云服務(wù)現(xiàn)有安全體系架構(gòu)對標分析案例目錄TOC\o"1-3"\h\u20218云服務(wù)現(xiàn)有安全體系架構(gòu)對標分析案例 1244421.1云計算安全架構(gòu)體系 1218061.1.1云計算主要安全風險分析 1167421.1.2云計算安全體系架構(gòu) 130601.2中國電信網(wǎng)絡(luò)安全管理平臺（SOC） 2228131.3中國電信IT安全保障體系 371251.4中國移動信息安全體系 47741.5中國聯(lián)通信息安全體系 5301061.6阿里云安全體系架構(gòu) 5云計算安全架構(gòu)體系云計算主要安全風險分析基于云計算方式下引發(fā)的安全問題：在云計算方式下用戶對物理資源的直接控制很可能會喪失，在此情況下也會失去對云服務(wù)商的信任。基于虛擬環(huán)境下所產(chǎn)生的管理和技術(shù)問題：在虛擬化的情形下很可能會產(chǎn)生安全漏洞的邊界問題，而且資源共享也容易產(chǎn)生安全漏洞，云虛擬環(huán)境導(dǎo)致物理邊界被弱化，傳統(tǒng)模式下的安全防護無法得到邊界支撐；虛擬環(huán)境下可利用云來實現(xiàn)信息存儲，但如何來保障云安全性也成為一個問題?；谠朴嬎惴?wù)模式下的安全問題：服務(wù)專業(yè)化、安全隔離以及多層轉(zhuǎn)包所導(dǎo)致的安全問題。云是存儲應(yīng)用和信息的主要載體，但通常難以明確云的安全責任劃定。云計算安全體系架構(gòu)結(jié)合云計算應(yīng)用面臨的安全威脅，基于云計算應(yīng)用底層技術(shù)架構(gòu)特性，構(gòu)建面向云計算應(yīng)用的縱深安全防御體系，保障云計算應(yīng)用平臺及業(yè)務(wù)運營安全，業(yè)界紛紛探索云計算安全體系架構(gòu)。圖2-1云計算安全架構(gòu)體系圖中國電信網(wǎng)絡(luò)安全管理平臺（SOC）在整個網(wǎng)絡(luò)安全體系中，SOC平臺主要的定位是對日常安全運維和管理提供上層服務(wù)支撐，同時針對各類安全產(chǎn)品及系統(tǒng)來進行整合和協(xié)調(diào)，在此基礎(chǔ)上進行對于各類安全數(shù)據(jù)和安全事件的統(tǒng)一化的管理和分析。ADDINNE.Ref.{780C8243-A823-405E-A9EC-38AFE9B2EFDB}[5]圖2-2SOC平臺定位從邏輯上來看SOC平臺主要包括了數(shù)據(jù)采集、管理和呈現(xiàn)等幾層構(gòu)架，與此同時在其整個構(gòu)架中還配備了與支撐系統(tǒng)和外部安全系統(tǒng)的專業(yè)接口。SOC平臺主要采取的是分級管理的規(guī)劃模式，其構(gòu)架主要包括了集團SOC以及省平臺SOC等兩級平臺，從而構(gòu)建“兩級平臺，三級監(jiān)控”面向全局的高效安全管理模式。ADDINNE.Ref.{D8758AFA-25FA-48DB-97D4-7AFA951772D3}[6]SOC平臺目標架構(gòu)如下圖所示。圖2-3SOC平臺目標架構(gòu)中國電信IT安全保障體系以下5個方面是中國電信IT獲取安全保障體系需求的主要來源：ADDINNE.Ref.{679FC3E1-699D-4101-B670-12E18AF31EBC}[7]（1）國家法律法規(guī)和監(jiān)管機構(gòu)對安全的要求；（2）通信行業(yè)新技術(shù)新業(yè)務(wù)發(fā)展對安全的要求；（3）中國電信IT內(nèi)控管理的要求；（4）中國電信的戰(zhàn)略深度轉(zhuǎn)型全業(yè)務(wù)運營的驅(qū)動；（5）中國電信IT安全現(xiàn)狀。目前中國電信所構(gòu)建的CTG-MBOSS信息化構(gòu)架能夠為IT安全保障體系構(gòu)建提供基礎(chǔ)，主要借助IT安全戰(zhàn)略的引導(dǎo)作用，并充分綜合安全技術(shù)和安全管理等兩個重要體系來實現(xiàn)IT的可管、可控、可信等目標。在構(gòu)建該安全體系的過程中需要嚴格將“管理與技術(shù)并重、分級防護、集中管控、循序漸進”的基本方針進行貫徹，在此基礎(chǔ)上構(gòu)建起的IT安全運營環(huán)境才能夠體現(xiàn)出可信賴性。圖2-4中國電信集團公司IT安全保障體系框架圖中國移動信息安全體系中國移動針對合作類數(shù)據(jù)業(yè)務(wù)系統(tǒng)，統(tǒng)一建設(shè)了應(yīng)用層集中安全防護系統(tǒng)。該系統(tǒng)使用基于操作系統(tǒng)文件驅(qū)動層的訪問控制技術(shù)，對各種操作系統(tǒng)文件的操作進行審計，同時采用動態(tài)防護模塊，對用戶訪問數(shù)據(jù)的合法性進行審計。該系統(tǒng)的防護功能主要通過在合作類數(shù)據(jù)業(yè)務(wù)系統(tǒng)服務(wù)器上安裝監(jiān)控代理客戶端來實現(xiàn)，對重要文件、動態(tài)應(yīng)用和數(shù)據(jù)調(diào)用進行防護。在系統(tǒng)后臺設(shè)置集中安全管理中心，對各客戶端進行管理、策略下發(fā)、日志收集、監(jiān)控報警。集中安全防護系統(tǒng)不改變原有的維護與監(jiān)控方式，重點針對合作類業(yè)務(wù)系統(tǒng)各類資源進行保護。ADDINNE.Ref.{A434CDF2-BA1F-4C24-8888-850A34960175}[8]圖2-5中國移動信息安全體系架構(gòu)中國聯(lián)通信息安全體系中國聯(lián)通在大數(shù)據(jù)安全領(lǐng)域展開探索性工作，并推出了應(yīng)用數(shù)據(jù)安全管理平臺。該數(shù)據(jù)安全管理平臺包括3大部件：數(shù)據(jù)采集及隱私保護模塊，負責數(shù)據(jù)的集中采集、隱私轉(zhuǎn)換與共享、數(shù)據(jù)標準化；數(shù)據(jù)挖掘模塊，負責對大數(shù)據(jù)進行分析和提取不同業(yè)務(wù)應(yīng)用的結(jié)果；數(shù)據(jù)安全應(yīng)用審計模塊，針對各類信息安全問題進行有效解決。該數(shù)據(jù)安全管理平臺能夠解決以下問題：把用戶數(shù)據(jù)采集到信任區(qū)域；對用戶數(shù)據(jù)進行預(yù)處理與整合；用戶隱私保護轉(zhuǎn)換；關(guān)鍵數(shù)據(jù)進行存儲安全和標準化；對用戶數(shù)據(jù)分析結(jié)果的使用可控。ADDINNE.Ref.{A434CDF2-BA1F-4C24-8888-850A34960175}[9]阿里云安全體系架構(gòu)阿里巴巴自主開發(fā)了阿里云云盾，其中各類云安全服務(wù)及產(chǎn)品如下圖所示。圖2-6阿里云安全架構(gòu)示意圖（1）基礎(chǔ)安全