多份市场研究报告指出：全球每年欺诈损失总额大概超过500亿美元。仅在去年一年，全球信用卡、借记卡、预付卡和私有品牌支付卡的损失就高达163.1亿美元。电子零售商和批发商因欺诈损失的金额占其年收入的7.5%以上。每年保险欺诈(不包括健康险)的损失总额大概超过400亿美元。

　　这些欺诈是如何发生的，又该如何提前预防这些欺诈发生?日前，在分析了10亿用户账户和超过5000亿用户事件后，来自美国人工智能领域、专注于在线欺诈和金融犯罪检测服务的领先服务提供商DataVisor发布了首份网络欺诈报告。该报告从多个维度详细分析了欺诈者的特征，相当于对欺诈者进行了一次精准画像。

　　以下为该报告的数据精华部分速览，从中可发现欺诈者的特性。

　　多数情况，欺诈者与普通用户无异

　　1.虚假账户是从哪里创建的?数据显示，82%的虚假账户来自PC，仅18%的虚假账户来自移动平台。当下已经是移动互联网时代，这一结果并不符合趋势，唯一的解释是PC的防范性更低。

　　2.欺诈者使用何种操作系统?分两部分：PC端使用新的操作系统，移动平台端则使用旧的操作系统。

　　PC端 当下绝大多数用户仍在使用Windows 7系统，而大部分来自Windows平台的欺诈账户使用的是Windows 8或者更新版本的系统。与此类似，27%的Mac OS X系统欺诈账户使用的是最新的10.12、“Sierra”版本，而使用该版本的普通用户只占到8%。

　　移动平台端 相反，无论是Android还是iOS平台，欺诈者都更喜欢使用旧版本的系统。比如，欺诈者最常用的 Android 版本是“Kitkat”(4.4- 4.4.4) 和“Jelly Bean”(4.1 -4.3.1)，这些在来自 Android 设备的欺诈账户中占比77%。Apple设备情况类似，大部分来自 Apple 设备的欺诈账户使用的是iOS 9, 而普通用户大多已升级至 iOS 10。

　　3.欺诈者使用何种浏览器?与普通用户无异，Chrome、Firefox 和 IE是欺诈者最常用的浏览器,在欺诈账户中的占比超过90%。值得一提的是Comodo Dragon浏览器，其94%的用户都是欺诈者。

　　4.哪里的欺诈者最多?从全球范围看，北美和欧洲的欺诈账户最多;以国家维度来区分，排前五的分别是美国32.1%、中国9.6%、越南6.5%、哈萨克斯坦4.5%和俄罗斯3.9%;聚焦中国，大部分沿海省份都是重灾区，广东11.9%排名第一，河南、江苏6.6%并列第二，接下来是浙江5.9%、山东5.5%、北京5.5%、辽宁5.2%、福建4.7%。

　　5.欺诈者使用什么电子邮箱?与普通用户类似，Gmail是首选，Outlook、Yahoo、Hotmail、163都常见。

　　欺诈者很狡猾，精通各种技术

　　实施欺诈最重要的交易工具就是大量的账户。为了获取账户，欺诈者一方面大量创建虚假账户，另一方面大量盗用。为了躲避传统的网络反欺诈检测技术，欺诈者会使用多种不同的工具伪装成正常用户。常见的手段有：

　　1.利用公有云，大量创建来自于不同计算机和IP地址的用户账号。统计数据显示，恶意账户比普通用户使用云服务的可能性高7倍，18%来自云服务IP的账户是欺诈账户。欺诈账户数量最多的云服务，分别是AWS、Linode、DigitalOcean、ColoCrossing和Aliyun等。

　　2.为了避免被列入 IP 黑名单，欺诈者会使用代理或 VPN 服务隐藏真实的 IP 地址。

　　3.通过临时的匿名电子邮件服务获取电子邮箱,并使用这些电子邮箱注册新账户,从而绕开电子邮箱验证，约2%的欺诈账户属于此类。

　　4.通过移动设备刷机和虚拟计算机，反复刷新同一设备的操作系统，或者利用仿真软件使设备指纹识别解决方案失效，从而在同一台计算机上运转多台虚拟设备。

　　5.账户潜伏，由于老账号比新账号具有更高的可信度，因此欺诈者在正式发起攻击前，会率先创建新账户并潜伏几个月、甚至几年后再将其用于攻击。数据显示，44%的欺诈账户在发起攻击之前的潜伏期超过7天。

　　很明显，欺诈者正变得日益复杂。他们精通技术善于使用最新的软件和工具，善于模仿正常用户行为，这使得反欺诈检测工作面临的挑战越来越大。该报告无疑为企业进一步了解线上服务欺诈者的行为，为全社会共同打击欺诈和推广滥用提供了信息支撑。

　　正如DataVisor首席执行官兼联合创始人Yinglian Xie(谢映莲)所说，“在与欺诈者的斗争中，我们发现欺诈者也在不停的发展变化，变得更加狡猾和难以捕捉。我们需要快速改进自身反欺诈检测方法，以创新为驱动力，充分利用新技术尽早捕捉欺诈者。而实现上述目标，创新能力和信息驱动力是关键。谁拥有数据,谁就拥有力量。”

　　对云安全发展持续数年的观察可以发现，很多企业倾向于遵循一定的动作模式来采纳公共云计算，其经历的大致阶段一般如下：

　　1. 保守阶段

　　这期间，CISO抗拒云计算，宣称工作负载在公共云上得不到足够的安全防护。这种行为在后来者或非常保守的公司中还时有发生，但云计算绝对在大多数大企业中起航了。换句话说，CISO不能逃避面对云计算，相反，他们必须弄清楚如何保护基于云的工作负载，不管他们喜欢与否。

　　2. 传统安全阶段

　　当企业开始试水公共云计算，安全团队偏向使用原有的内部安全监视和实施工具——防火墙、代理、反病毒软件、网络分析等等，来尝试保护云工作负载。企业战略集团(ESG)2016年的研究表明，92%的企业一定程度上使用已有安全工具保护云安全。

　　这其中的问题很明显：传统安全技术是为物理设备、内部日志、以系统为中心的软件和出/入站网络流量设计的，并非公共云计算这种临时架构的专用技术。这一错位往往导致彻底的失败——32%的企业因无法有效保护云安全而弃用传统安全技术。

　　3. 云监测阶段

　　一旦企业越过用现有控制措施进行云安全试验的阶段，他们便倾向于拥抱那句管理老话：“你无法管理你不能测量的东西。”这一阶段中，安全团队部署监测工具，以获得对云应用、数据、工作负载，以及所有云资产间连接的完整视图。这很有启发性，因为极少有公司对云上发生事件有着清晰准确完整的理解。

　　4. 云亲和阶段

　　有了全部云资产的完整视图，智慧的安全团队就能确保进一步的安全操作适配云计算“拥有者”——软件开发人员、开发运维员工、数据中心运营。目标是?将安全技术整合进开发模型、配置和Chef及Puppet之类编配工具中，让安全可以跟上云计算的动态本质与速度。

　　注意，该阶段略有点偏离纯云安全监测和策略实施，但主流企业宣称，这是建立协作和安全最佳实践的有价值偏离。

　　5. 云安全控制阶段

　　自此，安全团队与云开发者和运营人员合作，向配置和运营中添加安全控制。安全倾向于从工作负载分隔开始，然后深入到更高级的控制(基于主机的安全、威胁检测、诱骗等等)。

　　值得指出的是，有些创新云安全工具正在桥接控制阶段和监测阶段。它们监测云，梳理所有资产，然后基于应用类型、数据敏感性或逻辑联系，建议适用的策略。这一桥梁可真正帮助加速云安全策略管理。

　　6. 中心策略阶段

　　尖端企业中才可领略到这一阶段，但这预示着未来的导向。一旦企业习惯了软件定义云安全技术的灵活性和动态本质，他们就会继续深入到：

　　聚合云安全工具

　　比如说，他们可能会选择一款工具(不是2个专业工具)进行微分隔和基于主机的控制。这可减少复杂性，提供中心策略和控制。

　　用软件定义的工具替换掉传统工具

　　比如，抛弃数据中心中的传统防火墙，而用软件定义的微分隔工具替代之。此种策略可在集中所有分隔策略的同时，带来数百万美元的开支节省。已有一些企业网络分隔项目开始这么做了，他们的目标就是使用软件定义的微分隔，来代替防火墙规则、基于交换机的访问控制列表(ACL)等等。野心勃勃?是的，但成功的项目可简化安全运营，剩下许多开支。

　　总结

　　企业规避死胡同，直接跳到云监测阶段，不失为明智的做法。这可以省去数月的挫折，帮助安全团队更快地赶上云用户。对技术提供者而言，其目标应该是与强大的企业级中心管理功能整合的云安全技术组合。

 　　2017年7月28日，国际云安全联盟(CSA)发布了《云计算关键领域安全指南V4.0》(简称：《云安全指南4.0》)。随着云计算领域的发展，国际云安全联盟(CSA)不断研究迭代更新发布新的标准。时隔6年，国际云安全联盟(CSA)将《云安全指南》在V3.01版本的基础上升级到V4.0版本。

　　《云安全指南4.0》相比2011年发布的《云安全指南》V3.01版本，虽然还是从架构、治理和运行三个方面14个领域对云计算安全进行指导，但是在结构和内容上进行了非常大的更新改动。新指南去掉了互操作性与可移植性、数据中心运行等内容，同时还与时俱进地增加了基础设施安全以及与云计算相关的新技术，如大数据、物联网、移动互联等安全方面的指导内容，对云、安全性和支持技术等方面提供更加详实的最佳实践指导。

　　在网络安全等级保护云计算扩展要求中主要是给云服务提供商提出了为保障云安全的相关要求，对云用户的要求较少，因此本文将从云用户的角度出发，按照《云安全指南4.0》的14个领域分别归纳总结云用户应该如何保障云安全的指导建议。

　　D1:云计算概念和体系架构

　　本节主要介绍了云计算的相关概念及本指南其它13个章节的简要说明。本节的主要内容包括云计算的定义、云逻辑模型、云的架构和参考模型、云的安全性和合规管理范围、职责等内容。

　　在云安全范围、职责和模型安全方面，本指南对三种云服务模型下的安全职责与角色进行了概述。在SaaS服务模型下云用户只能管理授权和权利;在PaaS服务模型下，云用户负责他们在平台上所部署的应用，包括所有安全配置;而在IaaS服务模型下，云用户负责他们建立在该基础设施上的其它安全。因此可以看出，当云用户选择IaaS时，云用户承担的责任就更多，如果选择SaaS则承担的责任相对较少。

　　除此之外，指南还提供了用于帮助建立共享责任模式的两个工具，即共识评估问卷(CAIQ)与云控制矩阵(CCM)。建议云用户使用安全流程模型来选择云服务提供商。

　　D2：治理和企业风险管理

　　本节主要介绍了云治理的工具和方法以及如何审查和评估企业管理云计算所带来的风险的能力。

　　在云治理方面，指南中指出了云治理的主要工具是云服务提供商和云客户之间的合同。云用户应了解合同是如何影响治理框架/模型的，应根据不同的部署模式提出不同的合同要求，在签订协议之前应获得和审查合同，如果合同不能有效协商，且具有无法接受的风险，可以考虑采用其他机制来管理这种风险。

　　在企业风险管理方面，云用户应根据选定的云部署和服务模型确定安全和风险管理的责任共担模型。除此之外，云用户应建立一种具体的风险管理和风险接受/缓解方法，来评估每个解决方案的风险。云用户应定期对云服务提供商管理风险的能力进行审查和评估，在审查和理解云服务提供商管理风险的能力之后，还应考虑残余风险，残余风险通常可以通过控制措施(例如加密)来管理。

　　D3：法律问题，合同和电子取证

　　本节的主要内容包括信息和计算机系统的保护要求、安全漏洞信息披露的法律、监管要求，隐私要求和国际法以及合同和电子取证的相关要求和建议等。

　　在数据保护方面，云用户应采用合理的技术、物理和管理措施来防范个人数据遭受丢失、滥用或篡改。如果要将用户的数据传输给第三方或迁移到云上时，应经过用户的同意。

　　在签署合同时，云用户应与云服务提供商慎重签署书面协议，协议应清晰定义角色、各方的期望和与数据利害攸关的众多职责，还应明确识别允许和禁止使用的数据，以及数据被盗或泄漏时应采取的措施。除此之外，应有保密协议或数据使用协议来限制公司将用户数据传输给第三方。

　　在电子取证时，云用户可能无法像在本地一样申请或使用电子取证工具，也可能没有能力或管理权限搜索或访问托管在云中的数据，所以云用户需要考虑导致受限访问所需要的潜在的额外的时间和费用。当云用户发出访问云中存储的数据的请求时，云服务提供商应该分析信息的要求和关联性、重要性、均衡性或可访问性的相关数据结构，当云用户收集到信息后，应采取合理的措施以验证其从云服务提供商收集的信息是完整的和准确的。云用户和云服务提供商之间应签署一项协议，用来在电子取证请求事件中相互配合，达到共同利益。

　　D4:合规性和审计管理

　　本节涉及评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求(规章、法规等)。同时还提供在审计过程中证明合规性的一些指导。

　　合规性在云服务中是一个共享责任模式，云用户应始终对自己的合规性负责，其中的责任是通过合同，审核/评估，和具体的合规性要求的细节来确定的。因此，云用户应该在部署、迁移或开发云技术之前，明确全部合规义务。了解评估和认证的范围，包括控制和系统特性/服务。云用户应评估云服务提供商的第三方认证，并将其与合规性要求保持一致。云用户应定义审计管理的范围，选择具有云计算经验的审核人员，确保他们了解云服务提供商提供的合规性证据，并有效地收集和管理这些证据。云安全联盟云控制矩阵可以提供云服务提供商的注册表、相关的遵从性要求以及当前的状态等证据。当云服务提供商的证据不充足时，云用户应创建和收集自己的证据。

　　D5:信息治理

　　本节涉及云中数据的识别和控制;以及可用于处理数据迁移到云中时失去物理控制这一问题的补偿控制。除此之外也提及了其他内容，如谁负责数据机密性、完整性和可用性等。

　　云用户应该在计划向云过渡之前，确定信息的治理需求。包括法律和监管要求、合同义务和其它公司策略，确保信息治理策略和实践可以扩展到云端。云用户还应对信息的去向以及信息的访问进行授权，利用迁移到云的机会，对现有基础设施曾使用的断裂的方法，进行重新思考和重新构建，而不是搁置和平移现有的信息架构。在需要时，云用户应使用数据安全生命周期帮助数据处理和控制进行建模。

　　D6:管理平面和业务连续性

　　本节主要介绍了对访问云时使用的管理平台和管理结构进行的保护，包括Web控制台和API，从而确保云部署的业务连续性。

　　对于保障管理平面的安全，云用户应该负责正确配置他们所使用的管理平面，保护和管理其授权证书，利用身份识别和访问权限管理措施来保障管理平面的安全。始终只允许用户、应用程序和其他管理平面所需的最少特权，应谨慎使用这些特权;所有特权用户的帐户都应使用多因子身份验证(MFA)。在业务连续性方面，在SaaS服务模型下，云用户应依靠云服务提供商保障整个应用程序的服务运行。而在IaaS服务模型下，云用户可以设计自己的应用程序的架构来应对故障，将更多责任掌握在手中。除此之外，云用户应定期提取和归档数据，使用冷备设备和DNS重定向技术，并且还应该拥有相应的通知计划和应急响应方案，从而保证宕机之后业务的连续性。

　　D7: 基础设施安全

　　本节主要涉及核心云基础架构的安全性，包括对网络、负载和混合云的安全考虑，该领域还包括私有云的安全基础。

　　云用户应定期检查行业标准和行业特定的合规证书和认证，确保云服务提供商遵循云基础设置的最佳实践和规则。在网络方面，应优先使用SDN，确保在多个虚拟网络和多个云帐号/业务中可以增强网络隔离。还应基于每一个负载部署默认拒绝策略的防火墙，只要环境允许，建议始终使用云防火墙策略限制同一个虚拟子网中负载之间的流量。在计算/负载方面，尽量使用不可变负载，将日志存储到负载之外，还应了解和遵守云服务提供商对漏洞评估和渗透测试的规定。

　　D8: 虚拟化及容器技术

　　本节涉及虚拟化管理系统、容器和软件定义的网络的安全性。

　　在虚拟化方面，云用户主要负责合理配置虚拟网络的部署，尤其是虚拟防火墙。负责控制正确的权限管理及配置。当虚拟防火墙和/或监控不满足安全需求时，云用户可用虚拟安全设备或主机安全代理进行补偿。云用户应该确保他们理解云服务提供商提供的功能及所有安全漏洞。根据云服务提供商和其他行业最佳实践合理地配置虚拟化服务。

　　对于容器技术，云用户应该了解已选容器平台和底层操作系统的安全隔离功能，然后选择合适的配置。使用物理或虚拟主机在同一物理或虚拟主机上提供相同的安全性的上下文的容器隔离和容器组。确保只能部署批准的、已知且可靠的容器镜像或代码。适当地保护容器协调器/管理程序及调度者软件栈。为所有容器和管理程序仓库实现适当的基于角色的访问控制，以及强大的认证功能。

　　D9: 事件响应

　　本节主要介绍了适当的和充分的事件检测、响应、通告和补救的措施建议。尝试说明为了启动适当的事件处理和取证，在云用户和云服务提供商两边都需要满足的一些条目。

　　云用户必须了解云服务提供商所提供的用于分析目标数据的内容和格式，并评估现有的取证数据是否满足司法证据保管链要求。采用持续和无服务器的方式监控云资源，才能比传统的数据中心更早地发现潜在的问题。数据源应存储或复制到在事件期间仍可保证可用性的位置上。云用户应该建立与云服务提供商沟通的适当路径，以便在事件发生时使用。事件响应计划至少每年或每当应用架构有重大变化时进行测试。云用户应尽可能地将其测试程序与云服务提供商(和其他合作伙伴)的测试程序进行最大程度的整合。

　　D10:应用安全

　　本节主要介绍如何保护在云上运行或在云中开发的应用软件。包括将某个应用迁移到或设计在云中运行是否可行，如果可行，什么类型的云平台(SaaS,PaaS,IaaS)是最合适的。

　　云用户应了解云服务提供商的安全功能，不仅仅是他们的基准，还有各种平台和服务，应将安全性构建到初始设计过程中，即使没有正式的安全软件开发生命周期(SDLC)，也可以考虑进行连续部署，将安全性自动化到部署管道中。应将威胁建模、静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)、安全测试集成到部署过程中。使用事件驱动的安全性自动检测和修复安全问题。使用不同的云环境来更好地隔离管理平台访问，并自由的为开发人员提供配置开发环境，同时也锁定生产环境。

　　D11:数据安全和加密

　　本节主要介绍了如何实施数据的安全和加密控制，并保证可扩展的密钥管理。

　　云用户应确保在数据移动到云端的过程中采取数据保护措施，采用访问控制和加密的数据安全控制技术保护云中的数据，创建用于确定访问控制的授权矩阵。但是也不要完全依赖访问控制和加密，还要利用架构来提高数据安全性。密钥管理和加密同样重要，密钥管理主要考虑因素是性能、可访问性、延迟和安全性，应将正确的密钥在正确的时间放在合适的位置。云用户管理的密钥允许云用户在云服务提供商管理加密引擎时管理自己的加密密钥。除此之外，云用户还应利用现有标准来帮助建立良好的安全性，正确使用加密和密钥管理技术和流程。

　　D12:身份、授权和访问管理

　　本节介绍了如何利用管理身份和目录服务来提供访问控制。关注点是组织将身份管理扩展到云中所遇到的问题。

　　云用户负责维护身份提供者并定义身份和属性，还应制定一个全面和正式的计划和流程管理云服务的身份和授权，酌情考虑适当的使用身份代理。云用户应对所有外部云账户优先选择MFA，并发送MFA状态作为联合身份验证时的属性。为每个云服务提供商和项目制定权利矩阵，重点是元结构和管理界面的访问。除此之外，在控制风险方面，没有什么事情比特权用户管理更重要的，应利用凭证控制，数字证书，物理和逻辑上独立的访问控制点，以及堡垒机等单独严格控制的系统，对特权用户的登录行为进行控制。

　　D13：安全即服务

　　本节主要介绍了云服务提供商提供安全能力来促进安全保障、事件管理、合规认证以及身份和访问监督，除此之外还给出了安全即服务潜在的优势以及问题。

　　在确定SecaaS提供商之前，云用户务必要了解数据处理(和可用性)、调查和合规性支持的任何安全性要求。特别需要注意处理受监管的数据，如个人身份信息保护(PII)。了解数据保留需求，并选择支持输入的数据不会产生锁定情况的云服务提供商。确保SecaaS服务与当前和未来的计划兼容。

　　D14：相关技术

　　本节主要介绍了与云计算有着密切关系的已建立的新兴技术，包括大数据，物联网和移动计算。

　　大数据

　　尽可能利用云服务提供商的能力，即使它们与大数据工具安全功能有重叠。对数据收集和数据存储层中的主存储、中间存储和备份存储进行加密。充分理解使用云机器学习或分析服务的潜在好处和风险。特别注意隐私和合规性的含义。当考虑到不符合安全性、隐私或合规性要求的服务时，云用户应该考虑使用数据屏蔽或混淆。除此之外，云用户还应遵循其他大数据安全最佳实践，包括工具供应商(或开放源码项目)和云安全联盟提供的那些最佳实践。

　　物联网

　　在数据收集阶段，应使用安全的数据收集管道并对其进行数据清理，以防止通过对数据收集管道进行攻击从而利用云应用和云基础设施。在数据传输阶段，需要加密通信。在数据存储阶段，不要将静态凭据存储在可能导致云应用程序或基础设施受损的设备上。除此之外，还需要确保设备可以进行修补和升级，并且还应遵循由CSA物联网工作组发布的更多、更详细的指南。

　　移动

　　在设计一个直接连接到云基础设施的应用程序时，云用户需要遵循云服务提供商的指导，以正确的身份验证和授权移动设备。在API防护方面，为恶意的API活动实现服务器/云端安全监视。测试所有的API时，都应该假设恶意攻击者具有身份验证、未加密的访问权限。验证所有API数据并对其进行清理以确保安全。在数据传输方面，不要在因特网上传输未加密的密钥或凭证。在数据存储方面，确保存储在设备上的所有数据都是安全的和加密的。那些可能由于应用程序栈受攻击而导致泄露的敏感信息不能存储在本地设备上，因为恶意用户很可能访问到这些数据。除此之外，云用户还应遵循CSA移动工作组的更详细的建议和研究。

2017中国全球投资峰会在杭开幕

聚焦杭州未来发展机遇 

关于举办“走进网银互联”

暨“云计算与大数据时代下的网络安全”

主题沙龙活动的通知

协会举办

“云计算服务能力评估政策解读”研讨会 

浙江公布首批省级高新技术特色小镇名单 

杭州占七席 

关于举办“走进网银互联”

暨“云计算与大数据时代下的网络安全”

主题沙龙活动的通知