防技术逐渐适应云逐渐适应云计算计算环境环境 技术创新突破是行业发展的基本动力,云计算提供了新的技术应用方向。一方面,云计算提升了基础设施资源的高可用35、性和防御性能;另一方面,分布式可扩展的部署方式提升了网络攻击的灵活性,使得攻击行为更加难以追溯。云上攻防目标千变万化,攻击技术层出不穷,对企业安全防御能力提出了新挑战。1API 安全漏洞扩大云上攻击面安全漏洞扩大云上攻击面 经过 API 产生的流量占互联网流量的一半以上,管理和滥用预防极其复杂。由于企业云上资产管理不严格、不健全,部分 API 处于未云计算标准和开源推进委员会云上攻防发展洞察(2024)17 知、未管、未保护的状态,给攻击者带来可乘之机。Cloudflare 的一项调查显示,通过机器学习模型扫描已知的 API 调用和所有 HTTP 请求,与用户配置工具对比,识别可能下落不明的 36、API 流量,发现未受保护的“影子 API”比例超过 30%,潜在的攻击面安全管理刻不容缓。API 作为连接云计算服务的重要门户,与企业业务密切相关,面临多层级网络攻击威胁,目前出现最广泛的 API 问题是过度数据暴露,SQL 注入、SSRF、恶意文件上传等 OWASP 常见 Web 攻击难以避免,此外还存在多种业务层攻击,例如越权访问和信息遍历,API 安全诉求成为热门话题。数据来源:公开资料整理 图 6 最受关注的 API 安全问题 Top10 为了有效应对新型 API 风险,强化 API 资源管理是确保应用安全的关键步骤。应确保所有已上线的 API 都纳入管理范围,并建立四层防御体系。一37、是请求环境防御,通常 API 会在浏览器、小程序或App 中被调用,需要提前识别调用者的开发和运行环境,准确识别来云计算标准和开源推进委员会云上攻防发展洞察(2024)18 自非法环境调用,对异常访问环境进行实时拦截,降低攻击风险。二是安全风险防御,结合 AI、大数据和威胁情报技术,持续监控并分析流量行为,重点防范 API 自身缺陷、参数违规、越权访问、安全攻击和异常行为等风险。针对 API 的各种安全风险,提供包括但不限于安全攻击防护、异常请求阻断和异常行为限流等多重防护措施。三是敏感数据管控,利用专家经验和机器学习技术,对敏感数据进行有效过滤和识别,并结合行业分类分级标准,实施相应的安全策38、略管控,如数据脱敏和筛选等。四是业务攻击防御,API 安全与业务紧密相关,需要结合特定关键字进行智能统计分析,通过业务模型深度学习,制定合适的 API 业务安全防御策略,识别撞库、登录、注册、爬虫等异常业务请求,并提供阻断、限流和挑战等拦截动作,增强业务攻击防御能力。2容器、集群攻防容器、集群攻防场景不断延伸场景不断延伸 随着企业业务数字化,计算资源虚拟化,越来越多的关键功能运行在容器、Serverless 等轻量级平台上,容器安全攻防场景不断延伸。容器技术为轻量级虚拟化提供了载体,因其强一致性、可移植性和高效资源利用率在业内得到了广泛应用,大规模集群式落地,攻击暴露面随之扩大。多租户共享 K39、ubernetes 集群,服务实例运行在 pod 中,不同租户的实例可能在同一个节点上,黑客通过跨租户越权访问可能实现云资源实例的入侵。Serverless 应用通常使用容器部署应用或函数,并结合沙箱、网络隔离等加固安全环境。沙箱配置漏洞可能出现绕过风险,导致黑客达到远程代码执行漏洞、文件读取、网络访问的云计算标准和开源推进委员会云上攻防发展洞察(2024)19 目的。网络隔离不完善可使得其他租户容器、master 节点等遭受攻击,导致对元数据服务的越权访问和敏感数据泄露。以容器为载体的业务往往具有生命周期短、计算复杂、网络复杂的特性,安全事件影响范围广、损失代价高,做好虚拟资产清点、运行前风40、险发现和运行时入侵检测至关重要。一是容器基线安全,容器创建时需基于 Docker 和 Kubernetes 的 CIS 安全配置规范,对运行环境和程序自身配置进行检查。容器运行时确保 Docker 安全操作,按照 Kubernetes 基线检测主节点配置、控制面板配置、工作节点安全配置等安全性。二是容器进程安全,云主机上运行的容器都应受到安全监控和进程保护。将容器目录加入到实时监控路径中,通过进程、文件实时监控能力,及时发现容器内新建进程和文件,并对相关进程和文件进行实时查杀。三是容器 Web 应用安全,针对容器 Web 应用的后门攻击、目录扫描等层出不穷,可结合安全数据分析能力,对用户设置的41、 Web 目录进行实时防护,在目录出现变更时启动扫描,并将安全策略匹配到的恶意信息上报到主机安全管理平台,实时防护客户网站安全。四是容器逃逸检测,应及时发现具有逃逸风险的容器和具有逃逸行为的进程,将检测信息上报给主机安全控制台进行同步,并给出详细的描述信息和处理建议。3云上云上 DDoS 攻击攻击影响广泛影响广泛 万物互联时代,DDoS 攻击成本低廉且影响广泛,已成为国家级网络战的重要手段。DDoS 攻击是一种常见且危险的网络攻击手段,攻击者通过向目标服务器发送大量请求,消耗其资源,导致其无法正云计算标准和开源推进委员会云上攻防发展洞察(2024)20 常提供服务。常见的 DDoS 攻击技术包42、括:1)流量型攻击,通过发送大量的数据流量,耗尽目标网络的带宽资源,如发送大量 UDP 数据包、ICMP 请求,和利用开放的 DNS 解析器,将小请求放大成大响应,攻击目标网络;2)协议型攻击,针对网络层或传输层的协议漏洞,通过发送大量 ACK 和 SYN 请求包消耗服务器资源,使其无法响应正常请求;3)应用层攻击,通过过量的 HTTP 请求和 DNS 查询请求,占用服务器的应用处理资源,从而达到拒绝服务的目的;4)反射型攻击,利用第三方服务器向目标发起反射攻击,通常搭配相关协议放大请求提升攻击效果;5)混合攻击,结合多种 DDoS 攻击技术,同时攻击多层级云服务。全球 DDoS 攻击的规模每43、两年翻一倍,而在企业复杂的多云、混合云环境中,安全架构和策略差异对企业云安全战略的完整性和科学性提出更高要求,企业在碎片化的分布式架构中进行故障排除更加困难。云计算提供了动态扩展和负载均衡的能力,但 DDoS 攻击者也可能利用这些特性来提升攻击效果。对云服务商和安全厂商来说,应准确识别云环境安全需求,提升抗 DDoS 产品性能、优化防御算法、增强配套服务水平。自动化流量监控与异常检测,基于阈值和流量特征识别异常流量,监控用户和设备的访问行为,进行行为分析,以及支持通过数字签名、机器学习等进行模式识别,涉及到的产品包括UEBA、抗 D、IDS 等,需具备较高水平的流量负载能力。流量过滤与清洗,在44、流量达到一定阈值时,将可疑 DDoS 攻击流量从原始网络路径中重定向到清洗设备上,通过安全规则或工具识别并剥离恶意流云计算标准和开源推进委员会云上攻防发展洞察(2024)21 量,包括过滤攻击报文、限制流量速度、限制数据包速度等,将还原的合法流量回注到原始网络中,云防火墙、云 WAF、IPS 均可覆盖这类功能。灾难恢复与业务优化。云平台遭遇大规模 DDoS 攻击后需及时进行响应,阻断攻击源、恢复中断服务、解除临时性防御策略。结合安全损失评估,优化防御措施,如调整 CDN 配置、增加 WAF 规则、定期安全审计、搭配云安全托管和安全培训等安全服务形成防御闭环。来源:中国信息通信研究院 图 7 云45、平台 DDoS 防御架构参考 4认知认知战战成为网络战重要一环成为网络战重要一环 网络认知战(Cognitive Warfare)是一种利用网络技术和信息操作来影响人们的认知、态度和行为的战略,综合运用了心理战、信息战和网络战的手段,目标是通过操纵信息环境和利用人类心理弱点来云计算标准和开源推进委员会云上攻防发展洞察(2024)22 达到特定的政治、军事或经济目的。网络认知战的核心是通过多种途径影响和控制目标群体的认知和行为。通过舆论操纵影响信息完整性、可用性,攻击者借助信息篡改和伪造技术散布不实信息,或操控搜索引擎和推荐算法控制信息的可见性,误导公众主观判断,造成网络空间信息混乱。政治矛盾引46、导网络攻击。认知战在国际地缘政治矛盾中被广泛应用,即利用舆论武器影响目标人群的思维方式和行动方式,引起民族性、自发性的网络攻击,而云计算的广泛运用使得攻击溯源更加困难。社会工程突破企业安全防线。社会工程网络攻击通过心理操纵和欺骗手段,诱骗目标泄露敏感信息、执行不当操作或提供非法访问权限,如钓鱼攻击、电话欺诈、冒充攻击等。云环境访问控制场景多变,不严格的身份鉴别和权限分配都可能会被社会工程攻击利用。网络认知战是一种复杂且影响深远的战术,涉及组织管理、安全技术、人员观念等多维因素。引入零信任理念强化访问控制。秉持“永不信任,始终验证”的安全原则,通过多因素身份验证和多模式 IAM实现细粒度访问控制47、,搭配 ZTNA、SDP 等安全网关提升访问控制效率。提升人员防范意识和安全能力。定期进行云安全和网络安全意识培训,提升员工对社会工程攻击的识别和防范能力,塑造主动安全观,实现人人讲安全,个个会应急。规范化企业云安全建设。构建覆盖从顶层安全战略到云上业务运行的整体安全框架,主动匹配合规要求,积极配合监管审查,提升企业云环境治理水平。云计算标准和开源推进委员会云上攻防发展洞察(2024)23(二)攻防框架(二)攻防框架构建体系化知识库构建体系化知识库 体系化的攻防模型能够帮助组织理解和对抗黑客的攻击技术和战术,提供了一个全面的攻击知识库,详细描述了攻击者可能使用的战术、技术和常见知识。通过了解和48、应用各类攻防框架、模型和矩阵,组织可以更好地理解攻击者的行为模式和策略,从而提高网络空间安全的防御能力。1ATT&CK ATT&CK 模型是由 MITRE 公司开发的一个详细框架,用于描述和分类网络攻击者的行为和技术,广泛应用于网络安全领域。ATT&CK 模型以攻击者视角描述网络攻击中各阶段所涉及技术,包括攻击前准备、攻击时技术和移动端技术。将已知攻击者行为转换为包括战术和技术的结构化列表,通过结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)和矩阵来表示。框架全面呈现了常见的网络攻击行为,能够作为进攻和防御效果的有效度量。ATT&CK 的典型的应用场景包括:1)发挥威胁49、情报最大价值:提供标准化的术语和结构描述攻击者战术、技术和程序(TTPs),帮助安全团队识别和理解攻击行为模式,提高威胁情报的准确性和可操作性;2)提升检测分析效率:根据 ATT&CK 模型中的技术和战术,制定和优化检测规则和响应策略;3)针对性攻击模拟:基于威胁情报模拟真实的攻击行为,测试和评估防御系统的有效性;4)支撑能力验证与改进:使用 ATT&CK 模型开展防御差距评估,指导企业安全决策。云计算标准和开源推进委员会云上攻防发展洞察(2024)24 2网络杀伤链 洛克希德 马丁公司提出的网络安全威胁的杀伤链模型广泛应用于描述网络攻击和防御流程,涵盖了攻击者从初始侦察到最终目标达成的整个攻50、击生命周期。侦察阶段,收集目标的信息,确定可利用的漏洞和潜在的攻击面;武器化阶段,攻击者将恶意代码或工具,创建可以用于攻击的“武器”;传送阶段,攻击者将武器传送到目标系统;利用阶段,攻击者利用目标系统中的漏洞或弱点执行恶意代码;安装阶段,攻击者在目标系统中安装恶意软件,以确保持久访问;命令与控制阶段,攻击者建立与被感染系统的远程通信通道实现目标远程控制;最终攻击者在目标系统上执行攻击行为,例如数据窃取、破坏系统、勒索或网络间谍活动。为梳理日益复杂的云网攻击,Meta 于 2022 年推出了新的“在线操作杀伤链”模型,具体描述了攻击者在执行在线操作攻击时的各个步骤和阶段,帮助组织更有效地检测、阻51、止和响应在线攻击。3入侵分析钻石模型 入侵分析钻石模型是一种用于分析网络入侵事件的模型,帮助安全团队理解和分析入侵者的行为、动机、目标和工具。该模型由美国情报界提出,并在网络安全领域得到广泛应用。模型以钻石形状展现入侵事件的四个核心要素,即受害者、入侵者、基础设施和行动。模型能够帮助企业梳理网络入侵事件全过程,包括开展威胁情报分析和安全威胁建模,帮助企业了解威胁行为模式,提供安全策略制定、漏洞修复和安全培训提供参考;事前基于入侵者的行为模式和攻云计算标准和开源推进委员会云上攻防发展洞察(2024)25 击手段入侵检测和响应,及时发现和阻止入侵行为;事中执行安全事件分析和溯源,揭示攻击者的行为轨52、迹、攻击链和漏洞利用方式;事后进行安全漏洞修复和威胁情报共享,提高系统的安全性和稳定性,促进安全社区和组织之间的威胁情报共享和协作,加强整体安全防御能力。4面向云计算的攻防框架 相较于其他网络攻击模型,云安全攻防矩阵聚焦云计算环境,按照攻击者入侵过程,详细描述云服务器、容器和云存储等云计算资源的风险点位,梳理利用 Kubernetes 配置、Docker 漏洞提权等进行云上攻击的手段,能够有效的帮助云上开发者和运维人员识别风险,有效的保障云上资产安全。腾讯云安全攻防矩阵是由腾讯安全云鼎实验室推出的一种网络安全分析模型,针对云上安全所面临的威胁以及攻击技术,从实战角度出发,围绕云原生场景,分析攻53、击者战术与手段,助力企业知攻知防。矩阵共分为初始访问、执行、持久化、权限提升、防御绕过、窃取凭据、探测、横向运动、影响等九大阶段,为安全团队提供一套系统化的威胁检测、响应和防御方法。青藤云 Kubernetes 攻击矩阵基于 ATT&CK 框架进行梳理,描述跨越 Kubernetes 基础设施和应用的关键攻击战术和技术。越来越多的企业在建立云上业务时,选择将工作负载转移到灵活可扩展的容器和集群,该攻击矩阵可以帮助企业明确其应对容器安全威胁的防御水平,找出存在的差距并提供优化路径参考。云计算标准和开源推进委员会云上攻防发展洞察(2024)26 四、发展趋势与建议(一)(一)ICT 新技术新技术融54、合融合加速加速云云上攻防上攻防态势复杂化态势复杂化 云上攻防技术的更迭受数字基础设施架构变化、ICT 新技术应用、网络攻击暴露面延伸等多重影响。云计算和算力网络的广泛应用极大拓宽了网络安全的覆盖范围,为攻防领域与新技术、新应用融合发展提供土壤,不论是云上攻击技术还是安全防御能力,未来都将继续向提升执行效率、优化经济效益、扩大效果方向演进。一是大模型赋能攻击防御智能化。随着大语言模型迭代,人工智能技术不再是辅助安全策略判断和执行的自动化工具,而是逐渐替代人工实现主动决策。攻击技术方面,生成式 AI 被恶意利用难以避免,通过分析大量代码和配置文件,自动发现和利用安全漏洞,生成多态恶意代码以逃避检测55、,甚至优化攻击路径和规避策略,帮助攻击者绕过安全防护措施,使得攻击行为更加复杂多变。防御技术方面,安全大模型强大的自然语言处理和数据分析能力,能够实时分析安全日志和网络流量,识别复杂的攻击模式和异常行为,更透彻地理解攻击者的战术和技术,自动化生成应急响应措施和修复建议,协助安全团队快速应对威胁。大模型还可以用于威胁情报的自动化提取和共享,实现对潜在威胁的精准预测,持续优化安全策略和防御体系,显著增强云环境整体安全防护能力。二是区块链成为攻防技术双刃剑。区块链技术因其去中心化、匿名性和可溯源的特征在网络安全和云安全技术中被广泛应用,但由于Web3.0 体系发展迅速,监管体系尚不成熟,区块链依然是56、网络攻防云计算标准和开源推进委员会云上攻防发展洞察(2024)27 领域的一把双刃剑,既是建设可信基础设施的关键载体,也可以是攻击者隐藏行踪的常用手段。一方面,区块链技术可以通过其去中心化和匿名性特征实现匿名化攻击。攻击者利用区块链的分布式账本和加密技术掩盖真实身份和攻击路径,使用匿名工具和多层加密使得路径追踪和攻击溯源变得极为困难。另一方面,区块链提供了一个透明且防篡改的交易记录系统,智能合约的自动执行减少了人为操作带来的安全风险,分布式技术消除了单点故障,确保数据的完整性和真实性,防止恶意篡改和欺诈。将区块链基础设施引入云平台,能够有效解决分布式存储带来的传输安全和隐私保护问题。三是量子信57、息技术引发云安全质变。量子信息技术是量子物理与信息技术的融合产物,未来计算能力跨越式发展的重要方向,将对传统技术体系进行重构,成为引领新一轮科技革命和产业创新的驱动力,也是网络安全和云安全领域未来发展的关注焦点之一。在网络攻击领域,量子计算主要被用于破解经典密码算法,攻击者使用量子计算强大的并行计算能力和量子算法,能够在极短时间内破解现有的对称和非对称加密算法,对云计算架构下流量庞大的数据传输和分布式加密存储构成了严重的安全威胁。在网络防御领域,量子计算主要应用于后量子密码、量子密钥分发等量子通信技术,利用量子力学原理生成和传输不可窃听的加密密钥、开发抗量子计算攻击的加密算法。目前,我国量子计58、算云平台发展处于起步阶段,将量子计算资源广泛集成至云安全产品,能够实现用户资源安全和数据保护效果质变提升。云计算标准和开源推进委员会云上攻防发展洞察(2024)28(二)(二)多多措措并举维护云安全生态并举维护云安全生态 加强企业云安全能力,形成整体防御体系。云安全需求侧企业应加强云安全意识,积极承担安全责任,做好企业云安全访问控制、安全配置、定期安全审查,确保“选云”和“用云”安全。不断加强企业抗风险韧性,制定并执行全面的应急响应和业务连续性计划,帮助企业能够在面对复杂的网络攻击时保持敏捷和高效。此外,随着云环境安全建设精细化、复杂化,企业应逐渐建立可量化的安全管理和评价体系,不断提高整体安59、全管理成熟性。对供应侧企业来说,云安全能力的发展方向应该是技术驱动、量化管理、全局防御,对内加强安全管理,对外提供安全赋能。云安全能力供应方应积极探索,提升创新研发能力,努力实现关键技术瓶颈突破,新兴技术与网络安全深度融合,云安全产品和服务创新能力增强。提升用户云安全素养,扩充社会人才储配。应加强云服务用户对云安全基本概念和防护措施的认识,通过教育和宣传,提高安全意识和风险识别能力。在人才培养方面,鼓励和支持院校及培训机构设立云安全相关课程和认证项目,培养专业化、高素质的云安全人才。促进政府、企业和社会各界对网络安全宣传的共同参与及配合,提供实习和就业机会,帮助新兴人才积累实战经验。通过多方合60、作与持续投入,构建一个知识丰富、技能全面的云安全人才库,为社会的安全发展提供坚实的人才保障。健全行业云安全监管,推进跨域多元合作。依托现有网络安全法律保障体系,贯彻落实云安全防御相关要求,实现权责明确的多部门云计算标准和开源推进委员会云上攻防发展洞察(2024)29 联动协调,提高跨组织的网络安全响应能力。积极推进针对金融、电力、医疗、交通等关键行业的云安全标准规范和实施指南,通过多层次、多维度的监管和引导,加速重点领域云安全建设,推动构建国家网络安全保障体系。建立广泛的公共和私营部门之间的合作平台,推动安全资源和攻防经验互补。鼓励跨行业和跨国界的网络安全和云安全合作,通过信息共享和技术交流,61、共同应对复杂的网络威胁,构建网络安全命运共同体。通过建设多元化安全生态,形成覆盖全国、全行业的大安全观,筑牢可信数字安全屏障,为信息化协同发展提供有力保障。云计算标准和开源推进委员会云上攻防发展洞察(2024)30 附录:云安全实践优秀案例 金融业金融业云云镜像镜像安全管理安全管理实践案例实践案例 关键词:云上安全运营、镜像安全、DevOps 需求需求痛点痛点 业务轻量化部署将云上安全运营的重点逐渐转移到对容器镜像的安全管理上,包括确保镜像的安全性、实现自动化的安全扫描,以及在 CI/CD 流程中整合安全措施。现有行业内传统旁挂式的镜像安全扫描方案中,仅具备镜像内部风险的扫描能力,不具备安全运62、营闭环能力,直接影响了云原生应用的安全水平,进而造成业务安全隐患。解决方案解决方案 青藤云提出镜像可信安全管理方案,设计以镜像为中心的安全业务流程模型,打通业务镜像生命周期流程,嵌入镜像安全检测能力,并利用镜像数字技术对镜像进行安全签名,保障业务镜像的分发、部署的完整性、一致性和安全性。同时实现研发与运行时“双向”反馈,在开发、构建、分发、部署流程中,确认镜像的安全性与合规性,保障上线即安全,在运行时环境持续监控,对安全问题整改提出修复指导。案例创新案例创新 1、以镜像为核心的可信管理体系;2、镜像血缘关系分析技术;3、内含安全元数据的镜像签名技术;4、镜像安全“双向”反馈机制。应用效果应用效63、果 为用户(某股份制银行)建设了全生命周期贯通的研发运营安全体系(DevSecOps),实现了 CI/CD 全阶段的云安全检测自动化,有效解决行业共性的开发、生产隔离导致 dev和 ops 割裂式管理问题。通过镜像血缘关系收敛 70%以上历史镜像漏洞,为云上安全运营提供良好支撑。目前已累计对超过数十万个镜像缓存进行了全面监控和安全扫描,确保了镜像安全的全方位覆盖和持续监控。云计算标准和开源推进委员会云上攻防发展洞察(2024)31 汽车行业汽车行业数据安全实践案例数据安全实践案例 关键词:车联网安全、数据防泄漏、行业合规 需求痛点需求痛点 车联网数据量爆发式增长,对数据安全提出更高的要求,数据64、体量大、来源多、数据协同访问涉及面广、承载形式多样、类型复杂、时效性强、处理要求高,导致出现数据资产不清、数据风险面广、数据流动频繁等问题,极易造成敏感数据泄漏且无法追溯,存在合规风险和重要数据泄漏风险。解决方案解决方案 腾讯云数据安全解决方案结合汽车行业客户需求,在数据、人、工具、运营管理安全等方面进行积极防御,全面建成车联网平台数据安全体系。在数据安全风险评估和数据分类分级的基础上,建立全生命周期数据分类分级、风险监测、数据加密、数据脱敏、数据操作审计、应急处置等技术措施,实现数据可见、可控、可管,为业务的稳定、可靠运行保驾护航。案例创新案例创新 1、引入自研大模型的 AI 能力,提升数据65、识别的准确度;2、支持结构化、非结构化、半结构化数据识别和兼容,满足绝大多数的数据场景;3、数据安全风险评估模块,集成了扩展云配置和多种云安全能力,持续评估数据资产安全态势 应用效果应用效果 方案围绕着汽车行业合规要求和数据防泄漏需求,为企业敏感数据提供了全生命周期安全防护,有效保障了客户车联网业务安全合规、稳定运行,为汽车行业数据安全建设提供良好示范,同时该套数据安全治理思路和实践对于其他行业也具有指导意义,可以快速复用至各行各业。云计算标准和开源推进委员会云上攻防发展洞察(2024)32 运营商云运营商云安全密码一体化安全密码一体化实践案例实践案例 关键词:数据安全、密码服务、身份认证 需66、求痛点需求痛点 商用密码技术是保障网络与信息安全的核心技术,某地方运营商为落实商密系统建设要求,需对后端设备登录身份认证加密、重要数据存储机密性、重要数据存储完整性进行改造,实现云平台防假冒、防泄密、防篡改、抗抵赖等安全需求。解决方案解决方案 新华三根据客户需求,搭建云安全密码一体化服务平台,支持南向纳管密码安全设备,北向统一提供接口服务;纳管密码机及签名验签,可对外提供加解密及签名验签能力;通过实际业务系统改造,落地后端设备登录身份认证加密、重要数据存储机密性、重要数据存储完整性三种场景的密码服务能力。案例创新案例创新 1、采用 SM2 国密算法数字签名技术实现身份鉴别;2、采用国密算法实现67、重要数据存储机密性保护;3、支持应用系统重要数据在存储过程中的完整性安全保护。应用效果应用效果 客户通过密码服务平台,南向纳管云密码机、签名验签服务器,北向可实现加解密能力、签名验签能力;对接落地后端设备登录身份认证加密场景、重要数据存储机密性保护场景、重要数据存储完整性保护场景;平台可灵活扩展密码服务能力,对接其他业务系统。云计算标准和开源推进委员会云上攻防发展洞察(2024)33 致 谢 本报告在撰写过程中得到了以下单位的支持和帮助,在此表示感谢。由于撰稿时间有限,行业态势变化快,如有疏忽和纰漏,欢迎批评指正。中国信息通信研究院、腾讯云计算(北京)有限责任公司、新华三技术有限公司、天翼云科技有限公司、中移(苏州)软件技术有限公司、中电信数智科技有限公司、北京升鑫网络科技有限公司、瑞数信息技术(上海)有限公司、奇安信科技集团股份有限公司、中电科网络安全科技股份有限公司、浪潮软件科技有限公司。致 谢 云计算标准和开源推进委员会云上攻防发展洞察(2024)34