SOC（安全運(yùn)營中心）可實現(xiàn)物聯(lián)網(wǎng)云平臺安全

　　2017年2月底，由國內(nèi)產(chǎn)學(xué)研多家機(jī)構(gòu)聯(lián)合發(fā)布了《2016物聯(lián)網(wǎng)安全白皮書》，該白皮書就當(dāng)前熱門的物聯(lián)網(wǎng)安全問題進(jìn)行了獨(dú)家分析，并重點(diǎn)指出物聯(lián)網(wǎng)是一個規(guī)模龐大的信息計算系統(tǒng)，這個系統(tǒng)需要一個強(qiáng)有力的平臺提供計算和存儲服務(wù)來支撐其應(yīng)用需求，云平臺能夠?qū)ξ锫?lián)網(wǎng)終端所收集的數(shù)據(jù)信息進(jìn)行綜合、整理、分析、反饋等操作。

　　白皮書強(qiáng)調(diào)，物聯(lián)網(wǎng)中的應(yīng)用都是數(shù)據(jù)密集型的，傳感設(shè)備與云平臺之間、用戶與云平臺之間和用戶與傳感設(shè)備之間時刻都在進(jìn)行數(shù)據(jù)交互，一旦數(shù)據(jù)丟失和損壞都將造成難以預(yù)料的后果。如果說物聯(lián)網(wǎng)終端相當(dāng)于人的手腳、眼鼻口，網(wǎng)絡(luò)通信傳輸管道相當(dāng)于人的四肢軀干，那么云端就等同于人的大腦，其安全重要性可見一斑。物聯(lián)網(wǎng)云端保存著所有終端搜集上來的信息數(shù)據(jù)，以及據(jù)此分析獲得的新數(shù)據(jù)信息。這些信息就猶如存放在倉庫里的黃金珠寶，時刻誘惑著黑客發(fā)起攻擊。云端一個小小的業(yè)務(wù)邏輯漏洞，就可能會給黑客攻擊大開方便之門。因此，云平臺必須采取適當(dāng)?shù)陌踩呗詠肀ＷC物聯(lián)網(wǎng)中數(shù)據(jù)的完整性、保密性和不可抵賴性。云平臺安全包括云存儲安全、云計算安全、云應(yīng)用安全。

　　據(jù)白皮書主要撰寫人、梆梆安全研究院院長盧佐華介紹，云存儲安全的主要目的是保證數(shù)據(jù)存儲的完整性和保密性，常采用的安全機(jī)制包括數(shù)據(jù)隔離與交換、數(shù)據(jù)備份、數(shù)據(jù)檢錯糾錯、文件系統(tǒng)安全性、訪問控制和身份鑒別等。云存儲安全通過數(shù)據(jù)隔離與交換、冗余備份數(shù)據(jù)，將數(shù)據(jù)存放在不同的數(shù)據(jù)中心，以保證個別存儲設(shè)備的故障不影響整個存儲系統(tǒng)的可用性;通過采用檢錯和糾錯技術(shù)使系統(tǒng)迅速發(fā)現(xiàn)錯誤并找尋備份數(shù)據(jù)來完成數(shù)據(jù)存取訪問，保證數(shù)據(jù)的正確讀寫;通過文件系統(tǒng)加密實現(xiàn)存儲系統(tǒng)安全;通過訪問控制和身份鑒別技術(shù)有效地控制用戶對存儲資源的訪問，將用戶對存儲系統(tǒng)的訪問限制在一定的范圍內(nèi)，從而保證其他用戶數(shù)據(jù)的安全性，防止越界訪問。

　　云計算安全主要是保證云平臺數(shù)據(jù)計算與運(yùn)行環(huán)境的安全，特別是基于虛擬化技術(shù)的云計算安全。重點(diǎn)應(yīng)考慮虛擬化軟件和虛擬服務(wù)器安全，虛擬化軟件安全是保證客戶虛擬機(jī)在多租戶環(huán)境下相互隔離的重要層次，必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層，限制對于Hypervisor 和其他形式的虛擬化層次的物理和邏輯訪問控制。虛擬化層的完整性和可用性對于保證云平臺的完整性和可用性是最重要，也是最關(guān)鍵的。一個有漏洞的虛擬化軟件會暴露所有的業(yè)務(wù)域給惡意的入侵者。虛擬服務(wù)器位于虛擬化軟件之上，對于物理服務(wù)器的安全原理與實踐也可以被運(yùn)用到虛擬服務(wù)器上，同時需要兼顧虛擬服務(wù)器的特點(diǎn)，包括選擇具有TPM 安全模塊的物理服務(wù)器、使用支持虛擬技術(shù)的CPU、安裝虛擬服務(wù)器時分配獨(dú)立的硬盤分區(qū)、使用VLAN和不同的IP 網(wǎng)段、在防火墻中為虛擬服務(wù)器做相應(yīng)的安全設(shè)置等，以對它們進(jìn)行保護(hù)和隔離，并與其他安全防范措施一起構(gòu)成多層次防范體系。

　　白皮書分析認(rèn)為，云應(yīng)用安全主要是面向用戶提供一些安全手段來保證用戶數(shù)據(jù)在傳輸、交換和使用過程中的安全性，防止用戶數(shù)據(jù)被非法訪問和泄露，常采用的安全機(jī)制包括存儲加密、交換加密、身份認(rèn)證與訪問控制、接口安全和個人信息安全保護(hù)等。存儲加密是在訪問云入口時對數(shù)據(jù)進(jìn)行加密，以保障傳輸和存儲的安全性;交換加密是采用數(shù)字信封等技術(shù)手段，保證用戶數(shù)據(jù)在交互過程中的安全性;身份認(rèn)證與訪問控制機(jī)制是允許授權(quán)用戶在自己的權(quán)限范圍內(nèi)進(jìn)行數(shù)據(jù)操作，從而防止非法用戶對數(shù)據(jù)的訪問;接口安全是根據(jù)物聯(lián)網(wǎng)的應(yīng)用需求不同而提供不同的應(yīng)用接口，采用多接口模式和加密技術(shù)等通過接口安全保證應(yīng)用程序?qū)Υ鎯Y源的安全訪問;個人信息安全保護(hù)是采用數(shù)據(jù)自我銷毀技術(shù)等建立在云服務(wù)器端對用戶數(shù)據(jù)從創(chuàng)建到銷毀全過程的隱私保護(hù)機(jī)制。

　　針對云平臺的安全產(chǎn)品、安全方案很多，也在逐漸成熟，不過對于物聯(lián)網(wǎng)云平臺而言，盧佐華認(rèn)為，還需要更注重移動安全這個維度的安全防御，例如需要移動威脅感知平臺來完善云平臺安全情報體系，通過SOC、M-SOC(Security Operation Center for Mobile)實現(xiàn)對物聯(lián)網(wǎng)安全體系的整體管控，通過移動安全測評云平臺實現(xiàn)對物聯(lián)網(wǎng)云端應(yīng)用、源碼、服務(wù)器安全性的實時檢驗與監(jiān)測。

　　SOC 并非一個新的概念，但在物聯(lián)網(wǎng)時代，面對復(fù)雜的物聯(lián)網(wǎng)安全體系，SOC 的作用在變得愈加凸顯。SOC 作為安全體系的一個集中單元，會在整個組織和技術(shù)的高度處理各類安全問題。SOC 能夠?qū)踩烙聧u連接起來，從安全情報、安全產(chǎn)品、安全運(yùn)維到安全服務(wù)，SOC 可以使之不再割裂，提高整體安全防御效率，降低安全防御成本。SOC 由于自身特點(diǎn)，使其所處位置只能是在云端層面：其或會依托于云計算平臺，作為云平臺內(nèi)部的一個模塊組件，或者單獨(dú)以安全管理云平臺的形式并列于云端之側(cè)。物聯(lián)網(wǎng)與業(yè)務(wù)之間的結(jié)合達(dá)到了一個前所未有的高度，那么在物聯(lián)網(wǎng)安全體系里，SOC 將以業(yè)務(wù)為導(dǎo)向驅(qū)動，量化安全、展示安全、控制安全，實現(xiàn)安全管理技術(shù)化。通過SOC 可以對物聯(lián)網(wǎng)云端、終端、傳輸端進(jìn)行邏輯層、物理層等多層面的安全檢測，及時解決所發(fā)現(xiàn)的安全隱患，力爭將危機(jī)消滅于萌芽之中。而借助SOC 還能夠洞悉物聯(lián)網(wǎng)整體系統(tǒng)的安全態(tài)勢，即時制定新安全防御策略，實施有效的安全防護(hù)動作，并實現(xiàn)對全網(wǎng)傳統(tǒng)與新興安全能力的整合，避免安全防護(hù)一盤散沙局面的出現(xiàn)。而M-SOC 則能在物聯(lián)網(wǎng)移動維度實現(xiàn)全生命周期的安全防護(hù)，有力補(bǔ)足了物聯(lián)網(wǎng)安全體系可能出現(xiàn)的安全防護(hù)遺漏。

　　物聯(lián)網(wǎng)的安全觸角實在太為廣闊，覆蓋了眾多領(lǐng)域維度。從大的方面考慮，需要各SOC 能夠?qū)崿F(xiàn)耦合，進(jìn)行安全防御聯(lián)動，共享安全情報信息，整體把控物聯(lián)網(wǎng)安全。往小的層面看，由微邊界聯(lián)合起來的眾多物聯(lián)網(wǎng)終端微點(diǎn)，要能夠逐步實現(xiàn)矩陣化，從松散的個體成為組織化、智能自適應(yīng)化的嚴(yán)謹(jǐn)統(tǒng)一整體。以集體的力量有效對抗有組織的惡意攻擊。

　　白皮書指出，在物聯(lián)網(wǎng)時代，不同行業(yè)的云平臺之間勢必將互相連通起來，物聯(lián)網(wǎng)可以說就是各類云平臺的整合。而在云平臺整合的背后，則聯(lián)動著不同行業(yè)、不同領(lǐng)域物聯(lián)網(wǎng)安全管控平臺的整合，物聯(lián)網(wǎng)安全體系內(nèi)部各個環(huán)節(jié)的整合，物聯(lián)網(wǎng)微觀環(huán)境里各個單元、模組的整合。只有將一切松散元素鍛造成嚴(yán)密的統(tǒng)一整體，才能將物聯(lián)網(wǎng)安全清晰地呈現(xiàn)在人們面前。如何度量安全?在物聯(lián)網(wǎng)時代里，或?qū)⒆龅竭@一點(diǎn)。加上全生態(tài)環(huán)境安全協(xié)同，可讓物聯(lián)網(wǎng)安全變得高度可控!