政府監(jiān)管:云安全的保證

2013-10-17 10:53:54 人民郵電報(bào)　點(diǎn)擊量：評(píng)論 (0)

云計(jì)算正在蓬勃發(fā)展。據(jù)有關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，2012年中國(guó)云計(jì)算市場(chǎng)規(guī)模超過(guò)600億元人民幣，同比增長(zhǎng)92 3%;2013年中國(guó)云計(jì)算市場(chǎng)規(guī)模將有望超過(guò)1100億元人民幣。市場(chǎng)發(fā)展的速度令人欣喜，不過(guò)也要看到，在云計(jì)算的發(fā)

云計(jì)算正在蓬勃發(fā)展。據(jù)有關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，2012年中國(guó)云計(jì)算市場(chǎng)規(guī)模超過(guò)600億元人民幣，同比增長(zhǎng)92.3%;2013年中國(guó)云計(jì)算市場(chǎng)規(guī)模將有望超過(guò)1100億元人民幣。市場(chǎng)發(fā)展的速度令人欣喜，不過(guò)也要看到，在云計(jì)算的發(fā)展中仍有一些問(wèn)題需要解決。一直以來(lái)，云計(jì)算的安全都被看做行業(yè)發(fā)展的隱患，而日前發(fā)生的“棱鏡門”事件更是引起了對(duì)這一話題的熱議。云計(jì)算的發(fā)展之路注定不平坦。
云計(jì)算是一種通過(guò)網(wǎng)絡(luò)統(tǒng)一組織和靈活調(diào)用各種ICT資源，實(shí)現(xiàn)大規(guī)模計(jì)算的信息處理方式。目前，國(guó)內(nèi)外云計(jì)算服務(wù)面臨較多的安全問(wèn)題。2012年，三大云計(jì)算服務(wù)商亞馬遜、微軟、谷歌均出現(xiàn)至少兩次的大規(guī)模服務(wù)中斷事故。同年，蘋果的iCloud服務(wù)發(fā)生大大小小共17次故障。由于用戶規(guī)模較小，國(guó)內(nèi)的云服務(wù)尚未出現(xiàn)大規(guī)模安全事故，但也存在一些問(wèn)題，例如，2012年8月6日，盛大云主機(jī)發(fā)生磁盤損壞，造成了部分用戶數(shù)據(jù)丟失。
云安全應(yīng)如何保障？目前主要的應(yīng)對(duì)措施還是技術(shù)手段，然而對(duì)于提升云安全的整體水平而言，政府監(jiān)管以及相關(guān)法規(guī)的制定是必不可少的，且更具成效。因此，面對(duì)諸多云安全問(wèn)題，我國(guó)政府應(yīng)該進(jìn)一步加大監(jiān)管力度，加快相關(guān)政策和法規(guī)的制定，從宏觀層面給予云計(jì)算更加全面、有力的安全保障。
云計(jì)算的7大安全問(wèn)題
我國(guó)云服務(wù)到底面臨哪些安全問(wèn)題？通過(guò)對(duì)國(guó)內(nèi)主要云服務(wù)商的調(diào)查發(fā)現(xiàn)，我國(guó)云服務(wù)現(xiàn)階段主要面臨七大安全問(wèn)題。其中，虛擬化安全、共享環(huán)境下的數(shù)據(jù)安全、云平臺(tái)應(yīng)用程序安全等屬于云服務(wù)模式下面臨的新問(wèn)題;海量用戶的身份認(rèn)證與訪問(wèn)控制、云服務(wù)運(yùn)維和管理、內(nèi)容合規(guī)性審查等體現(xiàn)了傳統(tǒng)問(wèn)題的一些新特點(diǎn);而可用性與兼容性則屬于傳統(tǒng)的安全問(wèn)題范圍。
虛擬化的引入給云服務(wù)帶來(lái)了新風(fēng)險(xiǎn)
虛擬化帶來(lái)的新風(fēng)險(xiǎn)主要表現(xiàn)為虛擬機(jī)被濫用、虛擬機(jī)逃逸、多租戶間隔離失效、虛擬機(jī)的安全策略遷移等。其中，虛擬機(jī)逃逸是指虛擬機(jī)和宿主機(jī)由隔離的狀態(tài)變成聯(lián)通狀態(tài)，這將影響到Hypervisor(虛擬機(jī)監(jiān)管層)上的所有虛擬機(jī)。虛擬機(jī)的安全策略遷移也是較棘手的問(wèn)題，為保證虛擬機(jī)的安全，需要安全策略隨虛擬機(jī)的遷移而自動(dòng)快速建立起來(lái)，否則將導(dǎo)致出現(xiàn)安全空窗期，存在較大安全隱患。
共享環(huán)境下的數(shù)據(jù)安全是用戶最擔(dān)心的問(wèn)題
在云服務(wù)模式下，用戶非常擔(dān)心托管于服務(wù)商處的數(shù)據(jù)是否會(huì)被泄露、篡改或丟失。用戶數(shù)據(jù)面臨的人為威脅主要來(lái)源于服務(wù)商、黑客、相鄰惡意租戶以及后續(xù)租戶。服務(wù)商天然具有對(duì)存儲(chǔ)于其設(shè)備上的用戶數(shù)據(jù)的優(yōu)先訪問(wèn)權(quán)，如何防范服務(wù)商內(nèi)部人員(如系統(tǒng)管理員)對(duì)用戶數(shù)據(jù)的非法訪問(wèn)和泄露是一個(gè)重要的問(wèn)題。傳輸中的數(shù)據(jù)容易遭到黑客或惡意相鄰租戶的截獲或篡改。后續(xù)租戶可能恢復(fù)未經(jīng)徹底刪除的退租用戶的數(shù)據(jù)。總體來(lái)看，用戶數(shù)據(jù)面臨的客觀威脅主要是軟硬件故障、電力中斷、自然災(zāi)害等各類客觀因素造成的云服務(wù)中的數(shù)據(jù)丟失。數(shù)據(jù)跨境流動(dòng)問(wèn)題是云服務(wù)的一個(gè)特別的問(wèn)題。云服務(wù)商可在全球范圍內(nèi)動(dòng)態(tài)遷移虛擬機(jī)鏡像和數(shù)據(jù)，這不僅涉及跨國(guó)司法問(wèn)題，國(guó)家的重要機(jī)密信息也可能因此泄露而對(duì)國(guó)家安全造成威脅。
云平臺(tái)應(yīng)用程序安全涉及每一類云服務(wù)
不管是SaaS、PaaS還是IaaS都存在應(yīng)用程序安全問(wèn)題，主要包括三類：一是惡意程序?qū)彶椤Ｔ赑aaS服務(wù)中，服務(wù)商需要審查用戶上傳的應(yīng)用程序是否為惡意程序，否則，可能影響云平臺(tái)的運(yùn)行或造成其他不良影響。在IaaS服務(wù)中，服務(wù)商云平臺(tái)上也容易被放置惡意攻擊程序。二是應(yīng)用程序接口安全。PaaS服務(wù)商需要提供各種接口供開(kāi)發(fā)者調(diào)用，因此，不可避免會(huì)存在不安全的接口，也就容易被惡意用戶利用。三是代碼安全與測(cè)試。在PaaS服務(wù)中，應(yīng)用程序本身的代碼存在各種漏洞。SaaS服務(wù)商所提供的在線軟件類應(yīng)用程序也必須經(jīng)過(guò)嚴(yán)格的代碼安全審查與測(cè)試才能上線運(yùn)營(yíng)。
海量用戶的身份認(rèn)證與訪問(wèn)控制是一大難題
在云服務(wù)模式下，用戶身份認(rèn)證與訪問(wèn)控制面臨新挑戰(zhàn)：海量用戶的身份認(rèn)證與授權(quán)、訪問(wèn)權(quán)限的合理劃分和賬號(hào)、密碼及密鑰管理。云計(jì)算主要通過(guò)互聯(lián)網(wǎng)對(duì)外提供服務(wù)，支持的用戶數(shù)可能少則10萬(wàn)，多則100萬(wàn)、1000萬(wàn)甚至上億。如何應(yīng)對(duì)海量用戶不斷變化的業(yè)務(wù)和用戶身份，需要云服務(wù)商對(duì)用戶身份認(rèn)證和接入管理實(shí)現(xiàn)完全自動(dòng)化。在密鑰管理方面，云服務(wù)商可能擁有用戶用于加解密的密鑰，這將導(dǎo)致數(shù)據(jù)的泄露。
云服務(wù)運(yùn)維和管理措施尚未跟上
當(dāng)前，云服務(wù)安全運(yùn)維效率低下。首先，特權(quán)用戶如管理員的過(guò)失行為可能造成服務(wù)中斷等嚴(yán)重后果。其次，云服務(wù)的運(yùn)維層級(jí)發(fā)生了變化。原來(lái)基于物理主機(jī)的監(jiān)控不再有效——尚無(wú)法有效監(jiān)控虛擬主機(jī)是否已經(jīng)出現(xiàn)問(wèn)題。同時(shí)，我國(guó)云服務(wù)還處于發(fā)展初期，云服務(wù)商在管理上的漏洞較多，對(duì)運(yùn)維人員缺少針對(duì)性管理，缺少專門的機(jī)構(gòu)、崗位和管理制度等。
可用性與兼容性仍需重點(diǎn)關(guān)注
云計(jì)算基于開(kāi)放的互聯(lián)網(wǎng)提供服務(wù)，面臨眾多未知的安全風(fēng)險(xiǎn)，云服務(wù)出現(xiàn)不可用情況的原因主要包括：DDoS攻擊和僵尸網(wǎng)絡(luò)、Web服務(wù)攻擊、軟硬件故障、電力中斷和自然災(zāi)害等。由于云服務(wù)商對(duì)應(yīng)用程序開(kāi)發(fā)有較多限制，如開(kāi)發(fā)語(yǔ)言、開(kāi)發(fā)規(guī)范等，這給PaaS服務(wù)中應(yīng)用程序的遷移帶來(lái)了兼容性方面的安全問(wèn)題。
內(nèi)容合規(guī)性審查變得更加困難
在云服務(wù)中，由于信息與其發(fā)布載體動(dòng)態(tài)綁定(可以支持公網(wǎng)IP地址、域名與云節(jié)點(diǎn)的動(dòng)態(tài)綁定)，使得對(duì)有害內(nèi)容的定位和封堵變得異常困難。同時(shí)，境外云計(jì)算服務(wù)節(jié)點(diǎn)通常提供共享訪問(wèn)的SSL(安全套接層)加密通道，除證書發(fā)行商名字、IP、端口外無(wú)法檢測(cè)任何內(nèi)容，這使得傳統(tǒng)的內(nèi)容過(guò)濾無(wú)從下手。
依托有力監(jiān)管保障云安全
除了依靠技術(shù)手段，政府部門還應(yīng)著力推進(jìn)監(jiān)管政策及法律法規(guī)的制定與實(shí)施，以實(shí)現(xiàn)云服務(wù)的安全監(jiān)管。監(jiān)管政策和法律法規(guī)作為上層建筑，從宏觀層面影響著所有具體業(yè)務(wù)。良好的監(jiān)管環(huán)境有利于建立用戶與云服務(wù)商的信任關(guān)系，提升用戶信心。我國(guó)在云安全方面尚未正式出臺(tái)針對(duì)性的監(jiān)管政策和法律法規(guī)，因此，為促進(jìn)我國(guó)云服務(wù)健康發(fā)展，政府應(yīng)從以下幾個(gè)方面著手。
首先，從國(guó)家層面加強(qiáng)云服務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全、個(gè)人隱私保護(hù)、知識(shí)產(chǎn)權(quán)保護(hù)、數(shù)據(jù)跨境流動(dòng)等方面的法律法規(guī)建設(shè)。在我國(guó)出臺(tái)的第一部針對(duì)網(wǎng)絡(luò)信息保護(hù)的法律，即《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》的框架下，根據(jù)云服務(wù)的特點(diǎn)制定個(gè)人隱私保護(hù)、數(shù)據(jù)跨境流動(dòng)等方面的法律法規(guī)或先行制定相應(yīng)的部門規(guī)章，以保障我國(guó)云服務(wù)健康有序發(fā)展和保護(hù)用戶的合法權(quán)益。針對(duì)云服務(wù)數(shù)據(jù)跨境流動(dòng)問(wèn)題，國(guó)外已有一些法規(guī)如歐盟《數(shù)據(jù)保護(hù)指令》適用于云服務(wù)。我國(guó)應(yīng)盡快出臺(tái)相關(guān)規(guī)定，改變我國(guó)在國(guó)際上的被動(dòng)地位。
其次，完善云服務(wù)安全事前準(zhǔn)入、事中監(jiān)測(cè)和事后處罰與退出機(jī)制。新版《電信業(yè)務(wù)分類目錄》已公開(kāi)征求意見(jiàn)，其中將云計(jì)算作為互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)和在線數(shù)據(jù)處理及交易處理業(yè)務(wù)納入電信業(yè)務(wù)監(jiān)管范圍。除了準(zhǔn)入政策，還應(yīng)對(duì)云服務(wù)商的日常安全運(yùn)營(yíng)進(jìn)行監(jiān)督管理，對(duì)出現(xiàn)問(wèn)題的云服務(wù)商有相應(yīng)的響應(yīng)機(jī)制、責(zé)任認(rèn)定、處罰和退出機(jī)制。
最后，應(yīng)推動(dòng)政府及重要行業(yè)關(guān)于采購(gòu)IT服務(wù)的法律法規(guī)修訂，對(duì)政府及重要行業(yè)采購(gòu)云服務(wù)作出明確規(guī)定。例如，規(guī)定政府、金融、醫(yī)療衛(wèi)生、軍事國(guó)防等擁有私人或敏感信息的單位只能使用國(guó)內(nèi)云服務(wù)商的服務(wù)，且必須將數(shù)據(jù)存儲(chǔ)在本國(guó)境內(nèi)等。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊