隨著美國棱鏡門事件以來,信息安全受到越來越多的國家和企業(yè)的重視�,特別是今年從國家層面成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組����,因此就某種
隨著美國棱鏡門事件以來�����,信息安全受到越來越多的國家和企業(yè)的重視�,特別是今年從國家層面成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組,因此就某種程度而言����,2014年可以說是真正的信息安全元年。就當(dāng)前的信息安全建設(shè)驅(qū)動(dòng)來看��,主要來自政策性合規(guī)驅(qū)動(dòng)和市場需求驅(qū)動(dòng)是兩個(gè)重要的驅(qū)動(dòng)點(diǎn)���。
從政策層面看國家成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組����,強(qiáng)調(diào)自主可控是信息安全領(lǐng)域國家的基本意志體現(xiàn)�。同時(shí)也出臺了相關(guān)的政策要求對信息安全產(chǎn)品、云計(jì)算服務(wù)等進(jìn)行安全審查����,通過政策、法律�、規(guī)范的合規(guī)性要求加強(qiáng)對信息安全的把控。
從需求層面來看�,隨著愈演愈烈各種的信息泄密事件、大熱的APT攻擊等����,大量的企業(yè)對信息安全的認(rèn)識已經(jīng)從過去的“被動(dòng)防御”轉(zhuǎn)變成“主動(dòng)防御”��,尤其是新型的互聯(lián)網(wǎng)金融���、電商業(yè)務(wù)、云計(jì)算業(yè)務(wù)等都前瞻性企業(yè)都把安全當(dāng)做市場競爭的重要砝碼��,并尋求各種資源不斷提升用戶對其信任性��。
用戶選擇云計(jì)算服務(wù)的角度來看����,我們了解了很多的云計(jì)算用戶或潛在的云計(jì)算用戶,用戶的一項(xiàng)業(yè)務(wù)在往云計(jì)算中心遷移時(shí)考慮的前三位的要素一般是安全�、技術(shù)成熟度和成本,其中首要考慮的是安全���。因?yàn)橛捎谠品?wù)模式的應(yīng)用�����,云用戶的業(yè)務(wù)數(shù)據(jù)都在云端��,因此用戶就擔(dān)心自己的隱私數(shù)據(jù)會不會被其他人看到�����,數(shù)據(jù)會不會被篡改�,云用戶的業(yè)務(wù)中斷了影響收益怎么辦��,云計(jì)算服務(wù)商聲稱的各種安全措施是否有��、能否真正起作用等����,云用戶不知道服務(wù)提供商提供的云服務(wù)是否真的達(dá)到許諾的標(biāo)準(zhǔn)等擔(dān)憂。
云環(huán)境下的等級保護(hù)問題研究
綜上所述�,用戶在選擇云計(jì)算的時(shí)候首先會考慮安全性,對普通用戶來說����,云計(jì)算服務(wù)的合規(guī)性是安全上很重要的參考依據(jù)。云計(jì)算服務(wù)的安全合規(guī)目前主要有等級保護(hù)�����、27001���、CSA云計(jì)算聯(lián)盟的相關(guān)認(rèn)證���。其中等級保護(hù)是一項(xiàng)基本政策���,比如用戶的一個(gè)等級保護(hù)三級的業(yè)務(wù),采用云計(jì)算模式時(shí)���,一定要求云計(jì)算服務(wù)必須達(dá)到三級的要求��。
等級保護(hù)挑戰(zhàn)
傳統(tǒng)的等級保護(hù)標(biāo)準(zhǔn)主要面向靜態(tài)的具有固定邊界的系統(tǒng)環(huán)境���。然而,對于云計(jì)算而言�,保護(hù)對象和保護(hù)區(qū)域邊界都具有動(dòng)態(tài)性。因此��,云計(jì)算環(huán)境下的等級保護(hù)面臨新的挑戰(zhàn):
業(yè)務(wù)可控性
云計(jì)算環(huán)境下�,數(shù)據(jù)可能會在數(shù)據(jù)中心和物理主機(jī)之間移動(dòng),導(dǎo)致用戶無法知道數(shù)據(jù)真實(shí)存儲位置�。另外,云平臺引入了虛擬抽象層�����,其覆蓋范圍可以涵蓋不同區(qū)域的物理設(shè)施�����,傳統(tǒng)的等級保護(hù)并沒有考慮這種情況�。
核心技術(shù)的自主可控
由于云計(jì)算中許多核心技術(shù)仍然控制在國外企業(yè)手中,許多所謂的自主產(chǎn)品也可能是對國外購買的商業(yè)產(chǎn)品的改良�,本質(zhì)就是買下了推廣他人產(chǎn)品的權(quán)利,隨著國內(nèi)云市場的不斷發(fā)展�����,對云環(huán)境的自主可控性帶來很大的挑戰(zhàn)����。
虛擬化安全
在云計(jì)算安全保障中,僅僅采用傳統(tǒng)的安全技術(shù)是不夠的�����,虛擬化帶來了新的安全風(fēng)險(xiǎn)�����。當(dāng)前���,對云計(jì)算虛擬化安全技術(shù)還不成熟���,對虛擬化的安全防護(hù)和保障技術(shù)測評則成為云環(huán)境等級保護(hù)的一大難題����。
等級保護(hù)研究現(xiàn)狀分析
當(dāng)前�����,云計(jì)算依然面臨各種安全風(fēng)險(xiǎn)����。等級保護(hù)作為應(yīng)對云計(jì)算安全的重要手段,得到了人們廣泛的關(guān)注����。
對于云計(jì)算環(huán)境下的等級保護(hù)建設(shè)問題,沈昌祥提出云計(jì)算中心是特殊的信息系統(tǒng)�����,可參照GB/T25070-2010《信息系統(tǒng)安全等級保護(hù)設(shè)計(jì)技術(shù)要求》����,把云計(jì)算中心從用戶網(wǎng)絡(luò)接入、訪問應(yīng)用邊界、計(jì)算環(huán)境和管理平臺進(jìn)行劃分���,構(gòu)建在安全管理中心支持下的可信通信網(wǎng)絡(luò)�、可信應(yīng)用邊界和可信計(jì)算環(huán)境三重安全防護(hù)框架����,并按照GB/17859評估準(zhǔn)則進(jìn)行評估�。
對于云計(jì)算安全中的等級保護(hù)要求和評測問題,朱圣才從應(yīng)用安全和系統(tǒng)安全兩個(gè)角度給出了云計(jì)算安全中的等級保護(hù)要求�。張京海[等人設(shè)計(jì)了基于云服務(wù)架構(gòu)的等級保護(hù)要求。從5個(gè)層面的技術(shù)要求和5個(gè)層面的管理要求對傳統(tǒng)等級保護(hù)要求進(jìn)行了擴(kuò)展��。趙繼軍等人指出了等級保護(hù)測評中需要關(guān)注的控制項(xiàng)和風(fēng)險(xiǎn)����。姜政偉]等人則提出了基于等級保護(hù)的云計(jì)算安全評估模型。構(gòu)建了云計(jì)算安全評估指標(biāo)體系���。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺���。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意�����。如您是字體廠商、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們�,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的�����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請諒解���!
粵公網(wǎng)安備 44030402000264號