未來的世界將是一個萬物互聯(lián)的時代�,隨著物聯(lián)網(wǎng)行業(yè)技術(shù)標準的完善以及關(guān)鍵技術(shù)上的不斷突破,數(shù)據(jù)大爆炸時代將越走越近�。云計算應(yīng)運而生,把所有計算資源集結(jié)起來看成一個整體���,通過并發(fā)使用資源完成操作請求�����。每個操作請求都可以按照一定的規(guī)則分割成小片段����,分發(fā)給不同的機器同時運算,每個機器其實只要做很小的計算就可以�,最后將這些計算結(jié)果整合,輸出給用戶�。
云計算的最終目標是將計算
服務(wù)和應(yīng)用作為一種公共設(shè)施提供給公眾
使人們能夠像使用
水、電���、煤氣和電話那樣使用計算機資源
云服務(wù)
“云”其實是互聯(lián)網(wǎng)的一個隱喻��,“云計算”其實就是使用互聯(lián)網(wǎng)來接入存儲或者運行在遠程服務(wù)器端的應(yīng)用����,數(shù)據(jù)���,或者服務(wù)�����。
任何一個使用基于互聯(lián)網(wǎng)的方法來計算,存儲和開發(fā)的公司��,都可以從技術(shù)上叫做從事云的公司�。然而��,不是所有的云公司都一樣��。
云計算服務(wù)主要安全風(fēng)險
1
基礎(chǔ)平臺風(fēng)險
云計算基礎(chǔ)平臺相比傳統(tǒng)IT基礎(chǔ)設(shè)施系統(tǒng)結(jié)構(gòu)更加復(fù)雜�����,設(shè)備規(guī)模大����、應(yīng)用類型多�����,這給云計算基礎(chǔ)平臺安全管理帶來了更大的挑戰(zhàn)����。從歷年的安全檢查和安全演練情況來看:部分云計算基礎(chǔ)平臺核心軟硬件設(shè)備中仍然存在大量操作系統(tǒng)漏洞、配置錯誤��、策略失效等高��、中風(fēng)險安全漏洞����;各類云管理平臺�、業(yè)務(wù)運營支撐系統(tǒng)中也經(jīng)常暴露出信息泄露���、越權(quán)訪問�����、跨站腳本等安全漏洞�;云平臺遠程運維模式和身份認證機制在工程實現(xiàn)中暴露出嚴重風(fēng)險隱患�;共享物理基礎(chǔ)設(shè)施的不同租戶之間因分離存儲、內(nèi)存�����、路由等機制失敗而導(dǎo)致的虛機跳躍攻擊����、側(cè)信道攻擊等案例時有發(fā)生;通過網(wǎng)絡(luò)釣魚竊取用戶憑據(jù)后進行云計算服務(wù)跟蹤和本地攻擊�����,最終導(dǎo)致大量數(shù)據(jù)泄露的案例日益增多�����;云計算服務(wù)密鑰管理機制不完善��,密碼技術(shù)的合規(guī)性���、正確性和有效性得不到保障�,一直是云計算服務(wù)基礎(chǔ)平臺的安全隱憂�。
2
數(shù)據(jù)安全風(fēng)險
數(shù)據(jù)安全是云計算服務(wù)安全的最終目標之一,與此同時�����,數(shù)據(jù)安全風(fēng)險也是用戶選擇云計算服務(wù)商時首要考慮的因素�����,然而從目前情況來看�,當(dāng)前云計算服務(wù)中存在的數(shù)據(jù)安全風(fēng)險隱患依然很多:數(shù)據(jù)傳輸和共享過程中,數(shù)據(jù)未采取加密機制或加密機制存在缺陷���,第三方調(diào)用采用明文方式進行傳輸�,數(shù)據(jù)在同一臺物理服務(wù)器上不同VM之間通過服務(wù)器內(nèi)部虛擬網(wǎng)絡(luò)進行通信時的數(shù)據(jù)安全防護機制考慮不周��,這些都可能被攻擊者利用從而導(dǎo)致數(shù)據(jù)信息泄露;云計算基礎(chǔ)設(shè)施中依然存在大量重要����、敏感數(shù)據(jù)未使用加密技術(shù)進行保護,給黑客等不法分子帶來可乘之機���,導(dǎo)致信息泄露或篡改等行為發(fā)生�����;云服務(wù)數(shù)據(jù)在遷移過程中��,遺留數(shù)據(jù)得不到徹底清除�����,傳輸數(shù)據(jù)得不到有效保護����,備份數(shù)據(jù)得不到合理處置�����,往往引發(fā)數(shù)據(jù)泄露風(fēng)險�����;對開發(fā)、測試���、生產(chǎn)環(huán)境開放接口管理不嚴格,而導(dǎo)致數(shù)據(jù)遷移項目中的數(shù)據(jù)泄露案例時有發(fā)生�����;云計算服務(wù)中過度收集用戶個人信息����,違規(guī)使用個人信息,違反個人信息保護法等問題還頻頻出現(xiàn)���。
3
其它風(fēng)險
當(dāng)前����,考慮到云計算服務(wù)應(yīng)用場景固有的潛在風(fēng)險��,國家各部門陸續(xù)出臺了多項監(jiān)管政策和合規(guī)要求��,云計算服務(wù)供應(yīng)商要做好兼顧合規(guī)與風(fēng)險管控是極具挑戰(zhàn)的事情��。另外,種類復(fù)雜多樣的云上應(yīng)用尚缺乏整體統(tǒng)一的安全規(guī)劃和策略�����,快速應(yīng)對云計算新技術(shù)演進面臨的風(fēng)險能力仍存不足���。云計算服務(wù)中數(shù)據(jù)泄露和濫用�、數(shù)據(jù)違規(guī)共享等安全管理問題也值得關(guān)注���。
云計算服務(wù)安全風(fēng)險應(yīng)對措施
一
加強云計算服務(wù)中技術(shù)和管理安全標準體系研究據(jù)����。
研究表明�,云計算平臺中的安全問題絕大部分是傳統(tǒng)IT系統(tǒng)存在的問題(如各類系統(tǒng)安全漏洞),而剩下的安全問題主要來自新技術(shù)架構(gòu)應(yīng)用帶來的安全技術(shù)風(fēng)險��,傳統(tǒng)IT技術(shù)機制在云計算服務(wù)應(yīng)用場景中產(chǎn)生的技術(shù)風(fēng)險����,以及新的服務(wù)模式帶來的安全管理隱患,這些都需要結(jié)合云計算服務(wù)特點研究制定有針對性的技術(shù)和管理標準來降低隱患�。目前,圍繞云計算平臺之間的元數(shù)據(jù)和數(shù)據(jù)交換�����,不同云平臺之間的應(yīng)用遷移,云運營服務(wù)的監(jiān)控�、審計、計費和通告機制��,云計算服務(wù)中密碼支撐體系建設(shè)應(yīng)用��,云平臺的業(yè)務(wù)連續(xù)性要求以及服務(wù)水平協(xié)議等���,都需要開展研究并逐步形成標準體系以保障云計算服務(wù)安全。
二
進一步夯實云計算服務(wù)網(wǎng)絡(luò)安全評估工作���。
實踐經(jīng)驗表明���,云計算服務(wù)安全評估是網(wǎng)絡(luò)安全工作中的重要抓手,是提升云計算服務(wù)安全防護能力的關(guān)鍵一環(huán)����,通過持續(xù)安全評估可及時發(fā)現(xiàn)、排除安全隱患��,提升云計算服務(wù)的可控性和安全性��。云計算服務(wù)網(wǎng)絡(luò)安全評估是依據(jù)國家云計算服務(wù)安全評估辦法和相關(guān)標準規(guī)范,對云計算服務(wù)從系統(tǒng)開發(fā)與供應(yīng)鏈安全�����、系統(tǒng)與通信保護����、訪問控制、配置管理����、維護、應(yīng)急響應(yīng)與災(zāi)備���、審計��、風(fēng)險評估與持續(xù)監(jiān)控�����、安全組織與人員���、物理與環(huán)境安全等方面進行綜合評估。云計算服務(wù)安全評估涵蓋了《網(wǎng)絡(luò)安全法》中等級保護要求�,可滿足物理環(huán)境��、通信網(wǎng)絡(luò)��、區(qū)域邊界�����、計算環(huán)境��、管理中心�����、管理制度、管理機構(gòu)���、管理人員���、建設(shè)管理和運維管理等十個方面的等保測評要求。云計算服務(wù)安全評估還涵蓋了商用密碼測評要求���,滿足《密碼法》中密碼算法���、密碼技術(shù)�、密碼產(chǎn)品等方面有相應(yīng)要求����。
協(xié)會總結(jié)
云計算是一種全新的網(wǎng)絡(luò)應(yīng)用概念,它是基于網(wǎng)絡(luò)“云”的超級計算模式�,在遠程的數(shù)據(jù)中心里,成千上萬臺計算機和服務(wù)器連接成一片運算云����。云計算甚至可以讓你體驗每秒10萬億次的運算能力,擁有這么強大的計算能力就可以模擬核爆炸�����、預(yù)測氣候變化��、分析市場發(fā)展趨勢等�。它將在科技領(lǐng)域發(fā)揮越來越重要的作用,未來發(fā)展前途無量���。
