云計算帶來新安全風(fēng)險

       作為第四次IT革命的云計算是當(dāng)今主流技術(shù)(虛擬化、分布式存儲、分布式計算、SOA、應(yīng)用調(diào)度等)的優(yōu)化整合提升，給傳統(tǒng)IT服務(wù)帶來新的商業(yè)模式。

       云計算除了資源整合共享導(dǎo)致成本降低之外，最核心優(yōu)勢就是能夠快速地滿足商業(yè)市場變化的需求。

       但是，正如老子道德經(jīng)所云“禍兮，福之所倚;福兮，禍之所伏”，云計算也帶來了新型網(wǎng)絡(luò)威脅、數(shù)據(jù)安全和隱私泄露的風(fēng)險，甚至在全球范圍內(nèi)已經(jīng)發(fā)生諸多云計算安全事件。

       美國《NetworkWorld》雜志2011年曾專門列出了全球發(fā)生過的十個最嚴重的云服務(wù)中斷事故，包括亞馬遜、谷歌、 Salesforce和微軟在內(nèi)的多家云服務(wù)提供商都曾因為云安全事故而遭受到不同程度的打擊，業(yè)務(wù)損失嚴重，微軟公司甚至因此全面停止提供 Sidekick智能手機的云數(shù)據(jù)服務(wù)。

       因此，如何更好地建立企業(yè)云計算的安全技術(shù)和安全策略管理標準體系，從而有效避免云計算所帶來的安全隱患，已成為行業(yè)日益關(guān)注的焦點。

       在采用云計算之前，企業(yè)通過安裝阻止非法訪問內(nèi)部網(wǎng)絡(luò)的硬件防火墻來定義安全邊界，也通過密碼認證等方式來限制和阻止非法用戶的訪問。在移動用戶很少和所有數(shù)據(jù)都在企業(yè)內(nèi)部的時代，這些安全策略是完全可行的。

       進入云時代之后，情況出現(xiàn)了極大的變化：訪問連接無處不在、信息交換多種多樣、之前信任的安全邊界被云計算不斷破壞與重組。因此，傳統(tǒng)靜態(tài)的安全控制已經(jīng)無法滿足云時代的動態(tài)特性。云計算的安全技術(shù)、安全策略、目標和防范措施都要求企業(yè)具有創(chuàng)新思維，要求企業(yè)重新定義企業(yè)網(wǎng)絡(luò)安全邊界。

       解決云計算特有安全問題

       不管采用什么云服務(wù)模型(IaaS、PaaS和SaaS)或云部署方式(公有云、私有云、混合云和社區(qū)云)，要滿足云端時代的安全需求，傳統(tǒng)信息安全的五大方面(加密、訪問控制、審計、認證、授權(quán)驗證)都需要解決云計算特有的問題，如資源虛擬化、多租戶、動態(tài)分配、特權(quán)用戶以及服務(wù)模式等云計算特性,造成信任關(guān)系的建立、管理和維護更加困難，服務(wù)授權(quán)和訪問控制變得更加復(fù)雜，網(wǎng)絡(luò)安全邊界變得模糊等，這些問題要求在現(xiàn)有安全技術(shù)基礎(chǔ)上提供更多的云安全技術(shù)和方案來解決。

       正是在這樣的云時代發(fā)展大趨勢下，中國電子信息產(chǎn)業(yè)集團于2012年先后成立了兩家專注于信息安全的企業(yè)：中電信息技術(shù)研究院和中電長城網(wǎng)際。

       秉承中央企業(yè)保障國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全為使命，以面向國家重要信息系統(tǒng)的高端咨詢和安全服務(wù)業(yè)務(wù)為主線，著眼于信息化發(fā)展的大趨勢和信息安全對抗的嚴峻局面，立足產(chǎn)業(yè)、突出國家信息安全頂層設(shè)計，提高國家信息安全咨詢與服務(wù)能力，帶動產(chǎn)品技術(shù)的不斷創(chuàng)新和產(chǎn)業(yè)化發(fā)展，為國家信息安全保障體系提供產(chǎn)業(yè)支撐。

       此外，中標軟件有限公司也將多年從事操作系統(tǒng)安全研發(fā)的經(jīng)驗應(yīng)用于云計算環(huán)境，打造出一個以安全為首要目標、面向私有云環(huán)境改造和建設(shè)的云操作系統(tǒng)。

       云安全固然是云計算應(yīng)用的首要挑戰(zhàn)和風(fēng)險，但是，我們也不能因噎廢食，只要接受行業(yè)云專家的專業(yè)咨詢服務(wù)，采用安全的云計算產(chǎn)品和解決方案，按照標準的企業(yè)云化的方法和路線圖以及專業(yè)的實施規(guī)范和流程，云計算這朵云一定會“化云為雨，潤澤大地”。

       韓乃平：中標軟件有限公司總經(jīng)理，中國軟件高級副總裁，研究員級高級工程師，"核高基"國家科技重大專項總體專家組成員，任中國軟件行業(yè)協(xié)會常務(wù)理事，開源及基礎(chǔ)軟件技術(shù)創(chuàng)新聯(lián)盟理事長。