云計算是繼計算機(jī)、互聯(lián)網(wǎng)之后的信息領(lǐng)域又一重大技術(shù)變革。云計算的出現(xiàn)給業(yè)界提供了新的發(fā)展機(jī)遇,與此同時,云計算的安全問題依然是一個嚴(yán)峻的挑戰(zhàn)。自1994年國務(wù)院頒布《中華人民共和國信息系統(tǒng)安全保護(hù)條例》(國務(wù)院[19941147號令)以來,信息系統(tǒng)安全等級保護(hù)體系逐步完善成熟。在傳統(tǒng)架構(gòu)的信息系統(tǒng)下發(fā)揮了很大的作用。云計算的出現(xiàn),帶來了一系列系統(tǒng)架構(gòu)上的變化,但是無論其如何發(fā)展,終究是屬于信息系統(tǒng),具有信息系統(tǒng)的普遍特點(diǎn)。云計算的安全管理,依然可以按照等級保護(hù)的要求實(shí)施。
云計算安全問題
關(guān)于云計算,當(dāng)前尚沒有一個統(tǒng)一、確定的定義。維基百科認(rèn)為云計算是一種能夠動態(tài)伸縮的虛擬化資源,通過互聯(lián)網(wǎng)以服務(wù)的方式提供給用戶的計算模式,用戶不需要知道如何管理那些支持云計算的基礎(chǔ)設(shè)施。其實(shí)云計算是一種概念,不是具體的技術(shù)或標(biāo)準(zhǔn)。同時云計算也是一種運(yùn)營模式,是把IT資源、數(shù)據(jù)和應(yīng)用作為服務(wù)通過網(wǎng)絡(luò)提供給用戶。簡而言之,云計算的本質(zhì)就是共享與協(xié)作。
近年來,各大IT企業(yè)紛紛投入云計算,各大商業(yè)平臺如雨后春筍幫紛紛推出。然而,這些云平臺的問題也緊接著不斷暴露出來。2007~2008年間,亞馬遜云平臺大范圍故障;2009年,微軟云平臺崩潰,數(shù)據(jù)丟失;2009年,谷歌也有客戶個人信息泄露??云計算時代,資源和數(shù)據(jù)都在云端,安全問題更顯重要。
由于體系結(jié)構(gòu)的變化,云計算安全問題也有其獨(dú)有特點(diǎn):
①在云計算環(huán)境下,網(wǎng)絡(luò)架構(gòu)統(tǒng)一、硬件資源高度整合,傳統(tǒng)安全邊界消失;②虛擬化作為云計算的核心技術(shù),對安全設(shè)備設(shè)計和部署提出更高要求;③數(shù)據(jù)集中存儲處理,需有效的身份鑒別、認(rèn)證管理、訪問控制、安全審計等安全機(jī)制;④ 數(shù)據(jù)與應(yīng)用嚴(yán)重依賴云計算中心,其穩(wěn)定性、可靠性相較傳統(tǒng)系統(tǒng),要求更高。
云計算模式存在的安全問題有:黑客入侵云端服務(wù)器竊取數(shù)據(jù);云服務(wù)供應(yīng)商內(nèi)部員工竊取客戶敏感數(shù)據(jù);使用同一云服務(wù)供應(yīng)商的其它客戶意外取得或竊取敏感數(shù)據(jù);云端資源遭到惡意濫用,被用來濫發(fā)垃圾郵件或惡意主機(jī)等;外國政府可以未經(jīng)客戶授權(quán)讀取當(dāng)?shù)卦茢?shù)據(jù)中心內(nèi)的數(shù)據(jù);客戶不易對云服務(wù)供應(yīng)商的安全控制措施和訪問記錄進(jìn)行審計;云服務(wù)供應(yīng)商災(zāi)備管理不完善,導(dǎo)致服務(wù)中斷;云服務(wù)供應(yīng)商倒閉,無法繼續(xù)提供服務(wù);用戶賬號密碼被竊,云服務(wù)資源遭到盜用。
等級保護(hù)依然適用于云計算
從管理角度來講,等級保護(hù)制度是一項(xiàng)綜合性的社會系統(tǒng)工程,將信息系統(tǒng)按照社會化的組織原則進(jìn)行有序管理,是提升系統(tǒng)安全防護(hù)水平的重要手段。在這一點(diǎn)上,云計算環(huán)境與傳統(tǒng)信息系統(tǒng)一樣。等級保護(hù)涉及到管理的部分,依然適用于云計算。
從技術(shù)角度來講,等級保護(hù)制度又是一項(xiàng)復(fù)雜的技術(shù)工程,通過一系列的技術(shù)防護(hù)手段來實(shí)現(xiàn)信息系統(tǒng)的安全設(shè)計技術(shù)要求。
從等級保護(hù)技術(shù)設(shè)計要求規(guī)范來看,原有的思想是構(gòu)建以安全管理中心支撐下的計算環(huán)境、區(qū)域邊界與通信網(wǎng)絡(luò)三重防護(hù)。云計算的模式下,私有云內(nèi)部的區(qū)域邊界已經(jīng)變得模糊和消失,云計算環(huán)境和云通信網(wǎng)絡(luò)的構(gòu)建機(jī)制如何,需要重新加以設(shè)定。等級保護(hù)的技術(shù)安全整體架構(gòu)是從信息系統(tǒng)本身來出發(fā),而云計算也是信息系統(tǒng),具有信息系統(tǒng)的本質(zhì)特征,因此,云模式下的信息系統(tǒng)是否也需要構(gòu)建云計算環(huán)境、云通信網(wǎng)絡(luò)、云接入邊界,以及云安全管理中心,這與等級保護(hù)的整體技術(shù)架構(gòu)設(shè)計如出一轍,只是,這樣的云計算體系安全架構(gòu)需要在“可信”的條件下來進(jìn)行。
等級保護(hù)技術(shù)設(shè)計要求主要包含“安全計算環(huán)境 ‘安全區(qū)域邊界 安全通信網(wǎng)絡(luò) 安全管理中心”四大部分的內(nèi)容,從技術(shù)、管理、運(yùn)營等方面進(jìn)行了規(guī)范。
云計算可由以下五個方面分析其主要安全風(fēng)險及對策:
(1)應(yīng)用方面。
對于應(yīng)用系統(tǒng)安全漏洞,需要遵守應(yīng)用安全開發(fā)規(guī)范和相關(guān)規(guī)章制度,并定期執(zhí)行代碼級安全檢查和系統(tǒng)安全測試。具體可依照等級保護(hù)技術(shù)設(shè)計要求中“安全計算環(huán)境”相關(guān)內(nèi)容執(zhí)行。
(2)數(shù)據(jù)方面。
對于數(shù)據(jù)外泄最好的辦法是采用技術(shù)措施對敏感數(shù)據(jù)進(jìn)行隔離與加密。具體可依照等級保護(hù)技術(shù)設(shè)計要求中“安全計算環(huán)境 安全區(qū)域邊界 安全通信網(wǎng)絡(luò)”相關(guān)內(nèi)容執(zhí)行。
(3)系統(tǒng)方面。
對于系統(tǒng)安全漏洞問題需要建立安全基線與防護(hù)機(jī)制,實(shí)時監(jiān)控系統(tǒng)安全事件。具體可依照等級保護(hù)技術(shù)設(shè)計要求中“安全計算環(huán)境”相關(guān)內(nèi)容執(zhí)行。
(4)網(wǎng)絡(luò)方面。
對于用戶所關(guān)心的網(wǎng)絡(luò)傳輸安全問題,可以通過傳輸內(nèi)容加密來解決。具體可依照等級保護(hù)技術(shù)設(shè)計要求中“安全區(qū)域邊界”、“安全通信網(wǎng)絡(luò)”相關(guān)內(nèi)容執(zhí)行。
(5)端點(diǎn)方面。
對于可能在終端位置出現(xiàn)的惡意代碼,通過使用終端安全防護(hù)軟件就可以解決。具體可依照等級保護(hù)技術(shù)設(shè)計要求中“安全計算環(huán)境”相關(guān)內(nèi)容執(zhí)行。