云計算的發(fā)展帶來很多問題,有人就向我提出,云計算安全以后等級保護還做不做?我們把云計算是什么,是怎么發(fā)展來的搞清楚,就能夠發(fā)現(xiàn)。只要它還是一個信息系統(tǒng),就應該有信息系統(tǒng)的共性,就應該有信息系統(tǒng)的安全保護需求,就應該有等級保護去保護它,答案是肯定的。
現(xiàn)在云計算炒的不亦樂乎,全國很多省已經(jīng)建立了云計算中心,有些地市也已經(jīng)開始建立了,但是我們呼吁要謹慎,如果云計算沒有解決安全的問題,這個云是不可靠的,亂建就會亂套。
下面我們從3個方面來看看云究竟是什么,我們應當怎樣對待它。
一、基本概念
什么是云計算?維基百科認為云計算是一種能夠動態(tài)伸縮的虛擬化資源,通過互聯(lián)網(wǎng)以服務的方式提供給用戶的計算模式,用戶不需要知道如何管理那些支持云計算的基礎設施。這是比較理想的狀態(tài)。希望我們計算機不要編程,像自來水龍頭一樣,開了以后,水就下來了,像電燈開關一樣,打開電燈就亮了,但愿如此。但是問題沒有那么簡單,既然云計算是一種運營模式,把IT資源、數(shù)據(jù)和應用作為服務通過網(wǎng)絡提供給用戶,這意味著服務方式的改變—共享數(shù)據(jù)中心。還是與用戶應用對應的計算機系統(tǒng),只是計算模式的變化。
(1)計算模式發(fā)展歷史
計算模式變化規(guī)律是由集中到分散,從分散又到集中。20世紀6o年代,計算機水平低、成本高,只能建以大計算機為中心的機房,通過聯(lián)接功能簡單地終端共享計算機,以虛擬技術把大計算機資源分割給以終端對應用用戶使用,這就是集中計算模式。
隨著計算機小型化和降低成本。1970年左右。把大機房分散化,通過分布方式完成用戶的計算任務,形成了分布計算模式。
大規(guī)模集成電路出現(xiàn),計算機體積和成本降低到可以為個人做一臺計算機,于是1980年左右產(chǎn)生了個人計算機PC,形成了更為分散的桌面計算模式。但PC能力有限,需要通過互聯(lián)網(wǎng)把分散各地的計算機連接起來,形成虛擬超級的計算能力,1990年左右建立了以動態(tài)異構、虛擬共享為特點的網(wǎng)格計算模式。
網(wǎng)格計算是面向體系計算問題,而缺乏大量社會需要的事務處理的服務能力,2000年左右出現(xiàn)了面向服務的架構,形成了以事務處理為主的軟件服務計算模式。
面向服務體現(xiàn)在應用層面,而且都針對用戶和行業(yè)來建系統(tǒng),建設和運營成本還比較高,為進一步提高效率,降低成本,2010年左右提出了云計算模式,形成軟件(應用)、平臺、基礎設備三層服務架構,是更大規(guī)模的集中,將不同需求的用戶和行業(yè)信息系統(tǒng)融為一體成為云計算中心,以服務的方式完成不同計算服務??梢灶A料,再過若干年又會出現(xiàn)新的計算模式!
(2)云計算的特點
云計算的特點包括以下方面:
1)硬件和軟件都是資源,通過互聯(lián)網(wǎng)以服務的方式提供給用戶(寬帶接人)。
2)這些資源都可以根據(jù)需要動態(tài)擴展和配置(動態(tài)異構)。
3)這些資源在物理上以分布式的共享方式存在,但在邏輯上以單一整體的形式呈現(xiàn)(虛擬共享)。
4)用戶按需要使用云中的資源,按實際使用量付費(按需控制)。
(3)云計算的計算環(huán)境
依據(jù)云計算服務的計算環(huán)境可分為3層:基礎架構即服務(IaaS)、平臺即服務(PaaS)和軟件即服務(SaaS)。
基礎架構即服務提供基本的計算和存儲能力。
平臺即服務,通常也稱為“云計算操作系統(tǒng)”,為終端用戶提供基于互聯(lián)網(wǎng)的應用開發(fā)環(huán)境,包括應用編程接口和運行平臺等。
軟件即服務為用戶提供可以直接為其所用的軟件。
基礎架構和平臺構成計算節(jié)點,軟件支持應用。
(4)云計算的服務模式
依據(jù)云計算的部署方式和服務對象范圍可以分為3類:公共云、私有云和混合云。公共云是由若十企業(yè)和用戶共享使用的云環(huán)境。私有云是由某個企業(yè)獨立構建和使用不對公眾開放的云環(huán)境。混合云是指公共云與私有云的混合。
二、存在的安全問題
云安全聯(lián)盟與惠普公司共同列出了云計算的七宗罪,主要是基于對29家企業(yè)、技術供應商和咨詢公司的調(diào)查結果而得出的結論。
1)數(shù)據(jù)丟失/泄漏:云計算中對數(shù)據(jù)的安全控制力度并不是十分理想,API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數(shù)據(jù)泄漏,并且還可能缺乏必要的數(shù)據(jù)銷毀政策。
2)共享技術漏洞:在云計算中,簡單的錯誤配置都可能造成嚴重影響,因為云計算環(huán)境中的很多虛擬服務器共享著相同的配置,因此必須為網(wǎng)絡和服務器配置執(zhí)行服務水平協(xié)議(SLA),以確保及時安裝修復程序以及實施最佳做法。
3)供應商可靠性不易評估:云計算服務供應商對工作人員的背景調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問權限的控制力度有所不同,很多供應商在這方面做得還不錯,但并不夠,企業(yè)需要對供應商進行評估并提出如何篩選員工的方案。
4)身份認證機制薄弱:很多數(shù)據(jù)、應用程序和資源都集中在云計算中,而云計算的身份驗證機制如果很薄弱的話,人侵者就可以輕松獲取用戶賬號并登錄客戶的虛擬機。
5)不安全的應用程序接口:在開發(fā)應用程序方面,企業(yè)必須將云計算看作是新的平臺,而不是外包。在應用程序的生命周期中,必須部署嚴格的審核過程,開發(fā)者可以運用某些準則來處理身份驗證、訪問權限控制和加密。
6)沒有正確運用云計算:在運用技術方面,黑客可能比技術人員進步更快,黑客通常能夠迅速部署新的攻擊技術在云計算中自由穿行。
7)未知的風險:透明度問題一直困擾著云服務供應商,賬戶用戶僅使用前端界面,他們不知道他們的供應商使用的是哪種平臺或者修復水平,主要是管理的問題。
七宗罪說明了云安全狀況變化非???,比以往的信息系統(tǒng)問題更加嚴重,信息安全等級保護如何適應石計算,需要深人研究。對現(xiàn)有的防護措施應做相應的變化。
另外,云計算與以往的計算模式安全風險不同,云計算環(huán)境下,信息安全問題更嚴重、更突出,核心的問題在于兩個方面,首先是以前的信息系統(tǒng)都是自己建的,或者托管,在安全資源和基礎設備方面有可控性。在云計算的環(huán)境下,是由不可控不可信的經(jīng)營商統(tǒng)管IT資源和基礎設施,自己無法管理和控制。第二個問題就是更大規(guī)模異構共享和虛擬動態(tài)的運行環(huán)境難以控制,云計算是屬于動態(tài)變化的計算環(huán)境,這個運行環(huán)境在某種意義上是無序的。
三、信息安全等級保護技術框架
云計算中心是特殊的信息系統(tǒng),其安全等級保護應從技術和管理全面實施??蓞⒄誈B/T25070-2010 《信息系統(tǒng)安全等級保護設計技術要求》。建立安全可信的安全防護框架。按照17859評估準則,以訪問控制為核心構建可信計算基(TCB),實現(xiàn)自主訪問、強制訪問等分等級的訪問控制,在信息流程處理中加了控制和管理。
云中心一般由用戶網(wǎng)絡接人、訪問應用邊界、計算環(huán)境和管理平臺組成,可形成虛擬應用、虛擬計算節(jié)點以及虛擬(邏輯)計算環(huán)境,由此構建可信計算安全主體結構,即在安全管理中心支持下的可信通信網(wǎng)絡、可信應用邊界和可信計算環(huán)境三重防護框架。
管理平臺更重要,系統(tǒng)管理的標準就要比以前更加繁重,同時要管理物理的和虛擬的資源可信;安全管理的范圍也更廣,既要保證信息處理流程中的主客體授權和策略的正確,又要保證關于石管理者的授權和策略正確,由它統(tǒng)一實施;審計要負責云中心信息的追蹤和應急處理,還要給用戶提供相應的審計平臺。這樣構成了一個完整的技術與管理相結合的安全框架,與GB/T25010-2010要求是符合的。
來源:CIO時代網(wǎng)
版權及免責聲明:凡本網(wǎng)所屬版權作品,轉載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關法律責任的權力。凡轉載文章,不代表本網(wǎng)觀點和立場。版權事宜請聯(lián)系:010-65363056。
延伸閱讀
版權所有:中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)京ICP備11041399號-2京公網(wǎng)安備11010502003583