近日，阿里云安全聯合 FreeBuf 發布了《2019 云上企業安全指南》，阿里云安全運營中心對 2019 年網絡安全態勢做了分析，并給出 2020 年云上安全運營建議。

　　2019 網絡安全四大威脅

　　1. 以 33.4% 的高占比，挖礦病毒“衛冕”安全威脅之最

　　2019 年共發現 80 個成規模的挖礦木馬團伙，從受害者主機的操作系統來看，69% 為 Linux，31% 為 Windows，Top10 挖礦木馬團伙主要以 Linux 為攻擊目標。

　　2. 日均 2000 余次，強度、頻度的升級讓 DDoS 攻擊更難防御

　　百 G 以上流量攻擊成倍增長， Tb 級流量、千萬級并發攻擊的出現讓 DDoS 攻擊對抗更為激烈。同時，阿里云安全運營中心還觀察到，應用層 DDoS（CC 攻擊）成為最常見的攻擊類型，與 2018 年相比，攻擊手法也更為多變復雜。

2019 年峰值流量大于 100Gbps 事件分布

　　3. 暴力破解依然是“最具性價比”的主流攻擊手段

　　在所有被攔擊的攻擊中，暴力破解和 Web 攻擊在 2019 年持續增加，分別達到 7 億次和 4000 萬次，占總攔截次數的 48% 和3%。

　　4. 更垂直，利益驅動下的“百花齊放”

　　電商等行業將面臨黑灰產鏈條更加完整和專業的 Web 攻擊，房產交易、交通、游戲、電商、資訊論壇幾個行業中惡意爬蟲的占比都超過了 50%，這些行業需要加強對惡意爬蟲的安全防控。

　　2019 最受企業關注的四大安全問題

　　基于大量客戶服務和交流經驗，以及國家法律法規要求、企業安全管理現狀等多方面因素，阿里云安全運營中心對企業在過去一年中最為關注的十大安全問題進行了盤點，如下圖所示。其中不難看出，合規、數據安全、IOT 安全、云上安全運營四個方面成為企業最關心的四類問題。

　　1. 服務提供商合規等級決定了云上企業能達到的最高合規水平

　　網絡安全法規定“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則及其他相關規定， 前提是云平臺通過等保級別不低于用戶系統級別，否則影響云上用戶的信息系統等級保護定級備案。等保 2.0 是今年企業重點關注的合規標準，企業使用的云服務類別（IaaS、PaaS 和 SaaS 服務模式）不同，等保 2.0 所要求的技術測評項目也有所不同。因此只要云平臺通過等保測評，云上用戶在物理安全、網絡、虛擬層安全等基礎安全防護上的投入可以因為云平臺的能力而大幅下降，關注點可以更加聚焦在業務和系統的防護要求上。

模式下的云上用戶等保 2.0 技術測評項數量

　　從上圖可以看出，在云平臺通過等保 2.0 測評的前提下，企業上云的程度越深，自身所需要進行測評項數量就越少，當然所需要投入的成本就會更低，讓企業擁有高等級安全能力同時，可以有更多精力聚焦在自身業務發展上。

　　2. 數據安全水位決定企業整體安全防護水平

　　數據安全是一個復雜而綜合的工作，從數據采集、傳輸、存儲、處理、交換到銷毀，各個環節都有諸多需要關注和解決的問題。因此，云上企業在建設數據安全防護體系時，需要充分考慮未來業務發展、現有業務現狀、敏感數據場景、數據上下游等，做好 3-5 年數據安全規劃； 針對不同類型數據、不同使用場景、不同環節的威脅、風險做充分分析，配套建設技術檢測、防護手段； 在管理體系建設方面需考慮與現有管理體系充分融合，最終形成規劃、管理加技術的模式，全面管控數據全生命周期安全。

　　3. 即將突破 208 億的 IoT 在線設備，600% 增長的物聯網攻擊

　　隨著 5G、大數據、人工智能的深入發展，帶來了 IoT 產品的飛速發展，2020 年預計 IoT 設備在線量突破 208 億。由于 IoT 設備涉及到云、管、端、邊四大方面，安全風險也不斷擴大，物聯網攻擊將以 600% 的增速增加。

物聯網設備爆發式增長

　　同時通過對物聯網安全漏洞進行整理發現，物聯網固件類 CVE 固件漏洞質量及可利用性在逐漸增加，整體安全風險為高危 4000 多個，占比為 42.31% ； 中危近 2000 多個，占比為 15.37% ； 低危 4000 多個，占比為 42.33%。

漏洞分布情況

　　通過對 IoT 端部產品的特性觀察發現，主要的設備端安全威脅為設備無/弱鑒權、訪問控制無/弱鑒權、固件篡改、代碼注入、開發端口、文件篡改、逆向工程、存儲數據泄露/ 篡改、軟件漏洞、系統漏洞、設備偽造。

　　4. 云上規模化紅利讓安全運營降低至少 50%

　　安全不是產品疊加，云上安全體系需要整體防護，從上云前的整體安全方案設計，到上云后安全產品使用、安全風險評估，都需要安全專家參與咨詢、設計以及后期的安全運營，以便快速解決整體防護中的各項脆弱點及潛在安全風險。網絡攻防是動態的，攻擊手段變化，防御手段也需要及時調整。在安全防護體系中，安全產品的角色是工具，需要安全專家不斷去分析、 運營以及調整不同時期的安全策略，不斷提升事件處置、應急處置等安全技術能力，才能確保業務系統常態化安全。因此，專業的云上安全托管運營可以幫助客戶更有效的形成管理加技術、技術+產品的風險閉環，同時還可以幫助企業降低運營成本。云上規模化、體系化的特點意味著運營成本降低，運營成本降低的紅利會直接給到每一位客戶

　　2020 云上安全運營四大建議

　　基于 2019 年云上企業重點關注的問題及面臨的安全風險分析，我們給出如下行動指南， 助力企業做好云上安全建設：

　　合規建設。云上用戶通過等保，首先需要確認云平臺等保測評通過情況，其次根據業務現狀確定等保定級、根據云服務業務模式（IaaS、PaaS、SaaS）匹配等保要求開展合規建設工作，最后通過選擇具備云上測評經驗且綜合實力專業的測評機構完成等保測評。

　　數據安全建設。企業可以從數據生命周期維度，評估數據在各階段的風險情況，結合業務數據流轉、敏感數據使用場景等建設數據安全管理體系及相應的技術防護手段，保障數據全生命周期的安全。

　　IoT 安全能力建設。從云、管、端、邊全面整體的做好 IoT 安全防護，評估整體風險情況。關注設備可信檢測與認證，提升設備整體鑒權能力； 加強數據安全保護，使用可信的安全方案進行平臺的安全建設； 使用 IoT 專業的安全運營方案，避免給平臺帶來無法挽回的損失。

　　常態化安全運營。定期做好云上資產的基礎安全檢查工作（基線、漏洞、策略等） ； 定期結合業務發展、云平臺網絡架構等評估云上資產安全風險； 結合自身業務迭代頻率做好上線前安全檢查工作。做到風險可控，防患于未然。

總結

以上是生活随笔為你收集整理的阿里云发布《2019云上企业安全指南》，破解云上安全运营难题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。