云計算給等級保護(hù)帶來新的挑戰(zhàn)
對于傳統(tǒng)意義的數(shù)據(jù)大集中���,現(xiàn)有的等級保護(hù)政策及標(biāo)準(zhǔn)已有了比較明確的保障思路和方法,并在實踐中有了比較成熟的案例�����,但對于云來說�,“虛擬化”和“分散處理”兩種技術(shù)是云計算兩項關(guān)鍵技術(shù),也是云區(qū)別于以上業(yè)務(wù)的明顯特點���,給云平臺按照等級保護(hù)思路開展安全保障帶來了新的問題�。對于云計算帶來的新挑戰(zhàn)��,筆者認(rèn)為主要有以下幾點:
1業(yè)務(wù)可控性
等級保護(hù)工作的主要目的是提高國家重要信息系統(tǒng)�����、網(wǎng)絡(luò)的信息安全保障能力和水平,維護(hù)國家安全��、社會穩(wěn)定和公共利益�����,保障和促進(jìn)信息化建設(shè)�����,強(qiáng)調(diào)可控��,不同地區(qū)�、單位或個人的系統(tǒng)安全建設(shè)需要符合所在國家和地區(qū)的法規(guī),目前國家層面���、行業(yè)層面要求IT部門應(yīng)對單位關(guān)鍵信息實現(xiàn)自主可控���。
但在云計算環(huán)境下,依賴虛擬化技術(shù)提供服務(wù)��,數(shù)據(jù)可能會在數(shù)據(jù)中心和物理主機(jī)之間移動�����,以確保負(fù)載均衡,用戶可能根本無法知道其數(shù)據(jù)存儲位置�����,甚至更不用說哪個國家或地區(qū)了��。因此從實現(xiàn)可控目標(biāo)����,定位數(shù)據(jù)的精確位置對于公共云的應(yīng)用來說是一個值得考慮的問題。而且所有數(shù)據(jù)放在公共云上�����,并且使用共享資源�,就很難證明遵從了法規(guī)的要求��,云平臺的安全等級建設(shè)是否符合所服務(wù)業(yè)務(wù)和數(shù)據(jù)的安全等級要求也是要考慮的問題����。
2核心技術(shù)的自主可控
面對云計算,雖然在我國建設(shè)了不少公有�、私有云計算平臺�����,并不能保證我們就能夠控制云平臺中的信息資源�����,也不能保證我們就是唯一的控制者���。由于很多技術(shù)仍然控制在國外企業(yè)手中,大規(guī)模的云計算平臺可能成為國外勢力控制中國的平臺�����,一些從國外購買獲得而不加以認(rèn)真研究改良的所謂自主產(chǎn)品��,更在很大程度麻痹了國人�,這種自主知識產(chǎn)權(quán)的本質(zhì)就是買下了推廣他人產(chǎn)品的權(quán)利,更為重要的是�,互聯(lián)網(wǎng)是云發(fā)揮作用的基礎(chǔ),基于互聯(lián)網(wǎng)的云計算本身就是巨大安全隱患�����。
如何在云計算核心技術(shù)并不在我們掌控的條件下實現(xiàn)核心安全技術(shù)自主可控是需要重點考慮的問題��。
3虛擬化技術(shù)安全問題及測評
在云平臺的安全保障中,僅僅采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)是不夠的�,虛擬化所帶來新的安全問題應(yīng)該得到重視,而且傳統(tǒng)的安全防護(hù)手段基本安裝在系統(tǒng)的內(nèi)容環(huán)境中����,易于檢查,而且�,目前也有了完善的檢查技術(shù)。但對在系統(tǒng)之外的云計算應(yīng)用進(jìn)行檢查的難度非常大���,如何對虛擬化的安全防護(hù)和保障技術(shù)進(jìn)行測評是等級保護(hù)中面臨的又一問題����。
來源:CIO時代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章�����,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056��。
延伸閱讀
