政府監管:云安全的保證
云計算正在蓬勃發展。據有關統計數據顯示,2012年中國云計算市場規模超過600億元人民幣,同比增長92 3%;2013年中國云計算市場規模將有望超過1100億元人民幣。市場發展的速度令人欣喜,不過也要看到,在云計算的發
云計算正在蓬勃發展。據有關統計數據顯示,2012年中國云計算市場規模超過600億元人民幣,同比增長92.3%;2013年中國云計算市場規模將有望超過1100億元人民幣。市場發展的速度令人欣喜,不過也要看到,在云計算的發展中仍有一些問題需要解決。一直以來,云計算的安全都被看做行業發展的隱患,而日前發生的“棱鏡門”事件更是引起了對這一話題的熱議。云計算的發展之路注定不平坦。
云計算是一種通過網絡統一組織和靈活調用各種ICT資源,實現大規模計算的信息處理方式。目前,國內外云計算服務面臨較多的安全問題。2012年,三大云計算服務商亞馬遜、微軟、谷歌均出現至少兩次的大規模服務中斷事故。同年,蘋果的iCloud服務發生大大小小共17次故障。由于用戶規模較小,國內的云服務尚未出現大規模安全事故,但也存在一些問題,例如,2012年8月6日,盛大云主機發生磁盤損壞,造成了部分用戶數據丟失。
云安全應如何保障?目前主要的應對措施還是技術手段,然而對于提升云安全的整體水平而言,政府監管以及相關法規的制定是必不可少的,且更具成效。因此,面對諸多云安全問題,我國政府應該進一步加大監管力度,加快相關政策和法規的制定,從宏觀層面給予云計算更加全面、有力的安全保障。
云計算的7大安全問題
我國云服務到底面臨哪些安全問題?通過對國內主要云服務商的調查發現,我國云服務現階段主要面臨七大安全問題。其中,虛擬化安全、共享環境下的數據安全、云平臺應用程序安全等屬于云服務模式下面臨的新問題;海量用戶的身份認證與訪問控制、云服務運維和管理、內容合規性審查等體現了傳統問題的一些新特點;而可用性與兼容性則屬于傳統的安全問題范圍。
虛擬化的引入給云服務帶來了新風險
虛擬化帶來的新風險主要表現為虛擬機被濫用、虛擬機逃逸、多租戶間隔離失效、虛擬機的安全策略遷移等。其中,虛擬機逃逸是指虛擬機和宿主機由隔離的狀態變成聯通狀態,這將影響到Hypervisor(虛擬機監管層)上的所有虛擬機。虛擬機的安全策略遷移也是較棘手的問題,為保證虛擬機的安全,需要安全策略隨虛擬機的遷移而自動快速建立起來,否則將導致出現安全空窗期,存在較大安全隱患。
共享環境下的數據安全是用戶最擔心的問題
在云服務模式下,用戶非常擔心托管于服務商處的數據是否會被泄露、篡改或丟失。用戶數據面臨的人為威脅主要來源于服務商、黑客、相鄰惡意租戶以及后續租戶。服務商天然具有對存儲于其設備上的用戶數據的優先訪問權,如何防范服務商內部人員(如系統管理員)對用戶數據的非法訪問和泄露是一個重要的問題。傳輸中的數據容易遭到黑客或惡意相鄰租戶的截獲或篡改。后續租戶可能恢復未經徹底刪除的退租用戶的數據。總體來看,用戶數據面臨的客觀威脅主要是軟硬件故障、電力中斷、自然災害等各類客觀因素造成的云服務中的數據丟失。數據跨境流動問題是云服務的一個特別的問題。云服務商可在全球范圍內動態遷移虛擬機鏡像和數據,這不僅涉及跨國司法問題,國家的重要機密信息也可能因此泄露而對國家安全造成威脅。
云平臺應用程序安全涉及每一類云服務
不管是SaaS、PaaS還是IaaS都存在應用程序安全問題,主要包括三類:一是惡意程序審查。在PaaS服務中,服務商需要審查用戶上傳的應用程序是否為惡意程序,否則,可能影響云平臺的運行或造成其他不良影響。在IaaS服務中,服務商云平臺上也容易被放置惡意攻擊程序。二是應用程序接口安全。PaaS服務商需要提供各種接口供開發者調用,因此,不可避免會存在不安全的接口,也就容易被惡意用戶利用。三是代碼安全與測試。在PaaS服務中,應用程序本身的代碼存在各種漏洞。SaaS服務商所提供的在線軟件類應用程序也必須經過嚴格的代碼安全審查與測試才能上線運營。
海量用戶的身份認證與訪問控制是一大難題
在云服務模式下,用戶身份認證與訪問控制面臨新挑戰:海量用戶的身份認證與授權、訪問權限的合理劃分和賬號、密碼及密鑰管理。云計算主要通過互聯網對外提供服務,支持的用戶數可能少則10萬,多則100萬、1000萬甚至上億。如何應對海量用戶不斷變化的業務和用戶身份,需要云服務商對用戶身份認證和接入管理實現完全自動化。在密鑰管理方面,云服務商可能擁有用戶用于加解密的密鑰,這將導致數據的泄露。
云服務運維和管理措施尚未跟上
當前,云服務安全運維效率低下。首先,特權用戶如管理員的過失行為可能造成服務中斷等嚴重后果。其次,云服務的運維層級發生了變化。原來基于物理主機的監控不再有效——尚無法有效監控虛擬主機是否已經出現問題。同時,我國云服務還處于發展初期,云服務商在管理上的漏洞較多,對運維人員缺少針對性管理,缺少專門的機構、崗位和管理制度等。
可用性與兼容性仍需重點關注
云計算基于開放的互聯網提供服務,面臨眾多未知的安全風險,云服務出現不可用情況的原因主要包括:DDoS攻擊和僵尸網絡、Web服務攻擊、軟硬件故障、電力中斷和自然災害等。由于云服務商對應用程序開發有較多限制,如開發語言、開發規范等,這給PaaS服務中應用程序的遷移帶來了兼容性方面的安全問題。
內容合規性審查變得更加困難
在云服務中,由于信息與其發布載體動態綁定(可以支持公網IP地址、域名與云節點的動態綁定),使得對有害內容的定位和封堵變得異常困難。同時,境外云計算服務節點通常提供共享訪問的SSL(安全套接層)加密通道,除證書發行商名字、IP、端口外無法檢測任何內容,這使得傳統的內容過濾無從下手。
依托有力監管保障云安全
除了依靠技術手段,政府部門還應著力推進監管政策及法律法規的制定與實施,以實現云服務的安全監管。監管政策和法律法規作為上層建筑,從宏觀層面影響著所有具體業務。良好的監管環境有利于建立用戶與云服務商的信任關系,提升用戶信心。我國在云安全方面尚未正式出臺針對性的監管政策和法律法規,因此,為促進我國云服務健康發展,政府應從以下幾個方面著手。
首先,從國家層面加強云服務網絡數據安全、個人隱私保護、知識產權保護、數據跨境流動等方面的法律法規建設。在我國出臺的第一部針對網絡信息保護的法律,即《全國人大常委會關于加強網絡信息保護的決定》的框架下,根據云服務的特點制定個人隱私保護、數據跨境流動等方面的法律法規或先行制定相應的部門規章,以保障我國云服務健康有序發展和保護用戶的合法權益。針對云服務數據跨境流動問題,國外已有一些法規如歐盟《數據保護指令》適用于云服務。我國應盡快出臺相關規定,改變我國在國際上的被動地位。
其次,完善云服務安全事前準入、事中監測和事后處罰與退出機制。新版《電信業務分類目錄》已公開征求意見,其中將云計算作為互聯網資源協作服務業務和在線數據處理及交易處理業務納入電信業務監管范圍。除了準入政策,還應對云服務商的日常安全運營進行監督管理,對出現問題的云服務商有相應的響應機制、責任認定、處罰和退出機制。
最后,應推動政府及重要行業關于采購IT服務的法律法規修訂,對政府及重要行業采購云服務作出明確規定。例如,規定政府、金融、醫療衛生、軍事國防等擁有私人或敏感信息的單位只能使用國內云服務商的服務,且必須將數據存儲在本國境內等。
云計算是一種通過網絡統一組織和靈活調用各種ICT資源,實現大規模計算的信息處理方式。目前,國內外云計算服務面臨較多的安全問題。2012年,三大云計算服務商亞馬遜、微軟、谷歌均出現至少兩次的大規模服務中斷事故。同年,蘋果的iCloud服務發生大大小小共17次故障。由于用戶規模較小,國內的云服務尚未出現大規模安全事故,但也存在一些問題,例如,2012年8月6日,盛大云主機發生磁盤損壞,造成了部分用戶數據丟失。
云安全應如何保障?目前主要的應對措施還是技術手段,然而對于提升云安全的整體水平而言,政府監管以及相關法規的制定是必不可少的,且更具成效。因此,面對諸多云安全問題,我國政府應該進一步加大監管力度,加快相關政策和法規的制定,從宏觀層面給予云計算更加全面、有力的安全保障。
云計算的7大安全問題
我國云服務到底面臨哪些安全問題?通過對國內主要云服務商的調查發現,我國云服務現階段主要面臨七大安全問題。其中,虛擬化安全、共享環境下的數據安全、云平臺應用程序安全等屬于云服務模式下面臨的新問題;海量用戶的身份認證與訪問控制、云服務運維和管理、內容合規性審查等體現了傳統問題的一些新特點;而可用性與兼容性則屬于傳統的安全問題范圍。
虛擬化的引入給云服務帶來了新風險
虛擬化帶來的新風險主要表現為虛擬機被濫用、虛擬機逃逸、多租戶間隔離失效、虛擬機的安全策略遷移等。其中,虛擬機逃逸是指虛擬機和宿主機由隔離的狀態變成聯通狀態,這將影響到Hypervisor(虛擬機監管層)上的所有虛擬機。虛擬機的安全策略遷移也是較棘手的問題,為保證虛擬機的安全,需要安全策略隨虛擬機的遷移而自動快速建立起來,否則將導致出現安全空窗期,存在較大安全隱患。
共享環境下的數據安全是用戶最擔心的問題
在云服務模式下,用戶非常擔心托管于服務商處的數據是否會被泄露、篡改或丟失。用戶數據面臨的人為威脅主要來源于服務商、黑客、相鄰惡意租戶以及后續租戶。服務商天然具有對存儲于其設備上的用戶數據的優先訪問權,如何防范服務商內部人員(如系統管理員)對用戶數據的非法訪問和泄露是一個重要的問題。傳輸中的數據容易遭到黑客或惡意相鄰租戶的截獲或篡改。后續租戶可能恢復未經徹底刪除的退租用戶的數據。總體來看,用戶數據面臨的客觀威脅主要是軟硬件故障、電力中斷、自然災害等各類客觀因素造成的云服務中的數據丟失。數據跨境流動問題是云服務的一個特別的問題。云服務商可在全球范圍內動態遷移虛擬機鏡像和數據,這不僅涉及跨國司法問題,國家的重要機密信息也可能因此泄露而對國家安全造成威脅。
云平臺應用程序安全涉及每一類云服務
不管是SaaS、PaaS還是IaaS都存在應用程序安全問題,主要包括三類:一是惡意程序審查。在PaaS服務中,服務商需要審查用戶上傳的應用程序是否為惡意程序,否則,可能影響云平臺的運行或造成其他不良影響。在IaaS服務中,服務商云平臺上也容易被放置惡意攻擊程序。二是應用程序接口安全。PaaS服務商需要提供各種接口供開發者調用,因此,不可避免會存在不安全的接口,也就容易被惡意用戶利用。三是代碼安全與測試。在PaaS服務中,應用程序本身的代碼存在各種漏洞。SaaS服務商所提供的在線軟件類應用程序也必須經過嚴格的代碼安全審查與測試才能上線運營。
海量用戶的身份認證與訪問控制是一大難題
在云服務模式下,用戶身份認證與訪問控制面臨新挑戰:海量用戶的身份認證與授權、訪問權限的合理劃分和賬號、密碼及密鑰管理。云計算主要通過互聯網對外提供服務,支持的用戶數可能少則10萬,多則100萬、1000萬甚至上億。如何應對海量用戶不斷變化的業務和用戶身份,需要云服務商對用戶身份認證和接入管理實現完全自動化。在密鑰管理方面,云服務商可能擁有用戶用于加解密的密鑰,這將導致數據的泄露。
云服務運維和管理措施尚未跟上
當前,云服務安全運維效率低下。首先,特權用戶如管理員的過失行為可能造成服務中斷等嚴重后果。其次,云服務的運維層級發生了變化。原來基于物理主機的監控不再有效——尚無法有效監控虛擬主機是否已經出現問題。同時,我國云服務還處于發展初期,云服務商在管理上的漏洞較多,對運維人員缺少針對性管理,缺少專門的機構、崗位和管理制度等。
可用性與兼容性仍需重點關注
云計算基于開放的互聯網提供服務,面臨眾多未知的安全風險,云服務出現不可用情況的原因主要包括:DDoS攻擊和僵尸網絡、Web服務攻擊、軟硬件故障、電力中斷和自然災害等。由于云服務商對應用程序開發有較多限制,如開發語言、開發規范等,這給PaaS服務中應用程序的遷移帶來了兼容性方面的安全問題。
內容合規性審查變得更加困難
在云服務中,由于信息與其發布載體動態綁定(可以支持公網IP地址、域名與云節點的動態綁定),使得對有害內容的定位和封堵變得異常困難。同時,境外云計算服務節點通常提供共享訪問的SSL(安全套接層)加密通道,除證書發行商名字、IP、端口外無法檢測任何內容,這使得傳統的內容過濾無從下手。
依托有力監管保障云安全
除了依靠技術手段,政府部門還應著力推進監管政策及法律法規的制定與實施,以實現云服務的安全監管。監管政策和法律法規作為上層建筑,從宏觀層面影響著所有具體業務。良好的監管環境有利于建立用戶與云服務商的信任關系,提升用戶信心。我國在云安全方面尚未正式出臺針對性的監管政策和法律法規,因此,為促進我國云服務健康發展,政府應從以下幾個方面著手。
首先,從國家層面加強云服務網絡數據安全、個人隱私保護、知識產權保護、數據跨境流動等方面的法律法規建設。在我國出臺的第一部針對網絡信息保護的法律,即《全國人大常委會關于加強網絡信息保護的決定》的框架下,根據云服務的特點制定個人隱私保護、數據跨境流動等方面的法律法規或先行制定相應的部門規章,以保障我國云服務健康有序發展和保護用戶的合法權益。針對云服務數據跨境流動問題,國外已有一些法規如歐盟《數據保護指令》適用于云服務。我國應盡快出臺相關規定,改變我國在國際上的被動地位。
其次,完善云服務安全事前準入、事中監測和事后處罰與退出機制。新版《電信業務分類目錄》已公開征求意見,其中將云計算作為互聯網資源協作服務業務和在線數據處理及交易處理業務納入電信業務監管范圍。除了準入政策,還應對云服務商的日常安全運營進行監督管理,對出現問題的云服務商有相應的響應機制、責任認定、處罰和退出機制。
最后,應推動政府及重要行業關于采購IT服務的法律法規修訂,對政府及重要行業采購云服務作出明確規定。例如,規定政府、金融、醫療衛生、軍事國防等擁有私人或敏感信息的單位只能使用國內云服務商的服務,且必須將數據存儲在本國境內等。
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡
