浅议云计算环境下安全风险及防范建议.docVIP

浅议云计算环境下安全风险及防范建议1 引言 云计算以低廉的成本、高效的计算资源利用率受到追捧。云计算飞速发展，云安全不容忽视。权威调查表明，云计算的安全问题是客户最关注的问题之一。 2 云计算的安全风险 在云计算的建设过程中，每个建设环节都可能导致安全问题，诸如物理机房环境的安全、网络的安全、应用系统的安全、数据存储的安全、管理平台的安全等。抛掉物理环境的安全不谈，其他几个环节可能导致的安全风险可以归结为以下几个方面。 (1) 用户数据泄露或丢失 这是目前云计算用户最为担心的安全风险，也是用户数据泄露的重要途径。用户数据在云计算环境中进行传输和存储时，用户本身对于自身数据在云中的安全风险并没有实际的控制能力，数据安全完全依赖于服务商，如果服务商本身对于数据安全的控制存在疏漏，则很可能导致数据泄露或丢失。现阶段可能导致安全风险的有以下几种典型情况：由于服务器的安全漏洞导致黑客入侵造成的用户数据丢失；由于虚拟化软件的安全漏洞造成的用户数据被入侵的风险；数据在传输过程中没有进行加密导致信息泄露；加密数据传输但是密钥管理存在缺失导致数据泄露；不同用户的数据传输之间没有进行有效隔离导致数据被窃取；用户数据在云中存储没有进行容灾备份等。 从这个角度看，云计算服务商在向用户推荐云计算服务时，需要和企业用户签署服务质量保证协议，并从技术和管理两个方面向用户进行安全保证，以减轻用户对于数据安全的担忧。 (2) 用户应用不能安全交付 云计算服务商在运行维护过程中，需要对整个云计算中心的服务器存储网络等资源进行运维管理。在这个过程中，任何运维管理环节的问题，都可能对用户的应用造成损害，如因为配置方面的疏忽，造成用户的虚拟化计算资源不足以正常运行业务系统；因为网络安全的配置错误导致互联网连接不通；因为服务商对公共安全风险如DDOS攻击防护不足导致用户对外的业务交付出现故障等。 (3) 内部人员数据窃取 企业的核心数据在云计算环境中的存储，离不开管理员的操作和审核，如果服务商内部的管理出现疏漏，将可能导致内部人员私自窃取用户数据，从而对用户的利益造成损害。在这种情况下，除了通过技术的手段加强数据操作的日志审计之外，严格的管理制度和不定期的安全检查十分必要。云计算服务供应商有必要对工作人员的背景进行调查并制定相应的规章制度，避免内部人员“作案”，并保证系统具备足够的安全操作的日志审计能力，在保证用户数据安全的前提下，满足第三方审计单位的合规性审计要求。 (4) 用户身份认证的安全 云计算服务商在对外提供服务的过程中，需要同时应对多租户的运行环境，保证不同用户只能访问企业本身的数据、应用程序和存储资源。在这种情况下，运营商必须要引入严格的身份认证机制，不同的云计算租户有各自的账号密码管理机制。如果运营商的身份认证管理机制存在缺陷，或者运营商的身份认证管理系统存在安全漏洞，则可能导致企业用户的账号密码被仿冒，从而使得“非法”用户堂而皇之地对企业数据进行窃取。因此，如何保证不同企业用户的身份认证安全，是保证用户数据安全的第一道屏障。 3安全风险的防范建议 如何处理好云安全问题是云服务提供商应当着力思考解决的问题，这是关乎云是否能落地的关键。而从接受云服务的用户端来说，建议用户选择采用云服务时可从以下步骤着手来保护自身数据安全，以防不测。 (1) 清楚决定哪部分业务应用参与云，并评估选择合适的云服务合作商。 在云时代，云提供的是根据具体应用需求进行定制化服务。作为企业用户，应该先思考好，哪一部分业务应用参与云，是私有云的搭建还是公有云的共享。根据具体的应用需求，评估合作商的适合性。评估合作商可以从合作商以往为其他用户提供过的类似服务进行参考，参考的类目包括服务有用性和贴近性、服务的中断率及问题解决间隔时间、服务的反馈优劣程度。 (2) 与选定合作商交流，拟出预警灾备方案。 企业用户决定接受云服务很大程度上是看重云服务的性价比高，然而安全性却是相对的。就比如选乘飞机，它的安全性是最高的同时也是最低的，飞机一出问题，乘客的存活率较其他交通工具而言是最低的。而云就是如此。企业用户必须与选定好的合作商沟通，设想出种种可能会出现服务中断的情况，包括硬件问题、外部攻击入侵、内容文档出错，等等。根据设想出来接受服务过程中可能出现的种种问题，企业和合作商也就是云服务提供商共同拟出预警和灾备举措。 (3) 企业用户开发身份认证系统和制定内部监控机制。 在数据贵重堪比黄金的当下，企业放在云端的数据必须确保安全存放。企业用户可以与合作商开发身份认证系统，设定关卡，确保只有企业用户放在云端的该应用的相关人员和所需共享人员能够访问，而第三方无关人员无权进入。应用数据存储云端，除了云服务提供商会建立相应的监控机