云计算面临哪些类型的安全问题
云计算面临以下类型的安全问题:
数据丢失/泄露:云计算中对数据的安全控制力度并不理想,API访问权限控制及密钥生成、存储和管理方面的不足都可能造成数据泄露,并且还可能缺乏必要的数据销毁策略。
共享技术漏洞:在云计算中,简单的配置错误都可能造成严重损害。由于云计算环境中的虚拟服务器都共享着相同的配置,因此必须针对具体应用需求,对服务器进行合理的配置。
供应商的可靠性:云服务供应商对于工作人员的背景调查力度可能与企业数据访问权限的控制力度不同,企业需要对供应商进行评估,并提出筛选员工的方案。
身份认证机制薄弱:数据、资源和应用程序都集中在云计算中,如果云计算本身的身份鉴别机制薄弱的话,入侵者就会相对容易的非授权访问用户的虚拟机设备。
不安全的应用程序接口:企业若利用云计算平台开发应用,在软件开发的生命周期中,必须应用统一标准来处理身份认证、访问控制权限和加密。
没有正确运用云计算:在运用云计算技术方面,黑客可能较快地应用新的攻击技术。
未知的安全风险:使用云计算平台的前端用户不清楚云服务提供商对问题的修复能力和水平,从而使用户面临未知的安全风险。
加强云计算安全的措施有以下这些:
加强云计算应用安全的规范管理:保证云计算产业监管有效性的前提条件是云服务所涉及的产业和地域的法律、法规和标准发展到相对稳定的阶段。可以预见的是,应云计算产业监管的需求,现有的监管条例需要进行调整和补充,其中关键的是对跨地域的隐私保护条例和数据安全条例进行加强;同时,云计算业务的监管流程需要加以完善,其中关键的是应采取持续的、定期的合规审查方案,通过定期审查来满足不断修订的监管条例。同时,对云计算应用安全进行立法管理,对涉及重要国计民生、军事安全、网络安全等相关云应用,应建立严格的管理机制,对可能产生的危害严格依法处置。
打造自主可控的云计算应用安全生态环境:首先,实施创新战略,提高产业核心竞争力。加大对于自主创新技术、自主创新服务、自主知识产权的考评权重,推广应用云计算应用安全先进技术和产品。积极开展对外交流与合作,发展具有自主知识产权的先进适用技术。定期编制、发布我国拥有自主知识产权的云计算应用安全关键技术和重要产品目录。其次,建立对云计算应用企业资质的管理制度。鉴于云计算对国家信息化发展的重要作用,且在云计算广泛应用后云数据中心的安全将涉及国家安全和国家竞争。因此,应建立云计算应用企业资质的管理制度,在云环境搭建和云服务管理方面,保证国家可管、可控。
重视云计算应用安全标准、风险评估等体系建设:首先,从用户使用的安全角度来看,存在一个透明度的问题。由于用户数据都在云里面,数据的丢失、篡改是用户无法控制的,同时还涉及隐私的保护。其次,从技术上来说,由于现在云计算没有国际或行业的标准,技术或服务提供商提供了不同的API接口,如何实现它们之间互联互通还缺少技术规范,所以云计算的标准化是亟须解决的问题。另外,传统的信息安全技术、网络安全技术、加密与密钥管理、安全审计等,对于实现云计算业务模式面临一系列技术新挑战。
建立云计算应用安全公共服务平台:在整合政府部门现有软硬件资源的基础上建设云计算应用安全公共服务平台。鼓励企业、高校、研究机构开展云计算应用安全关键技术应用研究,推动各类信息安全企业开展云安全应用解决方案研发,并给予政策性财政支持,争取关键技术取得突破,促进云计算产业健康发展。
实施重点行业云计算应用安全示范工程:应该以具有自主知识产权的云计算应用安全重大核心技术、关键技术为基础,结合典型领域的应用,建设具有普遍适用性和推广价值的云计算应用安全示范工程,争取在政府、电信、教育等云计算重点应用领域推广若干高安全、低成本的云计算应用安全示范平台,从而带动更多的软件和信息服务业企业向云计算服务转型,培育若干家有影响力、有一定规模的云计算应用安全服务企业,形成技术、产品和服务一体化发展的格局。