首页 > 资讯 > CAE其它 > > 云计算时代加强信息安全保护问题的若干思考

云计算时代加强信息安全保护问题的若干思考

发布: Simwe    来源:万方数据    发布时间:2012-05-30    收藏】 【打印】  复制连接 【 】 我来说两句:(0逛逛论坛

云计算是一种共享IT基础设施的架构方法,它允许任何有权限的用户通过网络访问共享的计算资源,但由于行业标准的缺失,市场上不同厂商所提供的云服务并不相同,甚至互不兼容。随着时间的推移,云计算概念不断扩展,涵盖的服务范围也越来越广:我国各行各业的云计算时代正在到来,据中围电子信息产业发展研究院不久前发布的《2011-2015年云计算行业市场全景调研及投资评估深度研究报告》调研分析和预测数据显示,2010年中国云计算市场规模达到167.31亿元,相比2009年的92.23亿元,同比增长81.4%,预计到2012年将突破600亿元。当前,中国云计算产业处在产业突破的前夜。未来三到五年内,云计算市场平均年复合增长率将达到27.4%。预计,2014年全球云服务市场会达到550亿美元。成本低廉、灵活扩展、上线及时是驱动企业选择云计算方案的主要动力。相比综合实力较强的大型企业,中小企业对云计算服务的需求更大。2011年,中小企业云计算市场空间将超过大型企业市场。截止到2010年,仅有7%的中小企业使用了云计算服务。

云存储是云计算的存储部分,即虚拟化的、易于扩展的存储资源池。云存储意味着存储可以作为一种服务,通过网络提供给用户。用户可以通过若干种方式来使用存储,并按使用付费。据来自SpringboardResearch的一份研究报告显示,国内云存储市场在近几年内会得到迅猛的发展。国内的云存储服务市场将由2009年的605万美元快速增长至2014年的2.0854亿美元。各类中型企业或其它组织机构将成为中围第一轮大规模采用云存储服务的单位,其中就包括各类制造企业。Springboard公司认为,降低总体拥有成本和简单而快速的实施是驱动整个云存储市场的主要因素。有限的IT预算和集中于核心业务的投资,将使得中型企业成为驱动市场首次广泛采用云存储服务的动力之源。采用云存储服务将帮助这些企业主有效地降低固定资产投入(CAPEX),并保护企业的资本流动性。云存储服务提供商中,传统的主机托管服务提供商将成为市场的倡导者,他们将倾向于更多的云存储服务投资,并重新包装其现有的托管服务。交通运输业、制造业和公共事业部门等领域都酝酿着对云存储的高潜在需求。

根据Springboard的报告显示:“在中国的交通运输业、制造业、公共事业以及能源业,云存储服务将有高潜在需求。云存储服务将吸引客户,以便于处理多区域多行业客户。公共事业以及能源业客户将会在政府政策鼓励下逐渐采用云存储服务。云存储服务将为其提供充足的存储技术支持,并为其降低现场部署设备和维护成本。对于制造业,云存储服务将为客户提供最新存储技术和与现有应用程序无缝连接的存储能力。制造行业客户,尤其是那些尚不具有成熟数据中心并已花费高昂IT成本用于维护生产系统信息化管理的客户,将对云存储服务具有高潜在的需求。”国内的云存储市场需求很大,企业需要的不仅是云存储服务,更需要系统云存储的解决方案,目前国内的厂商在这方面做得并不好,而国外的一些厂商已经提出了自己的解决方案,这一点值得我们学习。

云存储已经成为未来存储发展的一种趋势,目前云存储厂商正在将各类搜索技术、应用技术和云存储相结合,以便能够向企业提供一系列的数据服务,但是未来中国云存储市场的发展趋势,主要还是要从安全性、便携性及数据访问等方向进行发展。

但是,我们也必须看到.尽管云计算和云存储有着诸多优势,政府部门、企业和各类组织机构在选择云计算服务时仍有顾虑。多项调查表明,云计算的潜在安全风险是应用部署云平台的主要阻力,云存储的安全性也是阻碍典陕速普及的主要原因之一。从目前来看,云计算产业仍处于发展初期,企业还不能将完全信任地交付给服务提供商。随着时间的推移,云计算技术会逐渐成熟,企业的接受程度会不断提高.预计今后几年云计算的市场认可度将提高30%以上。当前最值得注意的是云存储的安全性。从云计算诞生之日起,安全性一直是企业实施云计算首要考虑的问题之一,同样在云存储方面安全也是只需要考虑的问题,对于想要进行云存储的客户来说,安全性通常是首要的商业考虑和技术考虑。但是,许多用户对云存储的安全要求高于自己的架构所能提供的安全水平。既便如此,面对如此不现实高的安全要求,许多大型云存储厂商正在努力构建更加安全的数据中心,建立起可与NSA(美国国家安全局)媲美的加密层和保护层来保护存储中的数据。

云计算商业模式的迅速发展将对中国IT业产生重要的影响,特别是涉及包括海跫数据云存储架构及其安全性在内的诸多领域,从而开创一种全新的云存储安全保障前景。未来5年,云计算和相关云存储安全服务市场将保持高速增长态势。

通过云存储可以更加安全、便捷地存储和管理各个系统存储的海量数据,特别是便于及时全面、深入分析系统中的数据,为政府、组织机构和企业应用在激烈的市场竞争中洞察先机,根据市场需求及时调整发展策略,为战略投资者选择恰当的战略规划提供了准确的情报信息及科学的决策依据,因此,云存储意义极大。

因此,针对上述需求研发云存储的安全防护系统意义重大,时不我待。以云制造平台的安全解决方案为起点,解决其中的数据存储安全问题,再推广到通用的云存储服务上,以此为起点,为更多领域的云存储服务提供安全保障是当前亟待解决的问题。

1、发展云计算已经成为新的热点

云计算技术创新是新的信息产业技术革命,已成为信息行业的未来发展方向,世界许多国家都在制定云计算的研究和发展战略。2009年9月,奥巴马政府宣布将执行一项长期性的云计算政策,希望借助虚拟化来压缩美国政府支出。日本计划建立名为Kasumigaseki Cloud的云计算基础设施。在我国“十二五”规划的新一代信息技术产业重点发展方向中,包括了云计算等十项产业;“加强云计算服务平台建设”是构建下一代信息基础设施的重要措施。2009年12月,IDC发布的2010年IT和电信行业十大预测中指出,云计算将扩张并走向成熟,会诞生许多新的公共云热点、私有云服务、云应用以及将公共云与私有云联系起来的服务。埃森哲2010年云计算研究报告指出:“在2年内,会有更多的中国大企业使用云计算,将从43%提高到88%。在近几年内,中国的云计算产业将会快速发展。”据IDC预测,从2009年底到2013年底的四年间,云计算会为全球带来8000亿美元的新业务收入,为中国带来超过11050亿元人民币的新业务收入。

云计算由于其成本底、资源利用率高、回报快、管理开销低等特点,得到了用户的青睐和认可。在国际上,云计算技术的产业发展十分活跃。自2007年开始,产业界对于云计算的研发、讨论以及相关产品的关注持续升温。众多的国际型IT公司都推出了各自的云计算产品,如IBM公司的WebSphere CloudBurst Appliance(WCA)、Amazon公司的Amazon Simple Storage Service(S3)、Google公司的Google App Engine(AGE)、Salesforce.corn公司的“软件即服务”理念及Force.corn平台、微软公司的Windows Azure平台等。相比国外云计算技术的快速发展,我国在这方面的技术和产品明显滞后。—方面,我国需要投入技术力量进行自主化云计算的研究;另—方面,更加重要的是我国需要快速掌握云计算中的核心安全问题,为云计算在我国的应用提供切实的技术保证。

云存储是云计算的重要内容,云存储服务是指云存储服务供应商提供的存储和存储相关的服务,存储服务需要通过网络将本地数据存放在存储服务提供商(Storage Service Provider,SSP)提供的在线存储卒间。需要存储服务的用户不再需要建立自己的数据中心,只需向SSP申请存储服务,从而避免了存储平台的重复建设,节约了昂贵的软硬件基础设施投资。云存储服务是目前最为成熟的云计算服务,许多国际大公司都推出了云存储产品,包括Amazon的Cloud Drive、GoagleStorage、苹果的iCloud、微软的SkyDrive等。IDC调查数据显示,2013年,云存储服务的增长率预计将超过所有其他云服务。在未来四年内,云存储的市场比例将从目前的9%增长到14%,也就是说云存储的市场规模将接近62亿美元。IT市场咨询公司思林博德Springboard Research于2010年发布了《中国云存储服务报告(China Cloud Storage Services Report)》该报告显示,在未来的5年,中国云存储服务市场的年复合增长率将达到103%。Springboard认为,中国云存储服务市场将由2009年的605万美元快速增长至2014年的2.1亿美元。2009年12月。因特网数据中心IDC发布的2010年IT和电信行业十大预测中指出:“云计算将扩张并走向成熟,会诞生许多新的公共云热点、私有云服务、云应用以及将公共云与私有云结合的服务。”

云存储是未来存储发展的一种趋势,云存储已经成为各大国际IT公司的战略发展重点。目前,云存储厂商正在将各类搜索、应用技术和云存储相结合,以便能够向企业提供一系列的数据服务。云存储目前已经得到了众多厂商的支持和关注。Amazon公司推出弹性块存储(EBS)技术支持数据持久性存储,Google推出在线存储服务GDrive,内容分发网络服务提供商CDNetworks和云存储平台服务商Nirvanix结成战略伙伴关系,提供云存储和内容传送服务集成平台,EMC公司收购Berkeley Data Systems,取得该公司的Mozy在线服务软件,开展SaaS业务,Microsoft公司推出Windows Azure,并在美国各地建立庞大的数据中心,IBM也将云计算标准作为全球备份中心扩展方案的一部分。

同时,云存储在中国也开始逐步发展,不但国际IT公司在中国开展云存储业务,很多中国公司也逐步推出云存储产品。例如,云存储服务商酷盘刚刚获得2000万美元融资,华为也为自己的平台电脑附送了16GB的云存储服务空间。中国电信也计划于2012年正式运营云存储服务,。总体而言,中围的云存储服务市场正逐渐起步,市场前景非常巨大。

2、高度重视云计算特别是云存储中的安全问题

安全问题是云计算应用推广中面临的重大障碍,引起了产业界和学术界的广泛关注。ACM专门组织了WorkShop讨论云安全研究,著名的信息安全国际期刊IEEE Security&Privacy在2010年第6期号门组织了专刊,专门云计算环境的安全和隐私保护问题,在2009年的RSA大会上,云计算安全联盟CSA(Cloud Security Alliance)宣布成立,并迅速得到了业界的广泛认可,许多重要的厂商均成为其会员。CSA成立后,着手对云计算环境中的安全防护进行系统的研究,并于2009年12月发布了云计算关键领域安全指南,对云计算的安全研究进行了系统的描述。2010年3月,CSA又发布了云计算的主要威胁分析,根据云计算环境的特点对其面临的安全威胁进行了分析。为其安全防护研究提供了指导。

云计算环境是一个多个用户共享云设施的环境,它所面临的安全威胁不容忽视,目前公认的安全威胁主要包括有数据的丢失和泄露问题、云计算资源的滥用和非法使用、不安全的服务接口和API、恶意的内部用户、共享云设施带来的安全隔离问题、账户和服务的劫持问题、不能被用户感知的风险态势等。其中,数据安全问题是大家公认的重要问题,尤其对于云存储服务而占。在CSA的云技术安全文档中,数据泄露导致的隐私问题被列为重要的安全问题。而加密和访问控制保护则被认为是霞要的安全防护措施。

云计算和云存储平台中的安全问题已经成为制约其顺利发展的主要瓶颈问题。是用户质疑和担忧的主要原因。如果不能解决安全和隐私问题,用户就不可能将重要业务和数据转移到云计算和云存储平台上面。因此,解决当前云计算环境中面临的安伞问题已成为其发展的重中之重。只有突破制约其发展的安全问题,才能够推动相关云计算产业的健康持续发展。在云存储服务中,需要的安全防护技术主要包括认证、数据加密存储、安全管理、安全日志和审计。其中数据加密存储是对指定的目录和文件进行加密后保存,实现敏感数据存储和传送过程中的机密性保护,加密存储是保障用户私有数据在共享存储平台的机密性的核心技术,而且存储系统在保证敏感数据机密性的同时,还必须提供相应的加密数据共享技术。从用户的角度考虑,保护用户隐私必须保证数据在各种情况下(包括云存储系统的操作员出错或者背叛)都不会泄露。云存储系统的加密存储技术是当前国际上的研究热点,也是产业发展的重要方向。云存储加密存储技术不但要提供数据加密功能.还需要提供密钥长期存储和共享机制、加密策略,以确保用户数据的机密性和隐私性。

3、认真评估云存储系统的安全风险

在云计算和云存储平台中,面临的安全威胁和大致的安全防护措施包括有:

3.1云计算资源的滥用和非法使用

云计算服务可以为其客户提供实时的几乎无限制的计算、网络和存储容量。这些资源在给正常业务提供强有力的支持时,也会成为一些非法用户的有效工具。如果没有完善的认证和检查机制,一些恶意用户完全可以利用云计算服务的这些特性.更加方便地实施各种破坏活动。垃圾邮件发送者、恶意代码制作者、Botnet攻击者以及其它恶意攻击者都可以使用云计算环境提供的丰富资源开展攻击,提升攻击效果。相应的安全防护措施包括强认证机制、访问控制系统和审计日志等。通过认证的访问控制防止非法用户使用云计算资源;对于合法用户的恶意使用,则可以通过审计日志来实现事后的追查。

3.2恶意的内部用户和操作员

恶意的内部用户和操作员在传统的计算环境中已经比较常见,也是霞要的安全威胁。云环境下,因为大量的IT服务和客户都被集中在一个管理域中,使得云环境下,恶意内部用户和操作员的威胁变得更为严重。如果缺乏必要的内部雇员行为监管,将为敌手攻击云服务提供一个有效快速的攻击途径。这种攻击可能是目的性很强的、有组织的入侵,会造成大范围的破坏。恶意内部人员攻击可以在极小的风险下,盗窃机密数据和获得系统控制权。

对于不同类型的云计算服务,恶意内部用户和操作员发起攻击的形式完全不一样。最常见的攻击可能包括窃取用户隐私数据和篡改用户重要数据,对于数据的攻击几乎在任何类型的云计算服务中都会存在,包括云存储。相应的防护措施包括数据加密、密钥管理和数据完整性校验等。此安伞威胁会存在于所有类型的云计算服务(包括云存储),而且在云存储中表现得更为强烈。如果没有完善的数据保护方案。用户的业务数据和隐私数据在云存储平台操作员的完全控制之下,恶意的操作员可以直接威胁到用户的隐私和数据机密性。

3.3数据的丢失和泄露问题

数据的丢失和泄露将会直接影响人们使用云服务的信心。一些关键数据的丢失往往会造成连带的更大的损失,例如加密密钥的丢失会造成重要数据的泄露和破坏.一些敏感数据的丢失和泄露往往会造成严重的纠纷和无法估计的严重后果,如财务数据的丢失可能会造成很大的直接经济损失。云环境由于承载的业务更多、用户量更大.因此造成的破坏将会更严重。云计算环境中,由于基础设施的多租户共享和多种服务的集中管理使得数据丢失和泄露的威胁变得更为严重。需要根据不同类型云计算服务的特点,应对信息生命周期管理、加密和密钥管理、身份和访问控制管理和提高存储可靠性等方面进行综合考虑,实现完整的数据保护方案。

3.4共享云设施带来的安全隔离问题

云环境是一个多租户环境,不同的用户共享云设施。云服务提供者提供存储、计算、带宽等各种计算基础设施资源给多个不同的租户共享。为了保证所有的租户的安全和隐私,在租户使用这些共享的计算基础设施时,需要提供强大的隔离措施,以保证一个租户的操作不会对共享计算基础设施的其它租户的操作产生影响。隔离措施要能够保证一个租户不能访问在同一基础设施上的其它租户的数据和流量等。云计算环境中已经开始采用虚拟技术实现这种隔离要求,但是,目前的虚拟技术在云计算环境中的应用还存在一些不足。该类威胁主要集中在laaS模式,在云存储中不突出。目前。相应的防护措施主要是基于虚拟机的隔离机制和访问控制策略。在云存储中,如果通过加密和访问控制解决了数据泄露问题,也就同时能够处理云存储数据的隔离问题。

3.5账户和服务的劫持问题

账户和服务劫持是传统计算环境下一个常见的攻击形式。大多数病毒都采用劫持系统中断和API的方式实施攻击活动。钓鱼攻击可以看作是劫持正常网络服务的一种形式。假冒攻击是劫持账户的一个实例。云计算服务体系结构的复杂性使得该类威胁进一步加大。云环境为了实现计算资源共享和服务的高弹性和快速性,需要复杂的云系统管理体系,如果管理体系设计存在缺陷将会导致账户和服务的劫持。账户和服务劫持攻击的主要可能形式是租户合法身份标示的丢失。使用租户合法的身份标示,攻击者可以侦听租户的业务活动、访问重要的云系统区域,给租户返回错误信息。引导租户到错误站点,甚至可以将假冒得到的服务作为跳板实施更为严重的攻击。对于此类攻击,首先是要加强认证机制,使用安全的算法和协议,从而增加账户和服务劫持的难度。其次是实施云计算环境的入侵检测系统和入侵响应系统,及时阻断攻击。此类安全威胁存在于几乎所有的云计算服务,包括云存储(除非是面向公众的匿名公开服务)。

4、云存储应用亟待解决数据安全防护问题

随着云计算应用的开展,例如借鉴云计算的理念,盘活大型企业和中小企业集群内部与社会制造资源存量,提供面向制造企业的主动、敏捷、聚合、全方位的制造资源和制造

能力服务。这就是所谓的“云制造”先进理念,—方面给发展云计算和云存储带来了巨大的发展机遇,促进在制造业全球化背景下,从传统“制造+销售”的生产型制造简单业态向“技术+管理+服务”的服务型制造复合业态转型,迈向价值链高端,是我国制造业发展的大趋势。云制造将通过云计算、物联网等新型信息网络技术的集成创新应用,实现制造企业信息和制造资源广域互联和按需共享,为制造企业提供敏捷动态、统一有效的制造知识、资源和能力服务,促进制造企业专业化、制造服务社会化转变,增强产业的竞争力。

另一方面,发展云制造将不可避免地带来各类信息资源的安全保护问题。我国各类制造企业及其管理、科研设计与生产销售部门资源分布不均,信息安全保护措施不到位现象比较严重,享有安全系统存量规模没有发挥应有效能。而且,由于安全保护措施不完全到位,也不敢通过云平台共享资源,最终导致云制造难以发挥已有效益.从而失去抓住市场和发展的良机。

因此,改变加快集中建设和盘活企业内部信息资源安全保护的强度和实效极为必要,必须具备必要的技术和管理能力,实现云平台和云存储的有效安全防护。

5、认真分析云存储安全防护的需求

在云存储平台中,主要可能存在着资源非法使用、恶意的内部用户和操作员、数据丢失和泄露、账户和服务劫持等安全威胁。用户对于云存储安全产品有如下的安全功能要求。

5.1数据加密

对存储的数据进行加密,保护用户数据的隐私性,使得云存储平台的操作员或者攻击者不能从云存储平台中获得用户数据。

5.2强认证机制

强认证机制是用户数据隐私的重要保证。云存储平台必须保证访问者需要经过严格认证过程,才能够访问用户数据和数据加密密钥。如果没有强认证机制,则攻击者就有可能猜测合法用户的口令而能够解密用户数据。严格的用户认证机制,保证了攻击者和内部操作员都不可能随意地使用云存储加密机中的密钥来解密用户数据。

5.3访问控制

应该支持灵活的访问控制策略,使得用户可以方便地配置。支持针对用户、用户组、特定操作、特定数据资源、时间、IP地址等各种属性的权限设置。在允许访问的同时,进行严格的检查,防止攻击者利用访问控制缺陷读取或者篡改非授权的数据内容。

5.4数据可用性和容错

云存储平台和安全防护产品还需要保证各种情况下(如存储设备故障)的数据可用性,具有容错能力。在实施数据加密的情况下'密钥的可用性必须得到保证;如果密钥丢失,就会导致所有的加密数据不可用,给用户带来巨大损失。

6、依据需求设定云存储安全防护系统的建设目标和实施要求

云存储安全防护系统的最基本功能是保障云存储系统的数据安全,保护用户的敏感数据不泄露。具体而苦必须设定以下建设目标。

1)数据机密性。通过密码算法保证用户存储的数据不会以明文状态存储;即使是恶意的云存储系统操作员,也不能从密文中获取任何信息,防止数据泄露。

2)强认证机制。结合用户名/口令和USB Key的双因素认证。有效杜绝外部攻击和越权访问限制。

3)灵活的用户管理和权限管理。针对每一份存储区可以为不同用户分配不同权限(如,禁止、只读、读写、管理、审计等权限)。支持用户组权限设置。

4)灵活的实施方案。支持服务端实施方案或者客户端实施方案。

5)支持集群部署和配置数据共享。为了满足云存储平台的大规模存储集群的数据加密需求,支持以集群方式部署各类云存储安全设备,共享相同配置的密钥、访问控制策略和认证数据。从而能够搭建满足云存储平台性能要求的防护能力和容错能力。

上述功能是作为云存储数据安全防护产品的基本功能。

7、巨大的市场机遇

IDC研究结果显示,近几年的中国云存储市场以年复合增长率为103%的高速率增长,从2009年的4200万元增至2014年的16亿元。预计2014年,中国云存储市场份额约为16亿元。

随着云存储技术的发展和云存储服务的迅速普及,云存储的安全隐患日益突出。如何杜绝云存储的非法访问、数据的恶意窃取和解决云存储加密机的集群,已经成为云制造行业、IDC服务运营商、金融行业、政府、军工企业等行业日益关注的焦点。

据调查,大约有70%的企业不愿意将企业自由数据放在云平台上,主要是从安全性的角度考虑,因此云存储的安全性亟待加强。

8、加快研发和部署云存储安全保障系统意义重大

云计算是计算机科学和互联网技术发展的产物,也是引领未来信息产业创新的关键战略性技术和手段。它将带来工作方式和商业模式的根本性改变,对我国冲出国外企业的技术壁垒、发展高新技术产业具有重要的战略意义。云计算是一种全新的模式,它将改变传统软件的使用方式。它将使发展中国家可以使用以往只有发达国家才能使用的软件。小型企业也可以使用原来只有大企业才能用得起的软件。云计算被视为信息技术的第二三次浪潮,将带来工作方式和商业模式的根本性改变。据IDC预测,未来4年全球云计算服务市场平均每年将增长26%。著名计算机工程等家李德毅院士认为,云计算产业未来的发展速度将是目前IT产业的6倍。云计算指云计算服务、支撑云计算服务的云计算平台和相关云计算构架技术,是计算机科学和丐=联网技术发展的产物,也是引领未来信息产业创新的关键战略性技术和手段。云计算开创了软件即服务、平台即服务、基础设施即服务等全新IT服务模式,其中软件即服务模式提供低廉的在线软件租用服务,平台即服务模式提供快速的从技术开发到服务运营的能力,基础设施即服务模式提供低成本和可靠性高的基础设施托管服务,云计算服务模式不仅给全球信息产业创造了深远的变革机会,同时也给T业等传统产业带来了新的发展机遇。发展云计算和云存储更能够节省企业成本,改进日常运营。因为许多机构不仅表现出了对使用云计算缩减IT成本的兴趣,还希望能够更灵活、更高效地运营业务。相比国外的高管,中国经理人极少将云计算视为一种开发创新产品或流程的手段。节约资金是企业关注云的主要动力。业内人士认为,“缩减前期lT成本”是考察或应用云计算的最大动因。“降低或避免IT基础设施维护成本”也是重要因素。还有专家认为,未来五年内云能够为企业带来巨大好处,而“永久地大幅度缩减运营成本”是其中之一。以降低成本为重心工作的企业正在使用“云”来缩减网站运营成本。中国众多的网民为网站带来了数以百万计的点击,而云服务和云架构也让企业得以用较低的成本进行扩展,从而满足用户的需求。

但是,云计算关乎国家信息安全,目前,信息技术领域逐渐被发达国家特别是美国所垄断,全球真正有实力研发和提供“云计算”服务的公司只有谷歌、雅虎、微软、IBM和亚马逊等少数IT巨头。“云计算”的发展将导致全球信息在收集、传输、储存、处理等各个环节上进一步集中,国家信息将在“去国家化”的趋势中受到严峻考验。

因此,建立自有云计算平台,充分利用云计算这一先进生产力提升我国创新能力,并确保国家信息安全意义重大。云计算将助推产业大发展,云计算安全是云计算发展面临的重要问题。如果不能解决安全问题,必将阻碍云计算产业的进一步发展。Gartner 2009年的调查结果显示:70%以上受访企业认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑。

当前在推进云计算应用中,要针对我国经济社会发展面临的重大问题。以切实增加经济社会效益为目标,充分发挥信息化对我国经济社会发展的支撑作用,探索云服务新模式,整合信息资源,提供高水平、专业化的服务,提升自主创新能力,调整优化产业结构,促进可持续性发展,迈向全球产业价值链高端。

9、云时代重要信息系统必须进一步增强安全防护

重要信息系统一般都是部门、单位甚至国家正常运转不可缺少的部分,是执行其任务的重要手段。当前,国家、部门、企事业单位甚至个人生活对信息系统的依赖性越来越大,已成为涉及单位发展甚至国家稳定的重要问题。从另—方面看,由于重要信息系统规模大,技术复杂,涉及人员多,也使其安全保障更困难,而要达到—定安全标准,所需的投入也相当大。因此,需要对安全问题给以关注。

重要信息系统不仅是完成一般数据处理任务,而要扩大到对整个计划、预测、决策管理的支持,是系统管理、经营的一环。社会重要部门的主要管理业务的信息化,使得系统的安全一旦出现问题则意味着许多管理工作无法正常进行。重要信息系统不能正常下作,将打乱某些经济运行工作。无法解决出现的问题,引起管理的混乱。甚至打乱生产秩序。重要信息系统的中止服务,将会产生社会问题(如股票、民航等),并使社会产生动荡,将危及国家的安全。

从信息资源保护的角度看,重要信息系统的重要特征之一是信息量大,并且对单位是重要的、涉及内部重要信息甚至机密。因此,信息本身的泄漏、被修改或丢失等都将带来巨大的损失。国家重要部门的信息系统中,必定有许多国家机密信息,任何形式的破坏都会给国家带来损害。企业的信息必然涉及经营及商业秘密,在市场竞争环境中.将对企业有关键性的影响,银行储蓄信息的改变往往意味着资金的转移和被窃取。

10、建设高安全强度的云平台是解决我国重要信息

系统安全保障问题的有效途径目前各部门信息系统过高的自建比例,一方面极大地增加了国家用于安全保障建设的整体投资规模,另—方面,由于建设单位不具备相应的争业能力,难以保证系统的有效性,不仅浪费了投资,更严重的是在灾难发生时,信息系统及其业务的连续运行无法得到切实保障。特别是缺少可操作性的行政管理办法和标准规范,运维管理和预案演练存在明显不足,用户单位在建设过程中较为注重安全系统建设,缺乏对安全保障建设工作的整体认识,建设过程缺乏专业化指导,很容易忽视业务连续性计划的建立与维护、运行维护管理制度的建立与维护、应急演练等重要环节。

目前,由于我国大多数用户采用自建形式实现本单位信息系统安全保障建设,系统的维护和管理一般也由本单位信息化部门人员承担,缺乏专业化、系统化的运行维护管理制度和程序,各类程序文件和操作手册的建立、管理与使用不够规范,安全保障系统的运行维护水平、效率、可用性均无法得到有效保证。

因此,应对措施是利用云计算加强保护云中的数据安全与隐私,确保云计算提供商能够保证数据的安全,用户数据必须被安全地存储和转移,隔离不同用户间的数据和严格控制访问权限,保证避免数据泄漏给第三方和服务的连续性。通过安全云存储支撑云制造等一批重点领域业务应用影响深远,一是有利于促进信息资源共享的问题,探索政府、企业、中介等参与应用模式、商业模式以及推动的丁程机制;二是借助信息技术来支撑、构建和实现信息共享模式促进业务协同和互动。

云计算对我国重要信息系统安全保障建设提出了更高的要求,要进一步加快翩定相关管理办法和标准规范,尽快出台云计算安全服务相关管理办法,对云计算安全服务的建设和运维管理、服务外包、服务机构资质要求、安全服务的测评等进行规范管理。对重要信息系统云安全服务的能力等级、建设模式、建设时间等提出具体要求,明确各方面的责任和义务,从项目审批、资金投入、项目验收、日常管理、审计等环节,加强云服务有关专项工作监管,采用分类分级的管理办法加强对云服务行业的监管。根据服务能力、人员组成、安全保障、服务经验和服务品质保障等对云服务商进行分级管理。

开展对重要信息系统云服务的技术安全检查,增强各种云计算数据中心的安全保障,切实降低技术不可控的安全风险,实现对重要信息系统整体安全薄弱环节的有效控制,解除云服务的后顾之忧。

对我国重要信息系统利用云服务加强安全保障建设的另一个对策建议是大力鼓励发展自主创新的云安全产品和服务,积极推动具有自主知识产权的产品和服务进入政府采购目录,通过政府采购扩大市场空间,以市场需求促进具有自主知识产权的云安全产品和服务的产业化发展。

将云安全核心技术研究纳入国家重点科技计划,加大对核心技术和关键产品研发的支持力度,建设云安全国家工程实验室和工程研究中心,加快核心技术和关键产品的开发和技术转化。将云安全产品和服务的产业化工作纳入国家高技术产业化专项、信息产品产业化专项和中小企业创新基金的扶持范围,加快产品和服务的产业化进程。

 
分享到: 收藏