隨著美國棱鏡門事件以來,信息安全受到越來越多的國家和企業(yè)的重視,特別是今年從國家層面成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組��,因此就某種
隨著美國棱鏡門事件以來,信息安全受到越來越多的國家和企業(yè)的重視,特別是今年從國家層面成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組���,因此就某種程度而言����,2014年可以說是真正的信息安全元年。就當(dāng)前的信息安全建設(shè)驅(qū)動來看��,主要來自政策性合規(guī)驅(qū)動和市場需求驅(qū)動是兩個重要的驅(qū)動點���。
從政策層面看國家成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組�,強調(diào)自主可控是信息安全領(lǐng)域國家的基本意志體現(xiàn)�����。同時也出臺了相關(guān)的政策要求對信息安全產(chǎn)品����、云計算服務(wù)等進行安全審查,通過政策�����、法律���、規(guī)范的合規(guī)性要求加強對信息安全的把控���。
從需求層面來看�,隨著愈演愈烈各種的信息泄密事件、大熱的APT攻擊等��,大量的企業(yè)對信息安全的認(rèn)識已經(jīng)從過去的“被動防御”轉(zhuǎn)變成“主動防御”��,尤其是新型的互聯(lián)網(wǎng)金融����、電商業(yè)務(wù)����、云計算業(yè)務(wù)等都前瞻性企業(yè)都把安全當(dāng)做市場競爭的重要砝碼����,并尋求各種資源不斷提升用戶對其信任性�����。
用戶選擇云計算服務(wù)的角度來看���,我們了解了很多的云計算用戶或潛在的云計算用戶���,用戶的一項業(yè)務(wù)在往云計算中心遷移時考慮的前三位的要素一般是安全、技術(shù)成熟度和成本����,其中首要考慮的是安全���。因為由于云服務(wù)模式的應(yīng)用���,云用戶的業(yè)務(wù)數(shù)據(jù)都在云端,因此用戶就擔(dān)心自己的隱私數(shù)據(jù)會不會被其他人看到�����,數(shù)據(jù)會不會被篡改���,云用戶的業(yè)務(wù)中斷了影響收益怎么辦�,云計算服務(wù)商聲稱的各種安全措施是否有�����、能否真正起作用等,云用戶不知道服務(wù)提供商提供的云服務(wù)是否真的達到許諾的標(biāo)準(zhǔn)等擔(dān)憂���。
云環(huán)境下的等級保護問題研究
綜上所述��,用戶在選擇云計算的時候首先會考慮安全性,對普通用戶來說����,云計算服務(wù)的合規(guī)性是安全上很重要的參考依據(jù)��。云計算服務(wù)的安全合規(guī)目前主要有等級保護�、27001���、CSA云計算聯(lián)盟的相關(guān)認(rèn)證����。其中等級保護是一項基本政策,比如用戶的一個等級保護三級的業(yè)務(wù)�����,采用云計算模式時,一定要求云計算服務(wù)必須達到三級的要求����。
等級保護挑戰(zhàn)
傳統(tǒng)的等級保護標(biāo)準(zhǔn)主要面向靜態(tài)的具有固定邊界的系統(tǒng)環(huán)境���。然而����,對于云計算而言��,保護對象和保護區(qū)域邊界都具有動態(tài)性���。因此����,云計算環(huán)境下的等級保護面臨新的挑戰(zhàn):
業(yè)務(wù)可控性
云計算環(huán)境下,數(shù)據(jù)可能會在數(shù)據(jù)中心和物理主機之間移動,導(dǎo)致用戶無法知道數(shù)據(jù)真實存儲位置��。另外,云平臺引入了虛擬抽象層��,其覆蓋范圍可以涵蓋不同區(qū)域的物理設(shè)施�,傳統(tǒng)的等級保護并沒有考慮這種情況。
核心技術(shù)的自主可控
由于云計算中許多核心技術(shù)仍然控制在國外企業(yè)手中,許多所謂的自主產(chǎn)品也可能是對國外購買的商業(yè)產(chǎn)品的改良��,本質(zhì)就是買下了推廣他人產(chǎn)品的權(quán)利��,隨著國內(nèi)云市場的不斷發(fā)展��,對云環(huán)境的自主可控性帶來很大的挑戰(zhàn)�����。
虛擬化安全
在云計算安全保障中�����,僅僅采用傳統(tǒng)的安全技術(shù)是不夠的,虛擬化帶來了新的安全風(fēng)險����。當(dāng)前�����,對云計算虛擬化安全技術(shù)還不成熟,對虛擬化的安全防護和保障技術(shù)測評則成為云環(huán)境等級保護的一大難題���。
等級保護研究現(xiàn)狀分析
當(dāng)前��,云計算依然面臨各種安全風(fēng)險�����。等級保護作為應(yīng)對云計算安全的重要手段��,得到了人們廣泛的關(guān)注。
對于云計算環(huán)境下的等級保護建設(shè)問題����,沈昌祥提出云計算中心是特殊的信息系統(tǒng)�,可參照GB/T25070-2010《信息系統(tǒng)安全等級保護設(shè)計技術(shù)要求》��,把云計算中心從用戶網(wǎng)絡(luò)接入���、訪問應(yīng)用邊界���、計算環(huán)境和管理平臺進行劃分��,構(gòu)建在安全管理中心支持下的可信通信網(wǎng)絡(luò)、可信應(yīng)用邊界和可信計算環(huán)境三重安全防護框架�����,并按照GB/17859評估準(zhǔn)則進行評估��。
對于云計算安全中的等級保護要求和評測問題���,朱圣才從應(yīng)用安全和系統(tǒng)安全兩個角度給出了云計算安全中的等級保護要求���。張京海[等人設(shè)計了基于云服務(wù)架構(gòu)的等級保護要求��。從5個層面的技術(shù)要求和5個層面的管理要求對傳統(tǒng)等級保護要求進行了擴展����。趙繼軍等人指出了等級保護測評中需要關(guān)注的控制項和風(fēng)險�����。姜政偉]等人則提出了基于等級保護的云計算安全評估模型�。構(gòu)建了云計算安全評估指標(biāo)體系。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的���,皆為無意�。如您是字體廠商、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們���,本站核實后將立即刪除���!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用����,并索要賠償或上訴法院的�����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟賠償���!敬請諒解!
粵公網(wǎng)安備 44030402000264號