云計(jì)算的發(fā)展帶來(lái)很多問(wèn)題�,有人就向我提出,云計(jì)算安全以后等級(jí)保護(hù)還做不做����?我們把云計(jì)算是什么,是怎么發(fā)展來(lái)的搞清楚�,就能夠發(fā)現(xiàn)。只要它還是一個(gè)信息系統(tǒng)��,就應(yīng)該有信息系統(tǒng)的共性����,就應(yīng)該有信息系統(tǒng)的安全保護(hù)需求,就應(yīng)該有等級(jí)保護(hù)去保護(hù)它����,答案是肯定的。
現(xiàn)在云計(jì)算炒的不亦樂(lè)乎��,全國(guó)很多省已經(jīng)建立了云計(jì)算中心�,有些地市也已經(jīng)開(kāi)始建立了,但是我們呼吁要謹(jǐn)慎�,如果云計(jì)算沒(méi)有解決安全的問(wèn)題,這個(gè)云是不可靠的,亂建就會(huì)亂套���。
下面我們從3個(gè)方面來(lái)看看云究竟是什么����,我們應(yīng)當(dāng)怎樣對(duì)待它��。
一���、基本概念
什么是云計(jì)算����?維基百科認(rèn)為云計(jì)算是一種能夠動(dòng)態(tài)伸縮的虛擬化資源�����,通過(guò)互聯(lián)網(wǎng)以服務(wù)的方式提供給用戶的計(jì)算模式��,用戶不需要知道如何管理那些支持云計(jì)算的基礎(chǔ)設(shè)施�����。這是比較理想的狀態(tài)�����。希望我們計(jì)算機(jī)不要編程,像自來(lái)水龍頭一樣�,開(kāi)了以后����,水就下來(lái)了,像電燈開(kāi)關(guān)一樣���,打開(kāi)電燈就亮了��,但愿如此���。但是問(wèn)題沒(méi)有那么簡(jiǎn)單,既然云計(jì)算是一種運(yùn)營(yíng)模式����,把IT資源、數(shù)據(jù)和應(yīng)用作為服務(wù)通過(guò)網(wǎng)絡(luò)提供給用戶����,這意味著服務(wù)方式的改變—共享數(shù)據(jù)中心。還是與用戶應(yīng)用對(duì)應(yīng)的計(jì)算機(jī)系統(tǒng)��,只是計(jì)算模式的變化。
(1)計(jì)算模式發(fā)展歷史
計(jì)算模式變化規(guī)律是由集中到分散�,從分散又到集中。20世紀(jì)6o年代��,計(jì)算機(jī)水平低�、成本高,只能建以大計(jì)算機(jī)為中心的機(jī)房��,通過(guò)聯(lián)接功能簡(jiǎn)單地終端共享計(jì)算機(jī)�,以虛擬技術(shù)把大計(jì)算機(jī)資源分割給以終端對(duì)應(yīng)用用戶使用,這就是集中計(jì)算模式��。
隨著計(jì)算機(jī)小型化和降低成本�����。1970年左右���。把大機(jī)房分散化��,通過(guò)分布方式完成用戶的計(jì)算任務(wù)����,形成了分布計(jì)算模式����。
大規(guī)模集成電路出現(xiàn)�����,計(jì)算機(jī)體積和成本降低到可以為個(gè)人做一臺(tái)計(jì)算機(jī)��,于是1980年左右產(chǎn)生了個(gè)人計(jì)算機(jī)PC,形成了更為分散的桌面計(jì)算模式����。但PC能力有限,需要通過(guò)互聯(lián)網(wǎng)把分散各地的計(jì)算機(jī)連接起來(lái)����,形成虛擬超級(jí)的計(jì)算能力,1990年左右建立了以動(dòng)態(tài)異構(gòu)�、虛擬共享為特點(diǎn)的網(wǎng)格計(jì)算模式。
網(wǎng)格計(jì)算是面向體系計(jì)算問(wèn)題�,而缺乏大量社會(huì)需要的事務(wù)處理的服務(wù)能力,2000年左右出現(xiàn)了面向服務(wù)的架構(gòu)�����,形成了以事務(wù)處理為主的軟件服務(wù)計(jì)算模式��。
面向服務(wù)體現(xiàn)在應(yīng)用層面,而且都針對(duì)用戶和行業(yè)來(lái)建系統(tǒng)��,建設(shè)和運(yùn)營(yíng)成本還比較高����,為進(jìn)一步提高效率,降低成本���,2010年左右提出了云計(jì)算模式�����,形成軟件(應(yīng)用)�、平臺(tái)����、基礎(chǔ)設(shè)備三層服務(wù)架構(gòu),是更大規(guī)模的集中���,將不同需求的用戶和行業(yè)信息系統(tǒng)融為一體成為云計(jì)算中心����,以服務(wù)的方式完成不同計(jì)算服務(wù)�����。可以預(yù)料�,再過(guò)若干年又會(huì)出現(xiàn)新的計(jì)算模式!
(2)云計(jì)算的特點(diǎn)
云計(jì)算的特點(diǎn)包括以下方面:
1)硬件和軟件都是資源���,通過(guò)互聯(lián)網(wǎng)以服務(wù)的方式提供給用戶(寬帶接人)���。
2)這些資源都可以根據(jù)需要?jiǎng)討B(tài)擴(kuò)展和配置(動(dòng)態(tài)異構(gòu))。
3)這些資源在物理上以分布式的共享方式存在��,但在邏輯上以單一整體的形式呈現(xiàn)(虛擬共享)�����。
4)用戶按需要使用云中的資源���,按實(shí)際使用量付費(fèi)(按需控制)。
(3)云計(jì)算的計(jì)算環(huán)境
依據(jù)云計(jì)算服務(wù)的計(jì)算環(huán)境可分為3層:基礎(chǔ)架構(gòu)即服務(wù)(IaaS)�����、平臺(tái)即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)�����。
基礎(chǔ)架構(gòu)即服務(wù)提供基本的計(jì)算和存儲(chǔ)能力。
平臺(tái)即服務(wù)��,通常也稱為“云計(jì)算操作系統(tǒng)”���,為終端用戶提供基于互聯(lián)網(wǎng)的應(yīng)用開(kāi)發(fā)環(huán)境��,包括應(yīng)用編程接口和運(yùn)行平臺(tái)等����。
軟件即服務(wù)為用戶提供可以直接為其所用的軟件���。
基礎(chǔ)架構(gòu)和平臺(tái)構(gòu)成計(jì)算節(jié)點(diǎn)����,軟件支持應(yīng)用���。
(4)云計(jì)算的服務(wù)模式
依據(jù)云計(jì)算的部署方式和服務(wù)對(duì)象范圍可以分為3類:公共云�、私有云和混合云����。公共云是由若十企業(yè)和用戶共享使用的云環(huán)境��。私有云是由某個(gè)企業(yè)獨(dú)立構(gòu)建和使用不對(duì)公眾開(kāi)放的云環(huán)境��?���;旌显剖侵腹苍婆c私有云的混合����。
二、存在的安全問(wèn)題
云安全聯(lián)盟與惠普公司共同列出了云計(jì)算的七宗罪���,主要是基于對(duì)29家企業(yè)�、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論���。
1)數(shù)據(jù)丟失/泄漏:云計(jì)算中對(duì)數(shù)據(jù)的安全控制力度并不是十分理想,API訪問(wèn)權(quán)限控制以及密鑰生成���、存儲(chǔ)和管理方面的不足都可能造成數(shù)據(jù)泄漏��,并且還可能缺乏必要的數(shù)據(jù)銷毀政策��。
2)共享技術(shù)漏洞:在云計(jì)算中����,簡(jiǎn)單的錯(cuò)誤配置都可能造成嚴(yán)重影響,因?yàn)樵朴?jì)算環(huán)境中的很多虛擬服務(wù)器共享著相同的配置���,因此必須為網(wǎng)絡(luò)和服務(wù)器配置執(zhí)行服務(wù)水平協(xié)議(SLA)�����,以確保及時(shí)安裝修復(fù)程序以及實(shí)施最佳做法���。
3)供應(yīng)商可靠性不易評(píng)估:云計(jì)算服務(wù)供應(yīng)商對(duì)工作人員的背景調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問(wèn)權(quán)限的控制力度有所不同,很多供應(yīng)商在這方面做得還不錯(cuò)�,但并不夠,企業(yè)需要對(duì)供應(yīng)商進(jìn)行評(píng)估并提出如何篩選員工的方案���。
4)身份認(rèn)證機(jī)制薄弱:很多數(shù)據(jù)���、應(yīng)用程序和資源都集中在云計(jì)算中,而云計(jì)算的身份驗(yàn)證機(jī)制如果很薄弱的話�,人侵者就可以輕松獲取用戶賬號(hào)并登錄客戶的虛擬機(jī)。
5)不安全的應(yīng)用程序接口:在開(kāi)發(fā)應(yīng)用程序方面�����,企業(yè)必須將云計(jì)算看作是新的平臺(tái),而不是外包�。在應(yīng)用程序的生命周期中,必須部署嚴(yán)格的審核過(guò)程�����,開(kāi)發(fā)者可以運(yùn)用某些準(zhǔn)則來(lái)處理身份驗(yàn)證���、訪問(wèn)權(quán)限控制和加密���。
6)沒(méi)有正確運(yùn)用云計(jì)算:在運(yùn)用技術(shù)方面,黑客可能比技術(shù)人員進(jìn)步更快���,黑客通常能夠迅速部署新的攻擊技術(shù)在云計(jì)算中自由穿行��。
7)未知的風(fēng)險(xiǎn):透明度問(wèn)題一直困擾著云服務(wù)供應(yīng)商�����,賬戶用戶僅使用前端界面,他們不知道他們的供應(yīng)商使用的是哪種平臺(tái)或者修復(fù)水平����,主要是管理的問(wèn)題��。
七宗罪說(shuō)明了云安全狀況變化非?��?欤纫酝男畔⑾到y(tǒng)問(wèn)題更加嚴(yán)重�����,信息安全等級(jí)保護(hù)如何適應(yīng)石計(jì)算����,需要深人研究。對(duì)現(xiàn)有的防護(hù)措施應(yīng)做相應(yīng)的變化���。
另外����,云計(jì)算與以往的計(jì)算模式安全風(fēng)險(xiǎn)不同����,云計(jì)算環(huán)境下,信息安全問(wèn)題更嚴(yán)重�����、更突出,核心的問(wèn)題在于兩個(gè)方面�,首先是以前的信息系統(tǒng)都是自己建的,或者托管�,在安全資源和基礎(chǔ)設(shè)備方面有可控性。在云計(jì)算的環(huán)境下���,是由不可控不可信的經(jīng)營(yíng)商統(tǒng)管IT資源和基礎(chǔ)設(shè)施�,自己無(wú)法管理和控制��。第二個(gè)問(wèn)題就是更大規(guī)模異構(gòu)共享和虛擬動(dòng)態(tài)的運(yùn)行環(huán)境難以控制��,云計(jì)算是屬于動(dòng)態(tài)變化的計(jì)算環(huán)境��,這個(gè)運(yùn)行環(huán)境在某種意義上是無(wú)序的��。
三����、信息安全等級(jí)保護(hù)技術(shù)框架
云計(jì)算中心是特殊的信息系統(tǒng),其安全等級(jí)保護(hù)應(yīng)從技術(shù)和管理全面實(shí)施���??蓞⒄誈B/T25070-2010 《信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》����。建立安全可信的安全防護(hù)框架。按照17859評(píng)估準(zhǔn)則�,以訪問(wèn)控制為核心構(gòu)建可信計(jì)算基(TCB),實(shí)現(xiàn)自主訪問(wèn)����、強(qiáng)制訪問(wèn)等分等級(jí)的訪問(wèn)控制,在信息流程處理中加了控制和管理��。
云中心一般由用戶網(wǎng)絡(luò)接人����、訪問(wèn)應(yīng)用邊界、計(jì)算環(huán)境和管理平臺(tái)組成����,可形成虛擬應(yīng)用、虛擬計(jì)算節(jié)點(diǎn)以及虛擬(邏輯)計(jì)算環(huán)境�,由此構(gòu)建可信計(jì)算安全主體結(jié)構(gòu),即在安全管理中心支持下的可信通信網(wǎng)絡(luò)�、可信應(yīng)用邊界和可信計(jì)算環(huán)境三重防護(hù)框架。
管理平臺(tái)更重要����,系統(tǒng)管理的標(biāo)準(zhǔn)就要比以前更加繁重�����,同時(shí)要管理物理的和虛擬的資源可信����;安全管理的范圍也更廣����,既要保證信息處理流程中的主客體授權(quán)和策略的正確,又要保證關(guān)于石管理者的授權(quán)和策略正確�,由它統(tǒng)一實(shí)施;審計(jì)要負(fù)責(zé)云中心信息的追蹤和應(yīng)急處理�,還要給用戶提供相應(yīng)的審計(jì)平臺(tái)。這樣構(gòu)成了一個(gè)完整的技術(shù)與管理相結(jié)合的安全框架����,與GB/T25010-2010要求是符合的。
來(lái)源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品�����,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�����。
延伸閱讀
