2011-11-01 CSA峰会-潘柱廷-虚拟和现实的网络工程创新

1、云安全联盟 2011中国峰会虚拟加实体的网络工程创新 Virtual + Physical Networking InnovationCSA 2011 Summit潘柱廷云安全联盟中国区理事中国计算机学会理事 启明星辰首席战略官2011年11月1日所谓网络工程安全相关的传统网络工程安全的时间、空间、逻辑关系流（过程）安全域和边界业务流Round-Trip思路云计算带来网络工程的变化网络被淡化？终端一侧承担更多责任服务端一侧则N维概念空间时间维簇生命周期时序流转空间维簇地理空间网络分布式拓扑空间虚实层次空间逻辑维簇因果关联IT World时间空间逻辑从IT概念立方体看空间问题构思开发部署运行维修

2、消退服务网络客户端管控存储物理层网络层系统层应用层数据层知识层价值层空间分布虚实层次生命周期jordanpanjordanpanjordanpanJP从IT概念立方体看空间问题服务网络客户端管控存储物理层网络层系统层应用层数据层知识层价值层空间分布虚实层次jordanpanjordanpanJPNetworking Connect-SpaceConnect-Space Distribution * Hierarchy资产威胁措施 最精简的风险管理要素信息安全保障技术三类信息安全技术加密技术相关攻防技术相关检测技术相关体系化相关可信计算的风格特征基于TPM的完整性检查可信计算的风格特征所谓攻防就

3、是流(过程)对抗资产威胁措施 注：此图中的坐标轴不代表程度环境来源对象内因空间路径 系统层次时序生命周期事件影响可能性环境用例系统脆弱性空间分布 时序逻辑流程属主生命周期QoS需求性能可管理需求环境针对的威胁针对的漏洞X-Based安全机制空间分布时序应激反应生命周期评测属性流的观点 X-Case明确价值关注对象，即被保护目标分解被保护目标的结构安全域描述对象及其所在环境业务流和数据流(Use-Case)表达业务的活动情态用威胁用例(Threat-Case)表达威胁落地在技术和管理的管控措施上广义威胁/威胁用例/威胁场景威胁的环境Environment：前提、假设、条件等威胁的来源Agent：

4、包括攻击者、误用者、故障源、自然（灾害）等威胁的对象Object：攻击目标和破坏对象，也就是要被保护的对象威胁的内因脆弱性Vulnerability：自身保护不当的地方威胁的过程Process威胁的途径Route：指威胁必须通过才能实现的一些部分。比如，要通过网络、要在物理上接近设备、要欺骗人等等。威胁的时序Sequence：威胁要实现所必经的步骤和顺序。与威胁的途径是一个从空间上，一个从时间上表达。也可以将这两个因素结合起来表达威胁的过程。威胁的结果事件Event/Incident：威胁具体实现之后所造成的结果威胁的可能性：威胁产生结果变成事件的概率。威胁的影响范围：威胁产生结果后的影响大小

5、。以及影响进一步扩散的特性。检测的发展宏观监测APT检测蜜罐B爬虫沙箱A静态数据体病毒检测代码代码检查C管理体系风险评估合规测评S基于风险管理思想的体系化方法国内的一些规章制度等级保护涉密分级保护风险评估和安全检查行业性规定IT治理的三大标准BS25999业务连续性管理ISO20000IT服务管理ISO27001信息安全管理常见的体系架构形态安全域、网络结构业务流网络结构和业务流构成地图不同的安全技术风格与流都有体现强结构性松结构性解构性可信架构体系化架构攻防型对抗可信架构TPMTNC密码技术认证体系信息安全管理体系构建组织、制度和技术措施组成的管理结构网络安全域等构建网络结构综合安全监控平台

6、构建监控结构漏洞扫描风险评估入侵检测渗透性测试应急响应广义威胁用例云计算改变了什么？NIST对云的看法云 ？虚拟化、数据中心虚拟化如果没有虚拟化，还有云计算吗？数据中心除了数据中心，云还有什么其他形态？共享集约云模式改变的交互的空间关系根本物质水服务源海、湖、河、地表实际资源云朵形成形成虚拟资源传输体系大气环流网络、通信云朵接触虚拟资源前端成雨条件客户端、访问降水获得水获得云服务用水本地水处理和应用服务再加工水性 砂性关于#云计算和虚拟化#云计算原先完全在自我控制下的区域和业务流，有相当的部分不在直接掌控下了虚拟+集约后，价值系统的位置都不清晰了干系主体者复杂化了，至少多了租户环节虚拟化原先习

7、惯的安全域及其边界找不到了（并不是不存在了）还是归结到#IT概念立方体#构思开发部署运行维修消退服务网络客户端管控存储物理层网络层系统层应用层数据层知识层价值层空间分布虚实层次生命周期jordanpanjordanpanjordanpanJP云计算SaaSIaaSPaaS应用虚拟化桌面虚拟化网络虚拟化存储虚拟化服务器虚拟化虚拟化对于安全功能的拆解作用于部署于虚拟层虚拟平台实体层虚拟层虚拟平台实体层部署于安全功能作用于云存储安全云审计云备份扫描和基线网关禁止逃逸暂不考虑客观存在的业务流和域29域和流的变化改变虚拟安全网关全面考虑各种云部署模式以及多租户环境下的逻辑域安全隔离需求，采用不同功能的安全网关保障虚拟域访问安全。空间、流服务网络客户端管控存储物理层网络层系统层应用层数据层