云安全,料敌先机胜过唯快不破
文 |本刊记者 姜红德
随着云计算的普及,基于云且针对云的安全威胁成为IT决策者不得不面对的新挑战。企业如何在云端获取利益的同时,能够最大程度避免云端威胁带来的损失?同时,我们常常会被问起,企业业务面临从数据中心(IDC)向以数据为中心的云环境迁移,怎样才能保证业务的安全高效?
“在传统网络安全领域一直有天下武功唯快不破的说法,但在我看来,快速反应不足以应对针对云的安全威胁,如何从快到先,才是解决这些威胁的关键。” Check Point Research中国区总经理陈欣在谈到2019年云计算安全形势时这样表示。
意识不足提升了安全压力
著名咨询机构Forrester预测:云计算将真正成为企业完成数字化转型的核心基础。在我国,随着5G的商用化推进,物联网、大数据等新兴科技的快速发展,云计算将迎来井喷期。在工信部2017年印发的《云计算发展三年行动计划(2017-2019年)》中提出:到2019年我国云计算产业规模会达到4300亿元,要建立云计算公共服务平台,支持软件企业向云计算加速转型,加大力度培育云计算骨干企业,建立产业生态体系。
体育作为一种运动的形式,其本身就带有竞技色彩,所以说,在体育教学中,教师不能忽视竞赛情景的创设,因为通过竞赛,教师可以更好地看清学生目前的水平,而且还可以借助比赛的输赢来激励学生进行不断的训练,不断地突破自我、超越自我。具体而言,教师可以定时在体育课上开展运动比赛,通过排名的形式,激发学生的潜力和斗志,这样一来,成绩靠前的学生会想要保持自己的纪录而更加重视身体的锻炼,成绩不好的学生更会为了能够取得好的成绩而加强锻炼,形成良性循环,最终有助于学生身体素质的提升,也有助于体育课效率的提高。
在企业上云过程中,越来越多的CIO发现,从集中式数据中心转向超级分布式应用程序和边缘数据中心,网络与安全的复杂性上升到了一个全新的高度。当企业的大量资产已经数据化之后,如果不能及时解决这些问题,将会造成不可估量的损失。
与此同时,对于云计算的边界认知和责任分工的误解,使得安全并没有引起用户的足够重视。“云计算只是别人的数据中心”,这个概念让很多人感到困惑,因为这可能假设企业放弃安全责任,因为“别人会照顾它”。
在本次研究中,试验组与对照组患者均接受为期8周的降脂药物治疗后,血脂水平均有所改善,而试验组血脂改善效果明显由于对照组。这提示了瑞舒伐他汀钙治疗老年冠心病合并高脂血症的可行性,具有一定推广价值。尽管如此,本次研究还存在纳入样本量少、没有比较瑞舒伐他汀钙不同给药剂量的治疗效果等,这将是本品要在冠心病合并高脂血症老年患者治疗中研究的主要方向。
另一份来自360威胁情报中心的报告显示,2018年全球99个专业机构(含媒体)发布了各类APT研究报告共478份,涉及相关威胁来源109个,其中APT组织53个,各项数据相较于2017年都有大幅度增加,APT活动日益猖獗。
2019年有哪些来自云端的威胁?
作为最典型的安全升级事件,近年来全球范围内已经发生多起T级DDoS攻击。2018年2月下旬,知名代码托管网站GitHub遭遇了带宽1.35T的DDoS攻击。11月,网宿科技宣布其云安全平台防御了一起攻击流量高达1.02T的DDoS攻击事件。
近1~2年来,全球性的网络安全事件频发,比如芯片代工企业台积电遭遇病毒攻击,带来了5.84亿元的经济损失;华住集团旗下酒店有5亿条信息泄露;而最新的一桩安全事件是,万豪酒店旗下的喜达屋酒店客房预订数据库被黑客入侵,高达约5亿名客人的信息被窃取,万豪也因此遭遇了严重的集体诉讼,索赔金额高达125亿美元。
云安全这个市场到底有多大容量?Gartner研究指出,全球云安全服务2020年的市场容量将接近90亿美元,到2022年云安全市场预计将从2017年的40亿美元增至110亿美元,年均复合增长率达到24%。在安全市场刚性需求爆发的大背景下,传统安全软硬件厂商、第三方云服务厂商以及CDN服务商,集体涌入云安全市场。
云计算安全联盟专家表示,数据泄露可能是有针对性攻击的主要目标,也可能是人为错误、应用程序漏洞或安全措施不佳所导致的后果。这可能涉及任何非公开发布的信息,其中包括个人健康信息、财务信息、个人身份信息(PII)、商业机密以及知识产权等。由于不同的原因,组织基于云端的数据可能会对不同的组织具有更大的价值。数据泄露的风险并不是云计算所独有的,但它始终是云计算用户需要首要考虑的因素。
根据表7显示,sig=0.000实验组和对照组平均值分别为4.03和1.12,说明两组存在差别,移动终端软件学习明显焦虑感低于传统学习方式。参照调查问卷的问题2和问题3,主要原因是终端软件的设计极具趣味性,游戏性,多维性,而且人机互动也极大调动了学生的兴趣,所以焦虑感比传统学习明显降低,相比之下,传统学习方式枯燥乏味,习得率低,造成学生的焦虑心理。
课程评价成绩构成是全过程综合性的评价,评价点包含对课程基础知识的掌握程度、自主学习活动能力、软件开发能力、团队协作能力以及创新能力等职业素养能力。
也就是说,很多企业的数据存放在云端,而没有存放在内部部署数据中心,但这并不意味着可以不用负责其数据的安全性。
物联网安全也将是重点。据Gartner称,全球联网设备数量到2020年将由2017年的84亿部增至204亿部,涵盖了家居设备、安防、智能汽车、医疗设备等各个场景,势必催生出更多样化、更复杂的安全需求。这意味着安全态势发生了转变,仅靠传统的集中式、本地化的防护远远不够,如防火墙、杀毒、WAF、漏洞评估等以防御为主的安全软硬件方案,已经难以适应物联网、云计算架构下的安全需求了。
依照惯例,云安全联盟(CSA)于今年4月份发布了最新版本的《12大顶级云安全威胁:行业见解报告》。报告的重点聚焦在数据泄密、身份凭证和访问管理不足、系统漏洞、不安全的接口和应用程序编程接口(API)、恶意的内部人员、高级持续性威胁(APT)、拒绝服务(DoS)、共享的技术漏洞等12个涉及云计算的共享和按需特性方面的威胁。
Check Point Research发布的《2019年安全报告》指出,仍有30%的IT安全从业者认为云安全应有云服务提供商负责,高达59%的IT人员没有考虑实施移动设备安全策略。这在混合云方兴未艾,各种智能设备普及的今天,无疑对企业的云平台带来了更大的潜在危险。
主动安全,抓住先机
在《网络安全法 》和云等保2.0等文件法规正式落地实施以来,云安全的问题开始受到外界的重视,解决它们只是时间问题。正如 Check Point Research中国区总经理陈欣指出的那样,云的普及使我们必须以更加前瞻的视角审视企业的安全策略,比如主动安全。
所谓主动安全,我们并不陌生。美国系统网络安全协会(SANS)曾提出网络安全滑动标尺模型,将企业信息安全能力分为五个阶段,分别是架构建设、被动防御、积极防御、威胁情报以及进攻反制。对于政企机构来说,企业安全防护体系五阶段论更符合现实情况,分别为初期防护阶段、被动防护阶段、合规防护阶段、主动安全阶段、智能安全阶段。与被动应对、无法协同、缺乏监控的被动防护,以及等保合规驱动的合规防护不同,主动安全阶段可以实现提前预警、自动运维、全面防护、主动防护。
作为国内知名的安全企业,北京奇安信集团(原360企业安全集团)总裁吴云坤曾表示,在数字化转型的浪潮中,高级和未知威胁不断挑战着企业的信息化安全防护能力。360具备准确有效的威胁情报能够帮助企业实现对各类威胁的实时检测、主动防御、提前预警、快速响应,实现从被动防御体系向积极(主动)防御体系的转变。
无独有偶。紫光集团旗下新华三也已经正式发布主动安全战略,充分利用其海量大数据优势、丰富的产品与方案优势,大数据分析能力、深度学习与人工智能技术,云网端协同联动能力,以及丰富的行业生态优势,帮助客户实现从被动防护向主动安全的转变。新华三集团副总裁、新华三信息安全技术有限公司总裁张力表示,新华三已经构筑完备的主动安全产品体系。
中国石油石化:王博士,您好!我国是名副其实的农膜大国,农用地膜产量和使用面积居全球首位,但高端农膜比例仅占10%,大部分农膜仍是不可降解的。在您看来,不可降解农膜的危害体现在哪些方面?
调查报告显示,目前企业最为关注的安全问题是如何做到事态可发现、趋势可预测、风险可感应、知行可管控。调查还发现,95%的企业认为安全威胁会不断增加。在大数据和云化的基础上,有73%的企业CIO认为,企业的安全预算会增加20%以上。
标签:以数据为中心论文; 数据中心论文; 云安全论文; 云计算论文; 安全威胁论文; IDC论文; 环境迁移论文; 云端论文;