2011-11-01 CSA峰會-潘柱廷-虛擬和現(xiàn)實的網(wǎng)絡(luò)工程創(chuàng)新

1、云安全聯(lián)盟 2011中國峰會虛擬加實體的網(wǎng)絡(luò)工程創(chuàng)新 Virtual + Physical Networking InnovationCSA 2011 Summit潘柱廷云安全聯(lián)盟中國區(qū)理事中國計算機(jī)學(xué)會理事 啟明星辰首席戰(zhàn)略官2011年11月1日所謂網(wǎng)絡(luò)工程安全相關(guān)的傳統(tǒng)網(wǎng)絡(luò)工程安全的時間、空間、邏輯關(guān)系流（過程）安全域和邊界業(yè)務(wù)流Round-Trip思路云計算帶來網(wǎng)絡(luò)工程的變化網(wǎng)絡(luò)被淡化？終端一側(cè)承擔(dān)更多責(zé)任服務(wù)端一側(cè)則N維概念空間時間維簇生命周期時序流轉(zhuǎn)空間維簇地理空間網(wǎng)絡(luò)分布式拓?fù)淇臻g虛實層次空間邏輯維簇因果關(guān)聯(lián)IT World時間空間邏輯從IT概念立方體看空間問題構(gòu)思開發(fā)部署運(yùn)行維修

2、消退服務(wù)網(wǎng)絡(luò)客戶端管控存儲物理層網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層數(shù)據(jù)層知識層價值層空間分布虛實層次生命周期jordanpanjordanpanjordanpanJP從IT概念立方體看空間問題服務(wù)網(wǎng)絡(luò)客戶端管控存儲物理層網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層數(shù)據(jù)層知識層價值層空間分布虛實層次jordanpanjordanpanJPNetworking Connect-SpaceConnect-Space Distribution * Hierarchy資產(chǎn)威脅措施 最精簡的風(fēng)險管理要素信息安全保障技術(shù)三類信息安全技術(shù)加密技術(shù)相關(guān)攻防技術(shù)相關(guān)檢測技術(shù)相關(guān)體系化相關(guān)可信計算的風(fēng)格特征基于TPM的完整性檢查可信計算的風(fēng)格特征所謂攻防就

3、是流(過程)對抗資產(chǎn)威脅措施 注：此圖中的坐標(biāo)軸不代表程度環(huán)境來源對象內(nèi)因空間路徑 系統(tǒng)層次時序生命周期事件影響可能性環(huán)境用例系統(tǒng)脆弱性空間分布 時序邏輯流程屬主生命周期QoS需求性能可管理需求環(huán)境針對的威脅針對的漏洞X-Based安全機(jī)制空間分布時序應(yīng)激反應(yīng)生命周期評測屬性流的觀點(diǎn) X-Case明確價值關(guān)注對象，即被保護(hù)目標(biāo)分解被保護(hù)目標(biāo)的結(jié)構(gòu)安全域描述對象及其所在環(huán)境業(yè)務(wù)流和數(shù)據(jù)流(Use-Case)表達(dá)業(yè)務(wù)的活動情態(tài)用威脅用例(Threat-Case)表達(dá)威脅落地在技術(shù)和管理的管控措施上廣義威脅/威脅用例/威脅場景威脅的環(huán)境Environment：前提、假設(shè)、條件等威脅的來源Agent：

4、包括攻擊者、誤用者、故障源、自然（災(zāi)害）等威脅的對象Object：攻擊目標(biāo)和破壞對象，也就是要被保護(hù)的對象威脅的內(nèi)因脆弱性Vulnerability：自身保護(hù)不當(dāng)?shù)牡胤酵{的過程Process威脅的途徑Route：指威脅必須通過才能實現(xiàn)的一些部分。比如，要通過網(wǎng)絡(luò)、要在物理上接近設(shè)備、要欺騙人等等。威脅的時序Sequence：威脅要實現(xiàn)所必經(jīng)的步驟和順序。與威脅的途徑是一個從空間上，一個從時間上表達(dá)。也可以將這兩個因素結(jié)合起來表達(dá)威脅的過程。威脅的結(jié)果事件Event/Incident：威脅具體實現(xiàn)之后所造成的結(jié)果威脅的可能性：威脅產(chǎn)生結(jié)果變成事件的概率。威脅的影響范圍：威脅產(chǎn)生結(jié)果后的影響大小

5、。以及影響進(jìn)一步擴(kuò)散的特性。檢測的發(fā)展宏觀監(jiān)測APT檢測蜜罐B爬蟲沙箱A靜態(tài)數(shù)據(jù)體病毒檢測代碼代碼檢查C管理體系風(fēng)險評估合規(guī)測評S基于風(fēng)險管理思想的體系化方法國內(nèi)的一些規(guī)章制度等級保護(hù)涉密分級保護(hù)風(fēng)險評估和安全檢查行業(yè)性規(guī)定IT治理的三大標(biāo)準(zhǔn)BS25999業(yè)務(wù)連續(xù)性管理ISO20000IT服務(wù)管理ISO27001信息安全管理常見的體系架構(gòu)形態(tài)安全域、網(wǎng)絡(luò)結(jié)構(gòu)業(yè)務(wù)流網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流構(gòu)成地圖不同的安全技術(shù)風(fēng)格與流都有體現(xiàn)強(qiáng)結(jié)構(gòu)性松結(jié)構(gòu)性解構(gòu)性可信架構(gòu)體系化架構(gòu)攻防型對抗可信架構(gòu)TPMTNC密碼技術(shù)認(rèn)證體系信息安全管理體系構(gòu)建組織、制度和技術(shù)措施組成的管理結(jié)構(gòu)網(wǎng)絡(luò)安全域等構(gòu)建網(wǎng)絡(luò)結(jié)構(gòu)綜合安全監(jiān)控平臺

6、構(gòu)建監(jiān)控結(jié)構(gòu)漏洞掃描風(fēng)險評估入侵檢測滲透性測試應(yīng)急響應(yīng)廣義威脅用例云計算改變了什么？NIST對云的看法云 ？虛擬化、數(shù)據(jù)中心虛擬化如果沒有虛擬化，還有云計算嗎？數(shù)據(jù)中心除了數(shù)據(jù)中心，云還有什么其他形態(tài)？共享集約云模式改變的交互的空間關(guān)系根本物質(zhì)水服務(wù)源海、湖、河、地表實際資源云朵形成形成虛擬資源傳輸體系大氣環(huán)流網(wǎng)絡(luò)、通信云朵接觸虛擬資源前端成雨條件客戶端、訪問降水獲得水獲得云服務(wù)用水本地水處理和應(yīng)用服務(wù)再加工水性 砂性關(guān)于#云計算和虛擬化#云計算原先完全在自我控制下的區(qū)域和業(yè)務(wù)流，有相當(dāng)?shù)牟糠植辉谥苯诱瓶叵铝颂摂M+集約后，價值系統(tǒng)的位置都不清晰了干系主體者復(fù)雜化了，至少多了租戶環(huán)節(jié)虛擬化原先習(xí)

7、慣的安全域及其邊界找不到了（并不是不存在了）還是歸結(jié)到#IT概念立方體#構(gòu)思開發(fā)部署運(yùn)行維修消退服務(wù)網(wǎng)絡(luò)客戶端管控存儲物理層網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層數(shù)據(jù)層知識層價值層空間分布虛實層次生命周期jordanpanjordanpanjordanpanJP云計算SaaSIaaSPaaS應(yīng)用虛擬化桌面虛擬化網(wǎng)絡(luò)虛擬化存儲虛擬化服務(wù)器虛擬化虛擬化對于安全功能的拆解作用于部署于虛擬層虛擬平臺實體層虛擬層虛擬平臺實體層部署于安全功能作用于云存儲安全云審計云備份掃描和基線網(wǎng)關(guān)禁止逃逸暫不考慮客觀存在的業(yè)務(wù)流和域29域和流的變化改變虛擬安全網(wǎng)關(guān)全面考慮各種云部署模式以及多租戶環(huán)境下的邏輯域安全隔離需求，采用不同功能的安全網(wǎng)關(guān)保障虛擬域訪問安全?？臻g、流服務(wù)網(wǎng)絡(luò)客戶端管控存儲物理層網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層數(shù)據(jù)層