安全問題伴隨企業(yè)發(fā)展始終，無論是軟硬件基礎(chǔ)設(shè)施還是企業(yè)業(yè)務(wù)，無不仰賴于此。

在云計算的發(fā)展過程中，數(shù)據(jù)安全、漏洞攻擊、DDos防護等是企業(yè)關(guān)心的重點。近日，云計算廠商UCloud發(fā)布了《UCloud 2015公有云安全年度報告》，對全年DDoS攻擊情況，漏洞遭受攻擊情況、以及云安全發(fā)展趨勢、年度安全事件等情況等進行了總結(jié)和披露。

也許有人會質(zhì)疑，云計算服務(wù)提供商發(fā)布的安全報告權(quán)威性有多大？UCloud安全中心總監(jiān)方勇表示，云計算服務(wù)商在安全方面看到的內(nèi)容和傳統(tǒng)安全企業(yè)會有所不同。云計算的用戶是海量的，平臺所承載的數(shù)據(jù)特征更集中，相對更具有代表性，這些是傳統(tǒng)安全廠商所看不到的，云計算廠商可以從自己的視角來評估和解決安全問題。此外，每個公有云平臺所面臨的威脅和攻擊類型存在一定差異，UCloud發(fā)布公有云安全報告，希望大家可以互相參考，互通有無，共同保護互聯(lián)網(wǎng)安全。

[[165267]]

UCloud安全中心總監(jiān)方勇

疑問：公有云的安全情勢究竟如何？

公有云的安全問題一直是大家最為重視的問題，也是阻礙很多企業(yè)上云的重要因素之一目前，公有云領(lǐng)域出現(xiàn)的安全問題主要有三類：

一是DDos攻擊（分布式拒絕服務(wù)，Distributed Denial of Service ），是黑客使用網(wǎng)絡(luò)上多個被攻陷的機器向特定的目標(biāo)發(fā)動海量攻擊，在UCloud的安全報告中顯示，DDos攻擊對象主要集中在游戲、企業(yè)服務(wù)、電子商務(wù)與互聯(lián)網(wǎng)金融行業(yè)，攻擊流量呈現(xiàn)混合化，并以UDP反射型混合流量為主；

二是各種漏洞的攻擊，主要包括SQL注入攻擊、Web組件漏洞攻擊、敏感信息訪問、命令注入攻擊等；

第三是用戶面臨的業(yè)務(wù)安全問題，與企業(yè)業(yè)務(wù)相關(guān)的一些威脅。

針對于復(fù)雜的云安全問題，企業(yè)可以選擇云計算廠商提供相關(guān)產(chǎn)品和服務(wù)并使用混合云保障企業(yè)的云安全；此外，用戶也需要有安全意識。在企業(yè)安全問題的解決方面，方勇給出了三點建議。首先，安全是持續(xù)改進的過程，企業(yè)需要投入持續(xù)的資源和精力來維護改進；其次，安全要越早實行越好，最好在企業(yè)業(yè)務(wù)需求設(shè)計的階段就考慮安全因素，以避免之后對業(yè)務(wù)的修正，因為在業(yè)務(wù)相對成熟后，在增加安全特性時，其成本會相對較高；第三，對于高速發(fā)展的企業(yè)，需要有具備專業(yè)安全能力的人才，才能更加有效的推動安全措施落地，進而更好的保障企業(yè)的業(yè)務(wù)高速發(fā)展。

比較：傳統(tǒng)安全好？or 云安全好？

在安全領(lǐng)域，業(yè)界不乏很多專業(yè)的安全廠商，那么云計算廠商提供安全產(chǎn)品和服務(wù)時，又有哪些競爭優(yōu)勢呢？方勇告訴51CTO記者，首先，云計算廠商比較貼近客戶，幾萬家客戶觸手可及，而傳統(tǒng)的安全廠商需要通過自己的渠道收集客戶多層反饋，才能觸達個別客戶；

其次是了解用戶，客戶在遇到問題時，云計算服務(wù)提供商可以很好的把握客戶的需求和痛點，并且第一時間幫助客戶來解決問題，UCloud的服務(wù)承諾是90秒響應(yīng)，這一點傳統(tǒng)安全廠商是做不到的；

第三是成本相對較低，過去的安全設(shè)備動輒可能幾十萬，而現(xiàn)在在公有云平臺上可能幾百元就可以買來一個月的使用權(quán)；

第四是彈性、高效，云上的客戶可以很輕松的開啟或關(guān)閉安全措施，例如云上300G的高防服務(wù)一鍵開啟，而傳統(tǒng)的方式卻需要購買海量帶寬、申請試用、部署搭建、配置、調(diào)試等繁冗的流程；

第五是威脅情報的整合，發(fā)現(xiàn)一點，保護一面。當(dāng)云上發(fā)現(xiàn)一個惡意IP在攻擊某個客戶時，云服務(wù)商可以在云平臺上進行風(fēng)險數(shù)據(jù)挖掘，在云平臺入口處封堵該IP，阻止它攻擊其他客戶；

最后就是用戶體驗，在云計算領(lǐng)域，安全即服務(wù)（Security as a Service）的理念已經(jīng)深入人心，除了基于KISS原則設(shè)計安全產(chǎn)品之外，安全人員素質(zhì)培養(yǎng)、技術(shù)人員的快速響應(yīng)水平等作為這一理念的優(yōu)勢已經(jīng)愈加凸顯。

除了上述優(yōu)勢之外，方勇表示，“除了與底層資源和用戶隱私相關(guān)的安全領(lǐng)域，UCloud秉承開放的態(tài)度開放給安全的同行，一起幫助客戶來提高安全能力，與安全廠商共建安全生態(tài)，分享云計算盛宴。”

支招：UCloud的安全策略

UCloud是一家專注于IaaS的服務(wù)商，目前擁有超過3萬家企業(yè)級用戶，部署業(yè)務(wù)規(guī)模超過250億人民幣。因此，保障企業(yè)業(yè)務(wù)和數(shù)據(jù)安全成為UCloud發(fā)展的戰(zhàn)重點，UCloud專門組建了安全中心，集中精力攻克各種云安全難題。目前，UCloud安全團隊推出了優(yōu)盾系列產(chǎn)品，主要從七個維度來幫助客戶解決方案問題，其中包括網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、內(nèi)容安全、業(yè)務(wù)安全以及提供安全咨詢服務(wù)。此外安全情報、漏洞掃描、運維堡壘機、數(shù)據(jù)庫審計、加密服務(wù)等新產(chǎn)品也將陸續(xù)推出，并針對各個行業(yè)客戶的個性化需求推出相關(guān)安全解決方案。

眾所周知，UCloud起家是在游戲行業(yè)，然后逐漸深入到金融、O2O等行業(yè)，這些行業(yè)對于安全的強需求加速了UCloud安全產(chǎn)品的推出進程。游戲行業(yè)對安全需求變化相對比較快，因此游戲行業(yè)的客戶對安全的能力和效率都要求比較高；金融行業(yè)的客戶對安全的需求則相對較穩(wěn)，對安全級別要求也會更高，而O2O的客戶則更加關(guān)注于自己的業(yè)務(wù)發(fā)展。因此，面對不同行業(yè)的不同需求，UCloud提供的解決方案也會有所不同。

對于游戲行業(yè)，攻防比較激烈，因此UCloud更多的會使用察打分離的思路來保護客戶的的安全。而金融行業(yè)的客戶，更加重視數(shù)據(jù)的安全及平臺運營的合規(guī)性，因此，UCloud為金融行業(yè)提供定制的專屬解決方案，比如為金融客戶提供專屬的數(shù)據(jù)中心和物理防護措施來托管服務(wù)器，部署混合云。O2O行業(yè)的客戶，對業(yè)務(wù)安全要求較高，UCloud利用人機識別等技術(shù)手段來識別訪問客戶業(yè)務(wù)的是人還是機器；同時通過海量的數(shù)據(jù)分析，黑樣本學(xué)習(xí)，數(shù)據(jù)對比等方式，打擊羊毛黨和黃牛黨。

預(yù)測：未來挑戰(zhàn)有哪些

安全是一個永恒的話題，攻擊技術(shù)多樣化、攻擊力度增強化以及安全需求愈加個性化，這些將是未來一段時間內(nèi)云安全服務(wù)要面臨的挑戰(zhàn)。