構(gòu)筑安全“云

　　通信產(chǎn)業(yè)報記者 逄丹 盧子月 伊佳

　　在整個“云-管-端”的架構(gòu)中，最容易受到攻擊的是端。一些用戶認為“云”不安全而抗拒使用，其實往往是用戶自身對安全重視程度不高，導(dǎo)致賬戶密碼被竊，從而帶來相應(yīng)的安全危險。ISO14000認證

　　《通信產(chǎn)業(yè)報》(網(wǎng))：云計算在給人們的生活帶來便利的同時，也帶來了很多信息安全方面的挑戰(zhàn)。您認為云計算面臨哪幾方面的安全問題？ISO14000認證

　　林育民：云計算將面臨以下十個方面的安全問題：第一，黑客入侵云端服務(wù)器，竊取數(shù)據(jù)；第二，云服務(wù)提供商內(nèi)部員工竊取客戶敏感數(shù)據(jù)；第三，使用同一云服務(wù)供應(yīng)商的其他客戶，意外取得或竊取敏感數(shù)據(jù)；第四，云端資源遭到惡意濫用，被用來濫發(fā)垃圾郵件或做為惡意主機等；第五，將特定敏感數(shù)據(jù)傳輸至位于國外的云數(shù)據(jù)中心時，可能違反本地法律；第六，外國政府可以未經(jīng)客戶授權(quán)讀取當?shù)卦茢?shù)據(jù)中心內(nèi)的數(shù)據(jù)；第七，客戶不易對云服務(wù)提供商的安全控制措施和訪問記錄進行審計；第八，云服務(wù)供應(yīng)商設(shè)備管理不完善，導(dǎo)致服務(wù)中斷；第九，云服務(wù)供應(yīng)商倒閉，無法繼續(xù)提供服務(wù)；第十，用戶賬戶密碼被竊，云服務(wù)資源遭到盜用。

　　需要注意的是，在整個“云-管-端”的架構(gòu)中，最最容易受到攻擊的往往是端。目前對于很多用戶來說，他們認為是“云”不安全而抗拒使用云服務(wù)，其實往往是他們本身對安全重視程度不高，導(dǎo)致賬戶密碼被竊，從而帶來相應(yīng)的安全危險。

　　RamprasadKan：把一般網(wǎng)絡(luò)的數(shù)據(jù)安全風險與云計算的數(shù)據(jù)安全風險區(qū)分開來這很重要。云計算方面的主要風險是丟失訪問數(shù)據(jù)(云服務(wù)提供商的服務(wù)可能下降)并且對服務(wù)提供商數(shù)據(jù)中心的安全實施質(zhì)量缺乏透明度。

　　吳航：信息資源集中化使得安全風險集中化，所以云計算需要考慮到高可用性的設(shè)計；虛擬化下安全與實體安全差異很大，傳統(tǒng)的安全解決方案無法滿足虛擬化的需求，所以需要更加靈活的解決方案，如可以運行在VmwareEXSServer上軟件形態(tài)的安全網(wǎng)關(guān)用于保護虛機之安全；如同實體安全一樣，虛擬化下安全也需要全面的多層次的防護，從應(yīng)用到主機，從端點到網(wǎng)關(guān)，從硬件到軟件，從網(wǎng)絡(luò)層到應(yīng)用層。

　　《通信產(chǎn)業(yè)報》(網(wǎng))：通過云計算將用戶的資料都集中到一個地方存儲，這會不會增加了黑客攻擊的目標性，使得存儲的風險更大？

　　林育民：集中未必就比分散受到更多的攻擊風險。相反的是，在云計算背景下，企業(yè)將用戶的資料集中起來，相應(yīng)地也會建立集中式的防護機制。而以前的傳統(tǒng)做法是，由于大型企業(yè)有很多分支機構(gòu)，他們需要在每個分支機構(gòu)都要放防火墻之類的安全設(shè)備，導(dǎo)致安全設(shè)備臃腫，不利于管理，從而發(fā)生危險的可能性變得更大。而現(xiàn)在部署了集中的防護機制后，使得安全保護更加簡單高效，同時使得企業(yè)安全保護成本大幅度降低。從而有時間和資本去投入更多新的防御機制的建立中。

　　RamprasadKan：在技術(shù)上，云存儲擁有成熟的隔離技術(shù)，可以為即使共享的數(shù)據(jù)存儲提供隔離。重要的是，企業(yè)公共云架構(gòu)的主機應(yīng)用程序這種信息模式的數(shù)據(jù)不能被外部應(yīng)用程序訪問，這將降低黑客攻擊風險。所有數(shù)據(jù)都不會存儲在同一位置，云服務(wù)供應(yīng)商把數(shù)據(jù)存儲在多個區(qū)域以提供數(shù)據(jù)安全可靠性。

　　《通信產(chǎn)業(yè)報》(網(wǎng))：用戶將自己的信息交給云計算服務(wù)提供商，是否會有這樣的風險：云服務(wù)提供商將有可能窺視所有用戶的信息？您認為建立用戶與云服務(wù)提供商之間的信任需要具備哪些因素？云計算服務(wù)商如何保障用戶的隱私安全？

　　林育民：確實存在這種情況。不過，用戶肯定會選擇信譽度高的云服務(wù)提供商的服務(wù)，這些服務(wù)提供商一般都通過ISO27000和SAS70TYPEII國際安全標準的驗證，一般都具有較高的安全信譽等級和完善的安全保護措施。

　　此外，用戶還可以通過事后審計等各種措施來驗證云服務(wù)提供商的安全性。目前，云服務(wù)提供商一般都提供了更為安全的數(shù)據(jù)保護措施，例如使用Google的Gmail郵件服務(wù)，Google會提供給用戶兩個密碼，其中一個密碼由用戶自己來設(shè)定，是靜態(tài)密碼，與此同時，Google還會隨即發(fā)送給用戶一個動態(tài)密碼，這個密碼一般幾十秒就會更新一次，而且是發(fā)到用戶的手機上。這樣，即使黑客成功攻擊了用戶的PC，但由于沒有手機上的密碼，同樣無法獲取用戶的資料。

　　《通信產(chǎn)業(yè)報》(網(wǎng))：云計算的安全問題已經(jīng)成為信息安全領(lǐng)域的新課題。您認為云計算為信息安全領(lǐng)域的發(fā)展提供了哪些新的機遇？您認為應(yīng)該從哪幾方面研究來提升云計算的安全性？

　　RamprasadKan：IT服務(wù)提供商將在云安全服務(wù)方面發(fā)揮重要作用。多個公共云服務(wù)和內(nèi)部自建企業(yè)IT(應(yīng)用程序和基礎(chǔ)設(shè)施)的整合需要管理、降低風險以及法規(guī)管理。IT服務(wù)提供商可以通過位于客戶端技術(shù)管理各個方面的云安全。云服務(wù)的一些例子還包括動態(tài)數(shù)據(jù)泄漏檢測、報告和跟蹤、身份識別和訪問管理、敏感數(shù)據(jù)的標記化、應(yīng)用程序及網(wǎng)站的妥協(xié)檢測。

　　如今的成熟技術(shù)可以確保網(wǎng)絡(luò)數(shù)據(jù)和其他數(shù)據(jù)的安全。云服務(wù)提供商在數(shù)據(jù)中心執(zhí)行技術(shù)的透明度(針對客戶)非常重要，這些技術(shù)執(zhí)行包括數(shù)據(jù)備份、災(zāi)難恢復(fù)、他們保存數(shù)據(jù)的位置以及為審計訪問數(shù)據(jù)提供的各項設(shè)施。這種透明度將帶給客戶一定程度的信任感和安全感。除此之外，監(jiān)管機構(gòu)可以指定政策框架和標準化。云服務(wù)提供商也應(yīng)該能夠提供合同擔保，并愿意承擔數(shù)據(jù)丟失和其他代理商訪問的懲罰條款。

　　吳航：虛擬或云計算多為資源和系統(tǒng)的整合與集中，這就要求虛擬化下的安全解決方案要實現(xiàn)對虛擬環(huán)境下的流量情況，攻擊情況，用戶訪問情況可視化和可控化；應(yīng)對虛擬化技術(shù)將IT系統(tǒng)實施與變更周期較之以前數(shù)百倍的減少，需要新的業(yè)務(wù)流程與規(guī)范來應(yīng)對；資源的集中對硬件、設(shè)備自身的性能與高可用性技術(shù)帶來更高的要求。

　　林育民：云計算即帶來了云的安全問題，同時也給安全的發(fā)展帶來了新的機遇，即“安全云”。對于安全廠商而言，云計算的引入可以極大的提升其對病毒樣本的收集能力，減少威脅的相應(yīng)時間。云計算在安全領(lǐng)域的應(yīng)用可以極大的促進傳統(tǒng)安全行業(yè)的變革，安全廠商也可以實現(xiàn)“軟件+服務(wù)”的營銷模式。例如，賽門鐵克就在國外提供了“安全云”服務(wù)，受到很多用戶的青睞和租用。

　　《通信產(chǎn)業(yè)報》(網(wǎng))：電信運營商一直強調(diào)自己提供的服務(wù)是電信級的，相對于IT服務(wù)更具有質(zhì)量保障。您認為在提供云服務(wù)方面，電信運營商有哪些優(yōu)勢？

　　RamprasadKan：電信運營商擁有的IT服務(wù)優(yōu)勢將是該網(wǎng)絡(luò)的所有權(quán)，然而，IT服務(wù)商了解企業(yè)應(yīng)用和企業(yè)的業(yè)務(wù)流程需要。新興的云模式將展現(xiàn)一個電信和IT服務(wù)提供商的合作伙伴關(guān)系模式。電信作為獨立軟件運營商與IT服務(wù)提供商將創(chuàng)建一個新的云生態(tài)系統(tǒng)。

　　林育民：電信運營商具有不可比擬的網(wǎng)絡(luò)資源優(yōu)勢，這為其提供云服務(wù)帶來了極大的便利。此外，電信運營商在多年的網(wǎng)絡(luò)運營中，積累了豐富的運維經(jīng)驗，培養(yǎng)了一批高質(zhì)量的技術(shù)人員，這都是很寶貴的資源。

本頁關(guān)鍵詞：構(gòu)筑安全“云