云应用安全标准建设亟待加强.docVIP

云应用安全标准建设亟待加强云计算环境下，应用和操作均基于开放的网络，有别于传统网络，整个IT架构面临更多威胁及更大风险。从云计算应用的服务对象来看，主要涉及公共云应用安全、私有云应用安全及混合云应用安全；从服务层次来看，主要涉及终端用户云应用安全和云端的安全，包括IaaS安全（基础设施即服务）、PaaS安全（平台即服务）、SaaS安全（软件即服务）和虚拟化安全等。云计算应用安全涉及保障云计算应用的服务可用性、数据机密性和完整性、隐私权的保护、对物理安全的控制、对恶意攻击及法律法规风险的防范等诸多方面。 云计算应用安全是云计算各类应用健康和可持续发展的基础和催化剂，云计算的安全问题尚待解决，这已经成为影响云计算普及应用的关键障碍。 云应用安全发展特点 1、应用安全和数据安全的威胁正在扩大 在完全互联的世界里，安全正变得越来越重要，特别是随着云计算的快速发展，安全变成云服务不可或缺的部分，计算和数据资源的集中化带来了应用安全和数据安全的新问题。 云计算环境下，所有的应用和操作都是在网络上进行的。用户通过云计算操作系统将自己的数据从网络传输到“云”中，由“云”来提供服务。因此，云计算应用的安全问题实质上涉及整个网络体系的安全性问题，但是又不同于传统网络，云计算应用引发了一系列新的安全问题。 从云计算应用的服务对象来看，主要涉及公共云应用安全、私有云应用安全及混合云应用安全；从服务层次来看，主要涉及终端用户云应用安全和云端的安全，如基础设施即服务（IaaS）安全、平台即服务（PaaS）安全、软件即服务（SaaS）安全、虚拟化安全等。数据安全包括数据完整性、数据保密性和抗抵赖性等问题，风险不仅来自于数据丢失的隐患，还来自法规的冲突，例如法规要求对存储数据进行加密，但用户如何知道云计算服务提供商是否进行了加密，对跨国界云服务应适用哪种法规等。 2、数据主权的可控性面临严峻考验 在云时代，随着以苹果iCloud为样板的云服务模式逐渐普及，如果我国的主流云服务商均为跨国企业，借助同步、双向备份，海量数据流自然向跨国企业汇聚，这将导致更加严重的数据安全问题，或者称为数据主权问题。 数据主权不是新名词，它涉及到国家安全，不可不慎。如果跨国企业全面掌握了我国移动互联网领域的软件、应用和服务等市场，未来海量的金融、产业、消费者甚至是经济安全领域的信息就有可能通过数据挖掘等技术为人所用，我国数据主权面临的局势将极为严峻。 3、移动云服务面临新的安全挑战 从应用层面来看，随着移动互联时代的到来，越来越多的用户在移动设备上访问大量重要数据，用户将用智能手机为代表的移动设备来处理银行交易、游戏、社交网站和其他的业务，黑客将越发关注这一平台，丰富的应用和多样化的终端加重了信息安全问题。 移动互联网独特的随身性、身份可识别性产生了基于位置和身份的各种服务，移动行业信息化、移动办公、移动电子商务等都是容易受到攻击的热点区域。 此外，移动互联网的安全环境也比传统互联网复杂，威胁来源和易被攻击范围更加广泛，包含大量个人信息和机密信息的移动数据更容易引起黑客关注。而且，移动互联网所特有的“应用平台商店+个体应用开发者”的前店后场模式，使得监管和审查难度加大，恶意软件和黑客软件更加容易得手，从而造成了全民开发可能也是全民黑客的特殊局面。 从技术层面来看，移动云安全存在的主要安全威胁是恶意软件、保密性和访问认证，为保证云安全，要采取手机安全软件、云访问保护以及嵌入式身份保护等安全措施。移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面。 4、云应用安全领域未能形成合力 目前的云安全产品主要集中在应用的安全领域，国内安全软件厂商目前虽然有了一定的应用案例，但是云安全解决方案的数量、质量及厂商的实力与国外相比还存在一定的差距。因此，要实现云应用在关键领域的安全保障，还需要云平台提供商、系统集成商、云服务提供商、安全软件及硬件厂商等的共同努力。 云应用安全发展趋势 1、云计算与信息安全将深度融合 云计算与信息安全的融合表现在以下三个方面：一是用信息安全产品防范云计算中的安全威胁。重点解决云计算服务存在的安全隐患，包括数据丢失和数据完整性的保护、法规遵从、连带责任、可靠性、验证和授权以及信息生命周期管理等；二是把云计算技术用于信息安全产品中，如实现基于云计算技术的安全管理平台、终端安全管理产品、防病毒产品、数据丢失保护产品等；三是解决基于云计算的网络犯罪问题。网络犯罪将效仿企业使用基于云计算的工具，部署更有效率地远程攻击，甚至借此大幅拓展攻击范围，带来更大的安全危害，因此必须考虑应对云犯罪的防范手段。 2、云计算安全解决方案将更加丰富 随着云计算的全面推进，信息安全