政府監(jiān)管:云安全的保證
云計算正在蓬勃發(fā)展。據(jù)有關(guān)統(tǒng)計數(shù)據(jù)顯示,2012年中國云計算市場規(guī)模超過600億元人民幣,同比增長92 3%;2013年中國云計算市場規(guī)模將有望超過1100億元人民幣。市場發(fā)展的速度令人欣喜,不過也要看到,在云計算的發(fā)
云計算正在蓬勃發(fā)展。據(jù)有關(guān)統(tǒng)計數(shù)據(jù)顯示,2012年中國云計算市場規(guī)模超過600億元人民幣,同比增長92.3%;2013年中國云計算市場規(guī)模將有望超過1100億元人民幣。市場發(fā)展的速度令人欣喜,不過也要看到,在云計算的發(fā)展中仍有一些問題需要解決。一直以來,云計算的安全都被看做行業(yè)發(fā)展的隱患,而日前發(fā)生的“棱鏡門”事件更是引起了對這一話題的熱議。云計算的發(fā)展之路注定不平坦。
云計算是一種通過網(wǎng)絡(luò)統(tǒng)一組織和靈活調(diào)用各種ICT資源,實現(xiàn)大規(guī)模計算的信息處理方式。目前,國內(nèi)外云計算服務(wù)面臨較多的安全問題。2012年,三大云計算服務(wù)商亞馬遜、微軟、谷歌均出現(xiàn)至少兩次的大規(guī)模服務(wù)中斷事故。同年,蘋果的iCloud服務(wù)發(fā)生大大小小共17次故障。由于用戶規(guī)模較小,國內(nèi)的云服務(wù)尚未出現(xiàn)大規(guī)模安全事故,但也存在一些問題,例如,2012年8月6日,盛大云主機發(fā)生磁盤損壞,造成了部分用戶數(shù)據(jù)丟失。
云安全應(yīng)如何保障?目前主要的應(yīng)對措施還是技術(shù)手段,然而對于提升云安全的整體水平而言,政府監(jiān)管以及相關(guān)法規(guī)的制定是必不可少的,且更具成效。因此,面對諸多云安全問題,我國政府應(yīng)該進一步加大監(jiān)管力度,加快相關(guān)政策和法規(guī)的制定,從宏觀層面給予云計算更加全面、有力的安全保障。
云計算的7大安全問題
我國云服務(wù)到底面臨哪些安全問題?通過對國內(nèi)主要云服務(wù)商的調(diào)查發(fā)現(xiàn),我國云服務(wù)現(xiàn)階段主要面臨七大安全問題。其中,虛擬化安全、共享環(huán)境下的數(shù)據(jù)安全、云平臺應(yīng)用程序安全等屬于云服務(wù)模式下面臨的新問題;海量用戶的身份認證與訪問控制、云服務(wù)運維和管理、內(nèi)容合規(guī)性審查等體現(xiàn)了傳統(tǒng)問題的一些新特點;而可用性與兼容性則屬于傳統(tǒng)的安全問題范圍。
虛擬化的引入給云服務(wù)帶來了新風(fēng)險
虛擬化帶來的新風(fēng)險主要表現(xiàn)為虛擬機被濫用、虛擬機逃逸、多租戶間隔離失效、虛擬機的安全策略遷移等。其中,虛擬機逃逸是指虛擬機和宿主機由隔離的狀態(tài)變成聯(lián)通狀態(tài),這將影響到Hypervisor(虛擬機監(jiān)管層)上的所有虛擬機。虛擬機的安全策略遷移也是較棘手的問題,為保證虛擬機的安全,需要安全策略隨虛擬機的遷移而自動快速建立起來,否則將導(dǎo)致出現(xiàn)安全空窗期,存在較大安全隱患。
共享環(huán)境下的數(shù)據(jù)安全是用戶最擔(dān)心的問題
在云服務(wù)模式下,用戶非常擔(dān)心托管于服務(wù)商處的數(shù)據(jù)是否會被泄露、篡改或丟失。用戶數(shù)據(jù)面臨的人為威脅主要來源于服務(wù)商、黑客、相鄰惡意租戶以及后續(xù)租戶。服務(wù)商天然具有對存儲于其設(shè)備上的用戶數(shù)據(jù)的優(yōu)先訪問權(quán),如何防范服務(wù)商內(nèi)部人員(如系統(tǒng)管理員)對用戶數(shù)據(jù)的非法訪問和泄露是一個重要的問題。傳輸中的數(shù)據(jù)容易遭到黑客或惡意相鄰租戶的截獲或篡改。后續(xù)租戶可能恢復(fù)未經(jīng)徹底刪除的退租用戶的數(shù)據(jù)。總體來看,用戶數(shù)據(jù)面臨的客觀威脅主要是軟硬件故障、電力中斷、自然災(zāi)害等各類客觀因素造成的云服務(wù)中的數(shù)據(jù)丟失。數(shù)據(jù)跨境流動問題是云服務(wù)的一個特別的問題。云服務(wù)商可在全球范圍內(nèi)動態(tài)遷移虛擬機鏡像和數(shù)據(jù),這不僅涉及跨國司法問題,國家的重要機密信息也可能因此泄露而對國家安全造成威脅。
云平臺應(yīng)用程序安全涉及每一類云服務(wù)
不管是SaaS、PaaS還是IaaS都存在應(yīng)用程序安全問題,主要包括三類:一是惡意程序?qū)彶椤T赑aaS服務(wù)中,服務(wù)商需要審查用戶上傳的應(yīng)用程序是否為惡意程序,否則,可能影響云平臺的運行或造成其他不良影響。在IaaS服務(wù)中,服務(wù)商云平臺上也容易被放置惡意攻擊程序。二是應(yīng)用程序接口安全。PaaS服務(wù)商需要提供各種接口供開發(fā)者調(diào)用,因此,不可避免會存在不安全的接口,也就容易被惡意用戶利用。三是代碼安全與測試。在PaaS服務(wù)中,應(yīng)用程序本身的代碼存在各種漏洞。SaaS服務(wù)商所提供的在線軟件類應(yīng)用程序也必須經(jīng)過嚴格的代碼安全審查與測試才能上線運營。
海量用戶的身份認證與訪問控制是一大難題
在云服務(wù)模式下,用戶身份認證與訪問控制面臨新挑戰(zhàn):海量用戶的身份認證與授權(quán)、訪問權(quán)限的合理劃分和賬號、密碼及密鑰管理。云計算主要通過互聯(lián)網(wǎng)對外提供服務(wù),支持的用戶數(shù)可能少則10萬,多則100萬、1000萬甚至上億。如何應(yīng)對海量用戶不斷變化的業(yè)務(wù)和用戶身份,需要云服務(wù)商對用戶身份認證和接入管理實現(xiàn)完全自動化。在密鑰管理方面,云服務(wù)商可能擁有用戶用于加解密的密鑰,這將導(dǎo)致數(shù)據(jù)的泄露。
云服務(wù)運維和管理措施尚未跟上
當前,云服務(wù)安全運維效率低下。首先,特權(quán)用戶如管理員的過失行為可能造成服務(wù)中斷等嚴重后果。其次,云服務(wù)的運維層級發(fā)生了變化。原來基于物理主機的監(jiān)控不再有效——尚無法有效監(jiān)控虛擬主機是否已經(jīng)出現(xiàn)問題。同時,我國云服務(wù)還處于發(fā)展初期,云服務(wù)商在管理上的漏洞較多,對運維人員缺少針對性管理,缺少專門的機構(gòu)、崗位和管理制度等。
可用性與兼容性仍需重點關(guān)注
云計算基于開放的互聯(lián)網(wǎng)提供服務(wù),面臨眾多未知的安全風(fēng)險,云服務(wù)出現(xiàn)不可用情況的原因主要包括:DDoS攻擊和僵尸網(wǎng)絡(luò)、Web服務(wù)攻擊、軟硬件故障、電力中斷和自然災(zāi)害等。由于云服務(wù)商對應(yīng)用程序開發(fā)有較多限制,如開發(fā)語言、開發(fā)規(guī)范等,這給PaaS服務(wù)中應(yīng)用程序的遷移帶來了兼容性方面的安全問題。
內(nèi)容合規(guī)性審查變得更加困難
在云服務(wù)中,由于信息與其發(fā)布載體動態(tài)綁定(可以支持公網(wǎng)IP地址、域名與云節(jié)點的動態(tài)綁定),使得對有害內(nèi)容的定位和封堵變得異常困難。同時,境外云計算服務(wù)節(jié)點通常提供共享訪問的SSL(安全套接層)加密通道,除證書發(fā)行商名字、IP、端口外無法檢測任何內(nèi)容,這使得傳統(tǒng)的內(nèi)容過濾無從下手。
依托有力監(jiān)管保障云安全
除了依靠技術(shù)手段,政府部門還應(yīng)著力推進監(jiān)管政策及法律法規(guī)的制定與實施,以實現(xiàn)云服務(wù)的安全監(jiān)管。監(jiān)管政策和法律法規(guī)作為上層建筑,從宏觀層面影響著所有具體業(yè)務(wù)。良好的監(jiān)管環(huán)境有利于建立用戶與云服務(wù)商的信任關(guān)系,提升用戶信心。我國在云安全方面尚未正式出臺針對性的監(jiān)管政策和法律法規(guī),因此,為促進我國云服務(wù)健康發(fā)展,政府應(yīng)從以下幾個方面著手。
首先,從國家層面加強云服務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全、個人隱私保護、知識產(chǎn)權(quán)保護、數(shù)據(jù)跨境流動等方面的法律法規(guī)建設(shè)。在我國出臺的第一部針對網(wǎng)絡(luò)信息保護的法律,即《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》的框架下,根據(jù)云服務(wù)的特點制定個人隱私保護、數(shù)據(jù)跨境流動等方面的法律法規(guī)或先行制定相應(yīng)的部門規(guī)章,以保障我國云服務(wù)健康有序發(fā)展和保護用戶的合法權(quán)益。針對云服務(wù)數(shù)據(jù)跨境流動問題,國外已有一些法規(guī)如歐盟《數(shù)據(jù)保護指令》適用于云服務(wù)。我國應(yīng)盡快出臺相關(guān)規(guī)定,改變我國在國際上的被動地位。
其次,完善云服務(wù)安全事前準入、事中監(jiān)測和事后處罰與退出機制。新版《電信業(yè)務(wù)分類目錄》已公開征求意見,其中將云計算作為互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)和在線數(shù)據(jù)處理及交易處理業(yè)務(wù)納入電信業(yè)務(wù)監(jiān)管范圍。除了準入政策,還應(yīng)對云服務(wù)商的日常安全運營進行監(jiān)督管理,對出現(xiàn)問題的云服務(wù)商有相應(yīng)的響應(yīng)機制、責(zé)任認定、處罰和退出機制。
最后,應(yīng)推動政府及重要行業(yè)關(guān)于采購IT服務(wù)的法律法規(guī)修訂,對政府及重要行業(yè)采購云服務(wù)作出明確規(guī)定。例如,規(guī)定政府、金融、醫(yī)療衛(wèi)生、軍事國防等擁有私人或敏感信息的單位只能使用國內(nèi)云服務(wù)商的服務(wù),且必須將數(shù)據(jù)存儲在本國境內(nèi)等。
云計算是一種通過網(wǎng)絡(luò)統(tǒng)一組織和靈活調(diào)用各種ICT資源,實現(xiàn)大規(guī)模計算的信息處理方式。目前,國內(nèi)外云計算服務(wù)面臨較多的安全問題。2012年,三大云計算服務(wù)商亞馬遜、微軟、谷歌均出現(xiàn)至少兩次的大規(guī)模服務(wù)中斷事故。同年,蘋果的iCloud服務(wù)發(fā)生大大小小共17次故障。由于用戶規(guī)模較小,國內(nèi)的云服務(wù)尚未出現(xiàn)大規(guī)模安全事故,但也存在一些問題,例如,2012年8月6日,盛大云主機發(fā)生磁盤損壞,造成了部分用戶數(shù)據(jù)丟失。
云安全應(yīng)如何保障?目前主要的應(yīng)對措施還是技術(shù)手段,然而對于提升云安全的整體水平而言,政府監(jiān)管以及相關(guān)法規(guī)的制定是必不可少的,且更具成效。因此,面對諸多云安全問題,我國政府應(yīng)該進一步加大監(jiān)管力度,加快相關(guān)政策和法規(guī)的制定,從宏觀層面給予云計算更加全面、有力的安全保障。
云計算的7大安全問題
我國云服務(wù)到底面臨哪些安全問題?通過對國內(nèi)主要云服務(wù)商的調(diào)查發(fā)現(xiàn),我國云服務(wù)現(xiàn)階段主要面臨七大安全問題。其中,虛擬化安全、共享環(huán)境下的數(shù)據(jù)安全、云平臺應(yīng)用程序安全等屬于云服務(wù)模式下面臨的新問題;海量用戶的身份認證與訪問控制、云服務(wù)運維和管理、內(nèi)容合規(guī)性審查等體現(xiàn)了傳統(tǒng)問題的一些新特點;而可用性與兼容性則屬于傳統(tǒng)的安全問題范圍。
虛擬化的引入給云服務(wù)帶來了新風(fēng)險
虛擬化帶來的新風(fēng)險主要表現(xiàn)為虛擬機被濫用、虛擬機逃逸、多租戶間隔離失效、虛擬機的安全策略遷移等。其中,虛擬機逃逸是指虛擬機和宿主機由隔離的狀態(tài)變成聯(lián)通狀態(tài),這將影響到Hypervisor(虛擬機監(jiān)管層)上的所有虛擬機。虛擬機的安全策略遷移也是較棘手的問題,為保證虛擬機的安全,需要安全策略隨虛擬機的遷移而自動快速建立起來,否則將導(dǎo)致出現(xiàn)安全空窗期,存在較大安全隱患。
共享環(huán)境下的數(shù)據(jù)安全是用戶最擔(dān)心的問題
在云服務(wù)模式下,用戶非常擔(dān)心托管于服務(wù)商處的數(shù)據(jù)是否會被泄露、篡改或丟失。用戶數(shù)據(jù)面臨的人為威脅主要來源于服務(wù)商、黑客、相鄰惡意租戶以及后續(xù)租戶。服務(wù)商天然具有對存儲于其設(shè)備上的用戶數(shù)據(jù)的優(yōu)先訪問權(quán),如何防范服務(wù)商內(nèi)部人員(如系統(tǒng)管理員)對用戶數(shù)據(jù)的非法訪問和泄露是一個重要的問題。傳輸中的數(shù)據(jù)容易遭到黑客或惡意相鄰租戶的截獲或篡改。后續(xù)租戶可能恢復(fù)未經(jīng)徹底刪除的退租用戶的數(shù)據(jù)。總體來看,用戶數(shù)據(jù)面臨的客觀威脅主要是軟硬件故障、電力中斷、自然災(zāi)害等各類客觀因素造成的云服務(wù)中的數(shù)據(jù)丟失。數(shù)據(jù)跨境流動問題是云服務(wù)的一個特別的問題。云服務(wù)商可在全球范圍內(nèi)動態(tài)遷移虛擬機鏡像和數(shù)據(jù),這不僅涉及跨國司法問題,國家的重要機密信息也可能因此泄露而對國家安全造成威脅。
云平臺應(yīng)用程序安全涉及每一類云服務(wù)
不管是SaaS、PaaS還是IaaS都存在應(yīng)用程序安全問題,主要包括三類:一是惡意程序?qū)彶椤T赑aaS服務(wù)中,服務(wù)商需要審查用戶上傳的應(yīng)用程序是否為惡意程序,否則,可能影響云平臺的運行或造成其他不良影響。在IaaS服務(wù)中,服務(wù)商云平臺上也容易被放置惡意攻擊程序。二是應(yīng)用程序接口安全。PaaS服務(wù)商需要提供各種接口供開發(fā)者調(diào)用,因此,不可避免會存在不安全的接口,也就容易被惡意用戶利用。三是代碼安全與測試。在PaaS服務(wù)中,應(yīng)用程序本身的代碼存在各種漏洞。SaaS服務(wù)商所提供的在線軟件類應(yīng)用程序也必須經(jīng)過嚴格的代碼安全審查與測試才能上線運營。
海量用戶的身份認證與訪問控制是一大難題
在云服務(wù)模式下,用戶身份認證與訪問控制面臨新挑戰(zhàn):海量用戶的身份認證與授權(quán)、訪問權(quán)限的合理劃分和賬號、密碼及密鑰管理。云計算主要通過互聯(lián)網(wǎng)對外提供服務(wù),支持的用戶數(shù)可能少則10萬,多則100萬、1000萬甚至上億。如何應(yīng)對海量用戶不斷變化的業(yè)務(wù)和用戶身份,需要云服務(wù)商對用戶身份認證和接入管理實現(xiàn)完全自動化。在密鑰管理方面,云服務(wù)商可能擁有用戶用于加解密的密鑰,這將導(dǎo)致數(shù)據(jù)的泄露。
云服務(wù)運維和管理措施尚未跟上
當前,云服務(wù)安全運維效率低下。首先,特權(quán)用戶如管理員的過失行為可能造成服務(wù)中斷等嚴重后果。其次,云服務(wù)的運維層級發(fā)生了變化。原來基于物理主機的監(jiān)控不再有效——尚無法有效監(jiān)控虛擬主機是否已經(jīng)出現(xiàn)問題。同時,我國云服務(wù)還處于發(fā)展初期,云服務(wù)商在管理上的漏洞較多,對運維人員缺少針對性管理,缺少專門的機構(gòu)、崗位和管理制度等。
可用性與兼容性仍需重點關(guān)注
云計算基于開放的互聯(lián)網(wǎng)提供服務(wù),面臨眾多未知的安全風(fēng)險,云服務(wù)出現(xiàn)不可用情況的原因主要包括:DDoS攻擊和僵尸網(wǎng)絡(luò)、Web服務(wù)攻擊、軟硬件故障、電力中斷和自然災(zāi)害等。由于云服務(wù)商對應(yīng)用程序開發(fā)有較多限制,如開發(fā)語言、開發(fā)規(guī)范等,這給PaaS服務(wù)中應(yīng)用程序的遷移帶來了兼容性方面的安全問題。
內(nèi)容合規(guī)性審查變得更加困難
在云服務(wù)中,由于信息與其發(fā)布載體動態(tài)綁定(可以支持公網(wǎng)IP地址、域名與云節(jié)點的動態(tài)綁定),使得對有害內(nèi)容的定位和封堵變得異常困難。同時,境外云計算服務(wù)節(jié)點通常提供共享訪問的SSL(安全套接層)加密通道,除證書發(fā)行商名字、IP、端口外無法檢測任何內(nèi)容,這使得傳統(tǒng)的內(nèi)容過濾無從下手。
依托有力監(jiān)管保障云安全
除了依靠技術(shù)手段,政府部門還應(yīng)著力推進監(jiān)管政策及法律法規(guī)的制定與實施,以實現(xiàn)云服務(wù)的安全監(jiān)管。監(jiān)管政策和法律法規(guī)作為上層建筑,從宏觀層面影響著所有具體業(yè)務(wù)。良好的監(jiān)管環(huán)境有利于建立用戶與云服務(wù)商的信任關(guān)系,提升用戶信心。我國在云安全方面尚未正式出臺針對性的監(jiān)管政策和法律法規(guī),因此,為促進我國云服務(wù)健康發(fā)展,政府應(yīng)從以下幾個方面著手。
首先,從國家層面加強云服務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全、個人隱私保護、知識產(chǎn)權(quán)保護、數(shù)據(jù)跨境流動等方面的法律法規(guī)建設(shè)。在我國出臺的第一部針對網(wǎng)絡(luò)信息保護的法律,即《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》的框架下,根據(jù)云服務(wù)的特點制定個人隱私保護、數(shù)據(jù)跨境流動等方面的法律法規(guī)或先行制定相應(yīng)的部門規(guī)章,以保障我國云服務(wù)健康有序發(fā)展和保護用戶的合法權(quán)益。針對云服務(wù)數(shù)據(jù)跨境流動問題,國外已有一些法規(guī)如歐盟《數(shù)據(jù)保護指令》適用于云服務(wù)。我國應(yīng)盡快出臺相關(guān)規(guī)定,改變我國在國際上的被動地位。
其次,完善云服務(wù)安全事前準入、事中監(jiān)測和事后處罰與退出機制。新版《電信業(yè)務(wù)分類目錄》已公開征求意見,其中將云計算作為互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)和在線數(shù)據(jù)處理及交易處理業(yè)務(wù)納入電信業(yè)務(wù)監(jiān)管范圍。除了準入政策,還應(yīng)對云服務(wù)商的日常安全運營進行監(jiān)督管理,對出現(xiàn)問題的云服務(wù)商有相應(yīng)的響應(yīng)機制、責(zé)任認定、處罰和退出機制。
最后,應(yīng)推動政府及重要行業(yè)關(guān)于采購IT服務(wù)的法律法規(guī)修訂,對政府及重要行業(yè)采購云服務(wù)作出明確規(guī)定。例如,規(guī)定政府、金融、醫(yī)療衛(wèi)生、軍事國防等擁有私人或敏感信息的單位只能使用國內(nèi)云服務(wù)商的服務(wù),且必須將數(shù)據(jù)存儲在本國境內(nèi)等。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
