构建云计算环境的安全检查与评估指标体系.pdf

构建云计算环境的安全检查与评估指标体系 国家信息中心 章恒 2014年11月5日 美国国家标准技术研究院（NIST ）对于云计算的 定义 宽带网 快速弹 可测量 按需自 络 性架构 服务 助服务 基本特征 虚拟化共享资源池 软件即服务 平台即服务 基础设施即 交付模式 （SaaS ） （PaaS ） 服务（IaaS） 部署模式 公有云 私有云 混合云 社区云 安全现状 安全事件 北京时间9月1 日早间消息，周日晚间，包括美国众多女星裸 照在内的许多明星照片开始在美国网站和Twitter上流传。 范围广 俄罗斯Elcomsoft公司已开发出一款工具，在无需用户Apple 危害重 损失大ID帐号的情况下即可收集iCloud上的备份文件。这一工具 速度快 能帮助司法部门分析被搜查的计算机。 高可靠、弹性、冗余”的云服务实际上并不可靠! 号称 “ 1 安全现状 1、国外云服务安全事件已处于高发态势，且 2、在我国，针对云服务的DDoS攻击还较普遍， 出现较多造成重大影响的事件，而我国云服务 国外则较少。 安全事件数量少、危害轻。  原因 ：一方面主要跟我国相关法律法规还不 2013年，国外三大云服务商亚马逊、微软、谷歌 太健全有关系，国外DDoS攻击就很少，因攻 均出现至少两次以上的大规模服务中断事故。同年， 击者将承担很大的法律责任。 苹果的iCloud服务发生多次故障。 另一方面，国外云服务面临的黑客攻击已不 差异原因 ：国内外云服务规模和所处阶段不同。我 再是常规的DDoS攻击，而是水平更高的攻击 国云服务市场规模甚至不及亚马逊一家企业的1/3 ， 方式，造成的后果也更严重。 我国云服务发展水平较发达国家落后3 ～5年。 3、国外云服务网络安全问题大部分也是传统 4、从国内外情况看，都是SaaS服务出现的安 问题，这与我国的情况是一致的 全问题最多，PaaS最少  国外 ：云服务安全事件有50%是传统网络攻击造  SaaS ：国外公开报道的业界重大云安全事件中， 成的，其次是软件漏洞和配置错误。 有44%来源于SaaS服务。调查数据显示，我国SaaS  国内 ：而据调查统计数据显示，国内典型云服务 服务企业暴露的安全问题占比超过50%。 企业所发生的19次安全事件中有10次属于传统网络  PaaS ：目前，提供PaaS服务的厂商不多 ，但PaaS 攻击造成的，占比达53%。 市场热度正不断提高，未来PaaS将爆发出更多问题。