云安全发展面临的几个技术难题

    （3）本地化的虚拟机和物理服务器使用相同的操作系统，以及企业和云服务器环境的web应用程序，增加了攻击者或恶意软件利用这些系统和应用程序中漏洞的远程威胁。当它们在私有云和公众云之间移动时，虚拟机很容易受到攻击。一个完全或部分共享的云环境可望有更大的攻击面，因此可以认为专用的资源环境有更大的风险。

    （4）操作系统和应用程序文件在一个虚拟化云环境中共享的物理基础设施上，并要求系统、文件和活动监测提供给企业客户有信心和可审计的证据，证明他们的资源没有被泄露或篡改。在云计算环境中，企业订购云计算资源，打补丁的责任在用户，而不在云计算供应商。对于补丁维护必须保持警惕是必要的。在这方面缺乏应有的努力可能使任务迅速变得不可管理或不可能完成，留给你的是“虚拟补丁”作为惟一的选择。

    2.4 法律政策和标准尚不成熟

    随着时间的推移，大多数企业的业务都必须转移到云端，在云中会使得遵守法规和行业标准的过程更为复杂，也将更具挑战性。因为它可能使客户难以辨别其数据是在云服务供应商还是供应商合作伙伴控制的网络上，这提出了数据隐私、隔离和安全性的各种法规遵守问题。许多法规遵循规定要求数据不能与其他数据混杂，如在共享的服务器或数据库上。有些国家严格限制关于其本国公民的哪些数据可以保存多长时间，有些银行监管要求客户的财务数据保留在其本国。因此，政府的政策需要改变，以响应云计算带来的机会和威胁。这可能会集中于个人数据离岸和隐私的保护，无论数据是由第三方或转移到海外另一个国家控制，都将有一个相应的安全性下降。同时，目前各种云标准林立，互不兼容，导致业务割裂，系统混乱。

    2.5 云计算的稳定性和可靠性问题

    拥有适当的故障恢复技术是一个常常被忽视的云安全的组成部分。如果一个非关键任务的应用程序下线，公司仍能够生存，但是对于关键任务应用，这可能并非如此。主营业务实践提供了竞争差异。安全需要移动到数据级，因此，企业可以确保数据在所有的地方得到保护，敏感数据是由企业而不是云计算供应商负责。

    3 解决云计算安全的策略

    云计算是一种公众服务，其带来的安全问题错综复杂，需要技术、标准、监管、法律等各方面结合起来，多管齐下共同解决安全问题。

    3.1 搭建可信云计算环境

    可信链传递是从基础设施可信根出发，度量基础设施、计算平台可信，验证虚拟计算资源可信，支持应用服务的可信，确保计算环境可信。可信接入是验证用户请求和连接的计算资源可信（如图1）。

    3.2 构筑可信云计算体系架构

    云计算的安全体系结构（如图2）总体上应该包括应用层安全、主机安全和网络安全，但具体的划分方式见仁见智，本文将云计算安全防御体系建设在安全管理中心支撑下的可信计算环境、可信边界接入和可信网络通信三重防御架构。一个完整的云计算安全模型，应该是以身份认证（身份鉴别）为基础、以数据安全（数据加密）和授权管理（访问控制）为核心，以监控审计（安全审计）为辅助的安全防御体系。

    3.3 建立云计算服务分级分类安全管理制度

    作为计算机信息系统重要发展方向之一的云计算系统，按照“分区分域、纵深防御”的原则，实行信息安全等级保护，建立健全云计算安全防御体系，是从整体上、根本上解决其安全问题的有效办法，已经成为关系到国家信息安全与信息产业发展的战略工程。

    按照使用对象、使用范围、业务模式可以将云服务业务划分为不同的安全等级要求，如根据使用对象划分分为面向政府、企业和普通用户的云服务，根据使用范围划分为私有云、公有云、混合云等，根据业务模式划分为提供信息、软件和基础设施资源的云服务，并根据每个等级的特点和需求制定安全防护标准和等级保护制度。应将各类安全防护手段落实到各个等级区域边界中，从而保证各级安全目标的实现。同时，可建立诚实可信的第三方公共云服务平台，如为中小企业提供服务的、由政府创办的公共云服务平台。

    3.4 加强云计算安全技术的研发

    各种信息安全技术的应用主要在技术层面上为信息安全提供具体的保障。从技术层面来说，加强云计算安全技术的研发，是解决云计算安全问题的关键点。因此，要针对云计算技术和业务特点建设更有针对性的技术管控手段。云计算服务进一步降低了互联网业务的开发和应用门槛，并为信息提供了更加便捷、低廉的传播渠道，因此需配套建设强有力的技术管控手段，如业务开发审计系统、违法有害信息发现和过滤系统、违法网站及应用定位及处置系统以及日志留存系统等技术手段。要加强对身份的保护、基础设施的保护和信息数据的保护等方面相关技术的研发，从而有效促进云计算安全问题的解决。

    3.5 加强云计算相关标准的研究制定

    建立统一的信息安全标准，其目的是为信息安全产品的制造、安全的信息系统的构建、企业或组织安全策略的制定、安全管理体系的构建以及安全工作评估等提供统一的科学依据。目前，云标准尚无定论。各种业务割裂，不兼容，系统混乱。因此，应尽快启动云计算的理论研究和标准研发工作，尽快规划入云信息的分类规范，尽快建立云计算服务平台的建设规范和对运营服务软件的验收规范，防止其预留后门，还应尽快建立入云企业的信息安全管理规范，以确保云计算得到健康有序的发展。特别是要改变目前标准仅围绕特定的关键技术或者领域，仅有零星特定技术标准的现状，加强高层次标准的研究制定，特别是安全技术标准的研究和制定，为安全解决方案提供技术基础和规范依据。

    4 结束语

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!