云计算服务数据安全风险及应对建议.pdfVIP

网域前沿

InfosecSpotlights

云计算服务数据安全风险及应对建议

文│中国电子技术标准化研究院朱雪峰胡影王秉政

前，云计算服务在经济发展中深度融安全责任空白。

当（二）云平台自身存在脆弱性，给数据安

合应用，被党政机关、关键信息基础

设施运营者以及各行业有关单位采购和使用。政全防护提出更高要求

务数据、金融数据、电子数据、医疗数据等各种云平台依赖于供应链中的多个组件和服务，如

类型数据逐步在云平台上部署。云计算服务借助硬件、软件、网络等，供应链中的任何环节存在漏

自身性价比高、灵活性强、实时监控、及时发现洞或恶意行为，都可能直接威胁到云平台的安全性，

等特点，确保数据上云后的使用效率、管理能力、特别是云平台一些关键设备和组件可能依赖外国供

安全保障等方面得到进一步提升。与此同时，存应商，这些供应商可能受到所在国法律的影响，存

在一系列云平台特有的数据安全问题数据安全问在供应链中断的风险。云平台通常基于复杂的技术

题，如数据安全责任边界划分不清、敏感数据和堆栈构建，涉及大量的组件、服务和交互，这种复

个人信息未进行专门保护、大量数据传输存储等杂性增加了安全漏洞和错误配置的可能性，使云平

关键环节未加密，以及未经云服务用户同意处理台更容易受到攻击。身份验证和访问控制是云平台

云平台数据等问题突出。安全的关键环节，部分平台身份验证机制不完善，

或者访问控制策略配置不当，可能导致未经授权的

一、云计算服务数据安全风险访问和数据泄露。IBM发布的《云威胁形势报告》

显示，2023年新增了632个新的云相关安全漏洞，

云平台上承载了大量关系国计民生的业务系相比一年前增加了194%，主要原因在于云环境中

统和数据，如果数据安全管理不到位，技术防护使用的应用程序和服务数量的不断增加，如Log4j

措施不严谨，将可能产生重大的数据安全风险，漏洞仍有被滥用迹象。

直接影响国家安全和社会生产生活有序开展。（三）云平台数据安全管理技术手段不足，

（一）云计算服务数据安全责任边界划分数据泄露风险高企

不清，给数据安全管理带来挑战部分云平台数据传输和共享过程所使用的加

云计算服务主要涉及云计算服务提供方、云密机制存在缺陷和不足，若加密算法存在漏洞或

计算服务用户以及为云平台提供产品、服务的第密钥管理不当，可能导致数据泄露和损坏。当前，

三方供应商等角色，平台上收集存储了用户上云云平台数据分类分级工具技术能力不足，对重要

的业务数据、生产数据，提供方依托云平台产生数据、个人信息未进行标注，并且对非结构化文

的日志、系统、操作、配置等数据。服务商、用件标注不全且不及时，缺乏对云上重要数据、个

户甚至第三方在特定场景下均会接触、处理用户人信息进行专门的保护。在云数据迁移过程中，

数据、平台数据，责任权属如何划分直接关系到部分数据迁移不彻底，备份数据得不到合理处置，

云上数据安全。在调研中发现，部分用户认为数导致数据泄露。一些云平台存在随意收集、违法

据上云后的安全应该由服务商负责，部分服务商获取、过度使用用户个人信息，侵害了公民个