云計算的安全問題是一個熱門話題,它應(yīng)該包括用來保護(hù)云計算相關(guān)的基礎(chǔ)架構(gòu)、應(yīng)用程序和數(shù)據(jù)安全的一系列控制措施,包含技術(shù)以及流程,市面上也有不少基于云計算的安全軟件或安全服務(wù),盡管業(yè)界通常認(rèn)為這不是來保護(hù)云計算的安全,也會使用云安全概念。
和云計算相關(guān)的安全問題要么在最終用戶方,要么在云計算服務(wù)提供方。云計算服務(wù)的提供者必須確?;A(chǔ)架構(gòu)的安全,這些包括數(shù)據(jù)中心的物理安全、虛擬硬件平臺的安全,如果提供應(yīng)用程序服務(wù),還需要保障應(yīng)用程序的安全,在運行于這些云系統(tǒng)服務(wù)之上的客戶的數(shù)據(jù)安全保護(hù)方面,當(dāng)然也會有,并且應(yīng)該有一定的安全措施。
在云計算服務(wù)的客戶方,要確保運云提供商已經(jīng)實施了適當(dāng)?shù)陌踩刂拼胧?,以便能更好保障?yīng)用程序和數(shù)據(jù)的安全,由于虛擬化的原因,客戶方不需要接觸到公有云的數(shù)據(jù)中心和各類硬件設(shè)備,所以他們會擔(dān)心云廠商的硬件和操作系統(tǒng)的安全問題,此外還會擔(dān)心虛擬化軟件系統(tǒng)的安全、以及云服務(wù)商的安全能力問題。
總體來說,云計算安全會落到幾個要點:1.合約,2.隱私及安全,3.法律遵循。
在合約層面,云計算最終用戶會和服務(wù)商探討雙方的權(quán)利和職責(zé)、產(chǎn)權(quán)歸屬以及服務(wù)中止等問題。需要明確發(fā)生安全問題時雙方各需承擔(dān)的責(zé)任,不再續(xù)約合同的時候如何交還或遷移客戶的數(shù)據(jù)及應(yīng)用程序等等,國內(nèi)多數(shù)客戶對IT服務(wù)的概念接受度還不夠,相關(guān)法律不夠健全,法務(wù)人員也缺乏這方面的經(jīng)驗,所以在合約層面想達(dá)成一致相對較難。
在隱私及安全層面,最終用戶必須有自己可控的帳戶管理系統(tǒng)來訪問云計算及相關(guān)的信息資源,當(dāng)然云服務(wù)商要確保經(jīng)過身份驗證的授權(quán)用戶可以訪問到云系統(tǒng)服務(wù),包括應(yīng)用程序和數(shù)據(jù),在應(yīng)用程序的安全方面,如果云服務(wù)廠商只提供計算平臺即服務(wù),則用戶自己需負(fù)責(zé)應(yīng)用程序的安全,如果云計算廠商提供了軟件即服務(wù),那必須保證基于云計算的軟件系統(tǒng)的安全,舉例講,提供基于云計算的存儲或數(shù)據(jù)庫服務(wù)的,需保障數(shù)據(jù)存儲軟硬件平臺的安全。云計算廠商要提供用戶管理和針對數(shù)據(jù)安全的保護(hù),不僅需要非常龐大的應(yīng)用系統(tǒng)開發(fā)和運維力量,更需要及早將安全控管功能嵌入到云服務(wù)平臺和應(yīng)用系統(tǒng)之中。
在法規(guī)遵循方面,國內(nèi)針對云計算安全的法規(guī)尚未成型,但會參考服務(wù)外包相關(guān)的規(guī)定,通常涉密行業(yè)受到嚴(yán)格監(jiān)管,如果要外包或使用云計算,相關(guān)的云計算服務(wù)也需受到同樣的監(jiān)管要求,而且這些用戶還需得到監(jiān)管機(jī)構(gòu)的審批,這些規(guī)定無疑會成為公有云計算在國內(nèi)重點行業(yè)普及的障礙。另外,法規(guī)對審計方面的要求也非常高,但是目前對云計算相關(guān)的安全審計標(biāo)準(zhǔn)、指導(dǎo)和措施都不夠成熟,另外云計算在建設(shè)初期往往只會關(guān)注功能的實現(xiàn)上,而忽略日志和記錄的維護(hù),這也需要引起重視。
簡單總結(jié)一下,大型企業(yè)級用戶使用公有云計算的路子還很長,一方面是安全問題難以解決,另一方面,即便是使用私有云,大量數(shù)據(jù)和應(yīng)用的遷移也會耗費多年的時間。而國內(nèi)多地政府主導(dǎo)的公有云計算目前多側(cè)重于計算能力和平臺即服務(wù)上,往往是政績項目,在應(yīng)用和安全方面明顯乏力;由互聯(lián)網(wǎng)大腕投資的云計算也多側(cè)重于網(wǎng)站建設(shè)及電子商務(wù)相關(guān)領(lǐng)域,顯然滿足不了大型組織的復(fù)雜企業(yè)應(yīng)用要求,最終注定公有云計算服務(wù)只能停留在較低層面的計算平臺、空間租用或簡單的大眾化應(yīng)用,也只能吸引來自非涉密行業(yè)、個人、家庭及中小企業(yè)買家的關(guān)注。
要解決上述云計算普及的最大障礙,關(guān)鍵是加強(qiáng)云計算服務(wù)商和潛在大客戶的安全意識教育,讓賣家了解如何提供安全的云計算服務(wù),如何做好服務(wù),讓買家了解如何挑選安全的云計算,如何管理外包服務(wù),只有雙方都清楚了這些,才能可能進(jìn)行下一步的溝通,才有合作的可能。
不能渴求立法和監(jiān)管機(jī)構(gòu)在產(chǎn)業(yè)尚未成型時便做出可操作性的規(guī)范或指南,向云計算的變革過程必定要經(jīng)歷一段動蕩期,能獲得大量客戶并保留住這些客戶的云計算廠家,一定是那些能證明自己的安全能力可以保護(hù)客戶的應(yīng)用程序和數(shù)據(jù)安全的,而要達(dá)到這一點,唯有從全體員工的信息安全意識教育抓起。
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
版權(quán)所有:中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號-2京公網(wǎng)安備11010502003583