现在全国各地纷纷掀起智慧城市建设的热潮,众多企业开始尝试以公有云技术为核心提高IT资源利用,推动智能医疗、智能教育、智慧矿山等信息化建设,打造诸如电信云、市政云、教育云、社区云、旅游云等为各类上层应用提供支持。另外,全国各地包括运营商在内的大型企业都在推进IT私有云落地,提高企业IT系统效率。
然而,云技术引入带来的安全威胁,是当前云业务发展乃至未来网络社会的最大挑战。尤其是面临不断发生的云安全事件,企业不得不将构建端到端云安全体系作为当下需要解决的首要问题。
云时期安全问题显现
“当前的安全问题中有接近1/3是云服务带来的新的安全问题,这些新问题主要集中在虚拟机层面上。许多传统安全问题在云计算时代也有了新的表现形式,危害程度更深,影响范围更大。”工信部电信研究院规划设计所徐志发表示。
据中国联通相关人士介绍,云计算已逐步进入规模化发展阶段,信息安全重心已从边界防护转向数据保护。云计算的出现使得传统的网络边界不复存在,信息的所有权和管理权分离,信息资产的非授权访问成为云计算系统的关键安全问题。“云计算多租户环境、虚拟技术、动态性、数据迁移等综合因素导致数据安全和隐私保护面临更大挑战。”
工业和信息化部保障局副局长熊四皓在近期通信安全会议上表示,引入云计算面临的风险包括两方面,一方面信息安全的威胁,越来越多的组织和个人将信息存入云端,规模化和集中化的云中海量信息在传输存储过程中面临着破坏和丢失的安全风险。
第二方面云服务安全威胁,云服务汇集了大量计算机和网络设备,一旦发动攻击进给公共互联网安全带来巨大威胁。同时移动应用程序能够远程访问云服务,这也为网络攻击带来了更多的渠道。
因此,作为公有云服务提供的主体,政府、电信运营商、金融等各领域机构和企业需要保护自身云数据中心安全,还需要在为企业提供云服务的时候,保障企业的信息和数据安全。
以平安城市为例,高清视频及城市间的联网会产生大量数据,云计算的应用可以大大提高了系统的计算能力和存储能力、降低系统部署难度、减少管理和维护成本。但是由于涉及公共安全,平安城市所使用云系统的信息安全保障变的十分重要。
公有云面临五大安全挑战
在公有云服务方面,近年来我国未发生大规模和较严重的云服务安全事件,总体上处于安全问题初步萌发阶段,但是未来安全形势将变得复杂化。现阶段,我国云服务存在的大部分网络安全问题都属于传统安全问题,但也存在不少新问题或新表现。
据徐志发介绍,我国云服务网络安全面临五大挑战一是用户和服务商之间未建立起信任关系;二是目前我国云服务规模较小,运行时间短,未经历大规模用户及服务环境的安全考验,未来面临较多不确定性;三是云服务核心技术仍无法摆脱受制于人的境地,不掌握核心技术就是最大的安全隐患;四是我国云安全标准目前还处于空白状态,阻碍我国云服务快速发展;五是尚未专门针对云安全出台监管政策及法律法规,也未对现有政策及法律法规作相应修改。
面临公有云安全问题,业界该如何解决?徐志发建议,我国应建立云服务安全标准体系、等级评估机制和云安全联盟。对于标准体系建立具体步骤,我国可先行制定云服务安全的行业标准,并促进国家标准尽快出台;再在前期试点的基础上,联合试点企业推动加快建立我国云服务安全标准,形成体系,优先制定云服务;最后建立安全测评或安全等级评估规范、云计算数据保护指南、云计算安全事件响应指南与安全审计。
对于云服务安全等级评估机制建立,我国应在工信部领导下,成立第三方评估机构,开展我国云服务安全等级评估,结合IDC数据中心牌照发放,对提供云服务的数据中心进行评估认证。
产业链携手保障私有云
目前我国私有云发展较快。在电信行业,随着云数据中心、服务器虚拟化、桌面虚拟化等技术的发展,各地运营商都开始广泛吸收云计算和虚拟化技术带来的IT创新价值。当搭建私有云平台后,运营商 IT系统面临新的安全威胁,IT安全厂商如趋势科技、McAfee、山石网科、绿盟等,应该承担起自己的责任,各方携手为云计算提供安全解决方案。
山东电信IT技术相关负责人士介绍,任何一项创新的技术都有着两面性。以山东电信为例,在进行服务器云化和云桌面后,山东电信在提高兼容性并简化管理的同时,却遇到了安全、防毒管理的难题。在没有跨过这个阻碍之前,山东电信很多用户(包括使用iPad访问公文流转系统的领导)甚至因为虚拟桌面‘蜗牛一样的速度’决定放弃这个新应用,返回物理桌面。
在这个关口上,山东电信携手趋势科技、VMware等IT企业,在深入研究虚拟化产品特性和大量负载测试的基础上,通过趋势科技服务器深度安全防护系统(Deep Security)“无代理”防毒技术的部署,化解了虚拟化和云计算平台中常见的“启动风暴、防毒风暴、升级风暴”三大难题。