信息安全行业研究报告:云安全的视角(上)

评论
16 views

信息安全行业研究报告:云安全的视角

 

  信息安全无处不在又不被人感知。从云计算概念的提出和国内外IT服务商的实践来看,云安全将成为TMT行业新亮点,有着广阔的市场前景和想象空间

   IT领域新业务的开发和接受是以满足安全性要求前提,TMT 行业自新世纪科技泡沫以来持续了“失落的十年”,随着新技术的储备完善用户需求不断激发,新的爆发点就在物联网、云计算、三网融合、移动互联网、手机支付等领域,而以上业务都离不开信息安全的支撑与保障同时,以上新技术的“落地”与泛在网络、泛在技术理论的提出也为信息安全产业提供了云安全这一全新实现方式。

  狭义的云安全:云计算的安全技术、策略、方法,解决云计算的安全性问题。

  广义的云安全:信息安全技术无处不在,包括从通讯安全-信息安全-信息体系化保障等三个阶段,但隐藏在业务的底层不使用者所关注。

  云安全的细分领域:按照保障领域划分,包括政务安全、军事行业、商业安全、网络安全、数据安全、设备安全、灾备技术按产品分信息保密产品、安全授权认证产品、安全平台/系统、安全检测与监控产品,在IT业现有的热门主题中,都蕴含着加强信息安全建设这一前提。

  信息安全将影响到我国未来 1600 亿的IT 增量市场其中物联网最需要解决的是识别的安全性据中国移动研究院的估算2010 年新增市场规模为140 亿;移动互联网的爆炸性增长需要终端的安全性上发力,据艾瑞咨询预计2010 年移动互联网的市场规模将达到338 亿;云计算随着通过集中化的安全策略以及更高的网络防护级别来提升系统的安全性相应影响的市场规模据CCID 统计2010 年将达到403.5 亿;三网融合行业安全对于内容和企业内部的安全尤为重要,预计相应市场规模为800 亿元。

 

物联网面临网络被劫持、信息被获取的风险,安全重点在芯片和通信技术

 

  IBM 提出智慧地球后,物联网建设方兴未艾,但是业务的持续性推广还待时日,最关键的问题就是解决物联网自身的信息安全。因此在物联网建设过程中需要将信息安全在规划、基础建设、管理中加以考虑,建设一张从终端到平台,从架构体系到数据都安全的物联网迫在眉睫。物联网行业主要面临以下安全问题:

  信号干扰

   随着物联网的兴起,个人和国家对物联网的依赖会越来越大,但如果物联网中相关信号被干扰,对个人和国家相关机构的信息安全会造成威胁。

  恶意入侵

  物联网建立在互联网的基础上,对互联网依赖性很高,在互联网中存在的信息安全威胁在一定程度上也会造成对物联网的危害。随着物联网的发展,来自传统互联网上的病毒攻击、黑客入侵、非法授权访问均会对物联网用户造成损害。

  通讯安全

  物联网与 3G 手机智能结合起来,将会极大地方便人们的生活,从而改变人们传统的生活方式,然而3G 通讯的安全问题会直接影响到物联网的安全性。

   物联网的重点是安全芯片、通信加密技术。

 

移动互联网延伸到手持端的安全,安全的重点在云也在端

 

  移动互联网是移动网络互联网结合的产物,兼具二者的特征并衍生出其独有的特性。

  首先,相较于传统的移动网络,移动互联网网元种类更为繁多,业务类型更为丰富,使得核心网、业务网、承载网、支撑网各体系之内的流程、管理,及其之间联系变得更为复杂。

  其次,由于采用实名制,相较于传统的互联网,大多数的移动互联网用户的翔实信息能为运营商所掌握。

  另外,在业务层面,移动互联网可以完全由互联网承载,也可以完全由私网载,如智能网,或者既由互联网承载,又由私网承载,如彩铃业务。

  因此移动互联网的安全漏洞更多,风险随着复杂性增加,互联网的安全漏洞延

伸至移动互联网,现有终端都未作防护。

  首先,由于各网络体系都变得更为复杂,每一个体系内的安全漏洞都较以往有所增加。例如,对于业务网来说,网元的丰富,使得许多业务流程无法得到及时的监控,非法目的者通过盗用端口模拟业务逻辑,从而使得业务资源被滥用,一些SP通过短信端口群发WAP PUSH造成垃圾短信泛滥。而承载网面临的主要威胁来自于大流量的冲击,比如P2P应用消耗大量的骨干网带宽,网络因不堪承载大流量数据而瘫痪。

  其次,各网体系之间的安全风险也随着互联互通的日益复杂而增加。一个业务系统通常与其它业务系统、支撑系统或者第三方接入平台互联互通,业务系统之间互联并未进行严格的访问控制,可能造成各业务平台之间的随意访问,影响业务平台安全。随着与互联网的互联需求越来越多,各类支撑系统与互联网的接口各自具有独立的安全防护措施,使得各部分安全策略并不统一,从而导致安全建设投入和管理成本越来越高。

  第三,来自于互联网的安全漏洞在移动互联网上有增无减。互联网中大量存在的安全风险,如病毒攻击、否定服务、信息窃取等都将对运营商的移动网络形成胁,尤其对于Web2.0时代盛行新兴应用使得互联网安全风险更大。虚拟社区用户个人信息、社交圈、行为模式,甚至物理定位等大量重要信息均被第三方所掌握;而在未来的Web3.0“语义网”和云计算网络中,网络变得更加智能的同时,用户的行为模式也将完全透明,如何妥善保护个人隐私安全将成为未来互联网安全建设的重点发展方向。

   另外,来自终端的安全隐患也绝不容忽视。许多终端设备并不带有安全防护功能,很容易被专为攻击终端平台系统而设计的病毒所攻破;并且,智能终端还能发起经由核心网进入业务系统的攻击,通常核心网与业务网利用网络设备直接连接,没有任何安全防护。

  移动互联网安全防护的重点在云中、也在端处。

 

云计算安全性尤为重要,安全重点在集中化、政府法规、高级别防护手段

 

  云计算作为IT发展的下一个关键方向已经基本得到确认,云计算如此高效正让整个 IT 行业发生一次变革,然而安全性问题日益突出。

  20092月,Google Gmail邮箱中断服务长达 4 小时,3月中旬,微软Azure 停止运行约22 个小时。亚马逊公司S3服务2008年断网6小时。

  云计算服务自身的安全隐患随着应用的深入逐渐暴露。云计算尽管可使商业用户和个人用户获得好处,当用户开始使用云计算服务时,就会出现很多安全问题

  在使用云计算的时候,最先考虑的是如何解决云计算的安全性问题,这些问题已经逐渐具体化同时在VMWARE 虚拟机保护、远程接入及终端数据防护方面已经出现了有针对性的解决方案,通过大型企业来运行专业的云计算服务,实现云计算服务的可靠性(Reliability) 、可用性(Availability)和安全性

  云计算的安全性的主要通过依靠安全策略以及服务提供商的更高级别的技术手段和政府的法制法规来实现。对于分散部署IT 系统的中小企业来说,由于数据信息防护手段的不健全,安全成为其最大的隐患。通过把数据和系统部署在更多安全技术手段的云中,将最小成本实现IT 的安全性。

 

三网融合内容的安全性刻不容缓,安全的重点在内容传输的准确性

 

  三网融合后,新的网络中更多的是将广电网络的视频内容承载到电信和物联网上来,其中原广电网络面临的网络信息安全威胁将非常严重。主要包括两大类

  影响播出稳定性:由于播出设备、传输线路故障导致用户无法正常收看节目;

  危害内容安全性:针对广电网络播出节目的恶意攻击行为,例如以非法信号干扰正常节目信号、在线路中插播非法节目等等。

  我国广播电视播出一般需要经过电视台制作/播出、卫星传送、电视台插转、微波/有线电视网络传送、用户电视接收几个环节,各个环节的安全状况如下:

  卫星信号的安全:卫星节目被非法信号攻击时有发生是非常严重的破坏行为。按照国际电信规则,所有卫星转发器的上行频率和技术参数都是公开的,因此不法分子可能利用卫星上正常广播电视节目专用的频率和技术参数,发射相同的电视信号,进行攻击干扰。

  电视台播出安全我国的各级电视台基本上都建有电视播控系统,以保证优质、安全的播出服务。目前网络化、基于硬盘的数字播控系统已经占有了较大的比例,原有互联网上的安全性问题将波及播控系统。

  有线电视网络传输安全技术光缆化改造和网络安全监测系统有线电视网络改造对于保证电视节目传输安全非常重要。目前各省市的有线广播电视传输网络都在进行光缆化改造,全面实行地埋工作。有线电视本地网络监控系统的功能主要是对电缆网中的信号进行监测,通过技术方法鉴别有线电视传输网中节目的合法性,一旦发现非法插入或叠加的节目,立即通过带外方式(例如,移动短消息)向监控中心报警并采取应急控制措施。

  对于三网融合的信息安全来看更重要的是内容的安全性。

 

 

本文主要参考了国金证券、银河证券等券商研究报告框架,在此一并致谢。当然,文责自负。同时,本文不构成投资建议。