您现在的位置:融合网首页 > 云计算 >

本期关注:云计算应对云安全挑战,政府监管需先行

来源:人民邮电报 作者: 陈其云 责任编辑:admin 发表时间:2013-07-04 18:05 
核心提示:云计算是一种通过网络统一组织和灵活调用各种ICT资源,实现大规模计算的信息处理方式。目前,国内外云计算服务面临较多的安全问题。2012年,三大云计算服务商亚马逊、微软、谷歌均出现至少两次的大规模服务中断事故。

云计算正在蓬勃发展。据有关统计数据显示,2012年中国云计算市场规模超过600亿元人民币,同比增长92.3%;2013年中国云计算市场规模将有望超过1100亿元人民币。市场发展的速度令人欣喜,不过也要看到,在云计算的发展中仍有一些问题需要解决。一直以来,云计算的安全都被看做行业发展的隐患,而日前发生的“棱镜门”事件更是引起了对这一话题的热议。云计算的发展之路注定不平坦。

云计算是一种通过网络统一组织和灵活调用各种ICT资源,实现大规模计算的信息处理方式。目前,国内外云计算服务面临较多的安全问题。2012年,三大云计算服务商亚马逊、微软、谷歌均出现至少两次的大规模服务中断事故。同年,苹果的iCloud服务发生大大小小共17次故障。由于用户规模较小,国内的云服务尚未出现大规模安全事故,但也存在一些问题,例如,2012年8月6日,盛大云主机发生磁盘损坏,造成了部分用户数据丢失。

云安全应如何保障?目前主要的应对措施还是技术手段,然而对于提升云安全的整体水平而言,政府监管以及相关法规的制定是必不可少的,且更具成效。因此,面对诸多云安全问题,我国政府应该进一步加大监管力度,加快相关政策和法规的制定,从宏观层面给予云计算更加全面、有力的安全保障。

云计算的7大安全问题

我国云服务到底面临哪些安全问题?通过对国内主要云服务商的调查发现,我国云服务现阶段主要面临七大安全问题。其中,虚拟化安全、共享环境下的数据安全、云平台应用程序安全等属于云服务模式下面临的新问题;海量用户的身份认证与访问控制、云服务运维和管理、内容合规性审查等体现了传统问题的一些新特点;而可用性与兼容性则属于传统的安全问题范围。

1 虚拟化的引入给云服务带来了新风险

虚拟化带来的新风险主要表现为虚拟机被滥用、虚拟机逃逸、多租户间隔离失效、虚拟机的安全策略迁移等。其中,虚拟机逃逸是指虚拟机和宿主机由隔离的状态变成联通状态,这将影响到Hypervisor(虚拟机监管层)上的所有虚拟机。虚拟机的安全策略迁移也是较棘手的问题,为保证虚拟机的安全,需要安全策略随虚拟机的迁移而自动快速建立起来,否则将导致出现安全空窗期,存在较大安全隐患。

2 共享环境下的数据安全是用户最担心的问题

在云服务模式下,用户非常担心托管于服务商处的数据是否会被泄露、篡改或丢失。用户数据面临的人为威胁主要来源于服务商、黑客、相邻恶意租户以及后续租户。服务商天然具有对存储于其设备上的用户数据的优先访问权,如何防范服务商内部人员(如系统管理员)对用户数据的非法访问和泄露是一个重要的问题。传输中的数据容易遭到黑客或恶意相邻租户的截获或篡改。后续租户可能恢复未经彻底删除的退租用户的数据。总体来看,用户数据面临的客观威胁主要是软硬件故障、电力中断、自然灾害等各类客观因素造成的云服务中的数据丢失。数据跨境流动问题是云服务的一个特别的问题。云服务商可在全球范围内动态迁移虚拟机镜像和数据,这不仅涉及跨国司法问题,国家的重要机密信息也可能因此泄露而对国家安全造成威胁。

3 云平台应用程序安全涉及每一类云服务

不管是SaaS、PaaS还是IaaS都存在应用程序安全问题,主要包括三类:一是恶意程序审查。在PaaS服务中,服务商需要审查用户上传的应用程序是否为恶意程序,否则,可能影响云平台的运行或造成其他不良影响。在IaaS服务中,服务商云平台上也容易被放置恶意攻击程序。二是应用程序接口安全。PaaS服务商需要提供各种接口供开发者调用,因此,不可避免会存在不安全的接口,也就容易被恶意用户利用。三是代码安全与测试。在PaaS服务中,应用程序本身的代码存在各种漏洞。SaaS服务商所提供的在线软件类应用程序也必须经过严格的代码安全审查与测试才能上线运营。

4 海量用户的身份认证与访问控制是一大难题

在云服务模式下,用户身份认证与访问控制面临新挑战:海量用户的身份认证与授权、访问权限的合理划分和账号、密码及密钥管理。云计算主要通过互联网对外提供服务,支持的用户数可能少则10万,多则100万、1000万甚至上亿。如何应对海量用户不断变化的业务和用户身份,需要云服务商对用户身份认证和接入管理实现完全自动化。在密钥管理方面,云服务商可能拥有用户用于加解密的密钥,这将导致数据的泄露。(责任编辑:admin)

  • “扫一扫”关注融合网微信号

免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。

今日头条

更多>>

热门关键字

关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号