【IT168云计算是继计算机和互联网之后信息领域的另一个重大技术变化。云计算的出现为行业提供了新的发展机遇,云计算的安全问题仍然是一个严峻的挑战。自1994年国务院发布《中华人民共和国信息系统安全保护条例》(国务院[1994147号令)以来,信息系统安全等级保护体系逐步完善和成熟。它在传统架构的信息系统下发挥了重要作用。云计算的出现带来了系统架构的一系列变化,但无论如何发展,它毕竟属于信息系统,具有信息系统的一般特点。云计算的安全管理仍可按等级保护的要求进行。
云计算安全问题
目前还没有统一确定的云计算定义。维基百科全书认为,云计算是一种虚拟资源,可以通过互联网向用户提供动态扩展。用户不需要知道如何管理支持云计算的基础设施。事实上,云计算是一个概念,而不是一个特定的技术或标准。同时,云计算也是一种操作模式IT通过网络为用户提供资源、数据和应用作为服务。总之,云计算的本质是共享与合作。
近年来,各大IT企业纷纷投资云计算,各大商业平台如雨后春笋般涌现。然而,这些云平台的问题也不断暴露。2007~2008年间,亚马逊云平台出现大规模故障;2009年,微软云平台崩溃,数据丢失;2009年,在云计算时代,资源和数据都在云中,安全问题更为重要。
由于系统结构的变化,云计算安全问题也有其独特的特点:
①在云计算环境下,网络架构统一,硬件资源高度整合,传统安全边界消失;②虚拟化作为云计算的核心技术,对安全设备的设计和部署提出了更高的要求;③数据集中存储处理需要有效的身份识别、认证管理、访问控制、安全审计等安全机制;④ 数据和应用严重依赖于云计算中心,其稳定性和可靠性高于传统系统。
云计算模式的安全问题包括:黑客入侵云服务器窃取数据;云服务提供商内部员工窃取客户敏感数据;使用同一云服务提供商的其他客户意外获取或窃取敏感数据;恶意滥用云资源,用于滥用垃圾邮件或恶意主机;外国政府可以未经客户授权阅读当地云数据中心的数据;客户不易审计云服务提供商的安全控制措施和访问记录;云服务提供商灾难准备管理不完善,导致服务中断;云服务提供商关闭,无法继续提供服务;用户账户密码被盗,云服务资源被盗。
等级保护仍然适用于云计算
从管理的角度来看,等级保护制度是一个综合性的社会系统项目。按照社会组织原则有序管理信息系统是提高系统安全保护水平的重要手段。此时,云计算环境与传统信息系统相同。等级保护涉及管理,仍适用于云计算。
从技术角度看,等级保护制度是一项复杂的技术工程,信息系统的安全设计技术要求是通过一系列技术保护手段实现的。
从等级保护技术的设计要求和规范来看,原有的思想是在安全管理中心的支持下,构建计算环境、区域边界和通信网络的三重保护。在云计算模式下,私有云内部的区域边界变得模糊和消失。需要重新设置云计算环境和云通信网络的构建机制。等级保护技术安全的整体架构从信息系统本身开始,云计算也是信息系统,具有信息系统的基本特征。因此,云模式下的信息系统是否还需要构建云计算环境、云通信网络、云接入边界和云安全管理中心,这与等级保护的整体技术架构设计相同。然而,这种云计算系统的安全架构需要在“可信”条件下来。
等级保护技术的设计要求主要包括“安全计算环境 ‘安全管理中心”从技术、管理、运营等方面规范了四部分内容。
其主要安全风险及对策可从以下五个方面进行云计算分析:
(1)应用。
对于应用系统的安全漏洞,应遵守应用安全开发规范和相关规章制度,并定期进行代码级安全检查和系统安全检查。具体可根据等级保护技术的设计要求进行“安全计算环境”执行相关内容。
(2)数据。
数据泄漏的最佳方法是使用技术措施隔离和加密敏感数据。具体可根据等级保护技术设计要求进行“安全计算环境 安全区域边界 安全通信网络”执行相关内容。
(3)系统。
对于系统安全漏洞,需要建立安全基线和保护机制,对系统安全事件进行实时监控。根据等级保护技术的设计要求“安全计算环境”执行相关内容。
(4)网络。