云計算服務具有高性價比��、高靈活性、動態可擴展����、專業安全服務保障等特點�,有效助力了提升管理效率、節約成本��、增強綜合安全防護能力����。與此同時,云計算服務也面臨諸多挑戰����,如云計算技術基礎平臺安全性、云上數據的安全管理�、云計算服務安全專業人才匱乏等安全風險問題,導致云平臺數據安全事件層出不窮����。
云計算服務中的主要安全風險
云計算技術作為快速迭代的新興技術,云平臺在設計��、應用����、測試和部署時對安全性考慮仍顯不足��,在資源高度集中的運行環境下��,云平臺容易成為黑客的攻擊目標�,與傳統企業的網絡環境相比�,云平臺所面臨的攻擊威脅更大,產生的影響更大��。
一��、基礎平臺風險
云計算基礎平臺相比傳統IT基礎設施系統結構更加復雜����,設備規模大、應用類型多��,這給云計算基礎平臺安全管理帶來了更大的挑戰��。從歷年的安全檢查和安全演練情況來看:部分云計算基礎平臺核心軟硬件設備中仍然存在大量操作系統漏洞��、配置錯誤����、策略失效等高��、中風險安全漏洞;各類云管理平臺����、業務運營支撐系統中也經常暴露出信息泄露��、越權訪問��、跨站腳本等安全漏洞;云平臺遠程運維模式和身份認證機制在工程實現中暴露出嚴重風險隱患;共享物理基礎設施的不同租戶之間因分離存儲��、內存����、路由等機制失敗而導致的虛機跳躍攻擊��、側信道攻擊等案例時有發生;通過網絡釣魚竊取用戶憑據后進行云計算服務跟蹤和本地攻擊����,最終導致大量數據泄露的案例日益增多;云計算服務密鑰管理機制不完善,密碼技術的合規性����、正確性和有效性得不到保障,一直是云計算服務基礎平臺的安全隱憂。
二��、數據安全風險
數據安全是云計算服務安全的最終目標之一����,與此同時,數據安全風險也是用戶選擇云計算服務商時首要考慮的因素����,然而從目前情況來看,當前云計算服務中存在的數據安全風險隱患依然很多:數據傳輸和共享過程中��,數據未采取加密機制或加密機制存在缺陷��,第三方調用采用明文方式進行傳輸�,數據在同一臺物理服務器上不同VM之間通過服務器內部虛擬網絡進行通信時的數據安全防護機制考慮不周,這些都可能被攻擊者利用從而導致數據信息泄露;云計算基礎設施中依然存在大量重要����、敏感數據未使用加密技術進行保護,給黑客等不法分子帶來可乘之機�,導致信息泄露或篡改等行為發生;云服務數據在遷移過程中,遺留數據得不到徹底清除�,傳輸數據得不到有效保護,備份數據得不到合理處置����,往往引發數據泄露風險;對開發����、測試����、生產環境開放接口管理不嚴格,而導致數據遷移項目中的數據泄露案例時有發生;云計算服務中過度收集用戶個人信息��,違規使用個人信息��,違反個人信息保護法等問題還頻頻出現��。
三�、供應鏈安全風險
目前��,國內云計算服務平臺所采用的云管平臺軟件��、服務器��、網絡安全設備��、網絡交換設備和各類應用軟件雖已廣泛采用國內廠商供貨��,但上述設備中使用的CPU、內存�、硬盤、關鍵芯片方面主要供應商仍主要來自美國��、韓國等境外企業�,“芯片斷供事件”給我們敲響了警鐘,這些隱藏在二級�、三級供應鏈中的安全風險在今后一段時間內依然是云計算服務商需要持續關注的現實風險。此外��,數字供應鏈發展是未來趨勢��,供應鏈安全成為網絡安全體系面臨的重要挑戰��。
四��、專業人才匱乏風險
據最新發布的《網絡信息安全產業人才發展報告》顯示����,2021年國內網絡安全專業人才累計缺口超140萬人,而云計算服務安全專業人才缺口更顯突出����,在歷年網絡安全攻防演練活動中,由于云計算服務安全管理人員意識不強�、技能不足而導致的云平臺受到社會工程釣魚攻擊情況時有發生����,云平臺技術人員由于操作失誤�、配置不當而引發的網絡安全事故也屢屢發生,這些都給云平臺安全穩定運行帶來了很大的風險隱患����。
五、其它風險
當前����,考慮到云計算服務應用場景固有的潛在風險,國家各部門陸續出臺了多項監管政策和合規要求��,云計算服務供應商要做好兼顧合規與風險管控是極具挑戰的事情��。另外����,種類復雜多樣的云上應用尚缺乏整體統一的安全規劃和策略�,快速應對云計算新技術演進面臨的風險能力仍存不足。云計算服務中數據泄露和濫用��、數據違規共享等安全管理問題也值得關注�。
云計算服務安全風險應對措施
通過對云計算服務中的安全風險分析����,可采取以下措施對云計算服務安全風險進行防范和持續改進��。
一�、加強云計算服務中技術和管理安全標準體系研究
據研究表明,云計算平臺中的安全問題絕大部分是傳統IT系統存在的問題(如各類系統安全漏洞)����,而剩下的安全問題主要來自新技術架構應用帶來的安全技術風險,傳統IT技術機制在云計算服務應用場景中產生的技術風險��,以及新的服務模式帶來的安全管理隱患����,這些都需要結合云計算服務特點研究制定有針對性的技術和管理標準來降低隱患。目前����,圍繞云計算平臺之間的元數據和數據交換,不同云平臺之間的應用遷移�,云運營服務的監控、審計��、計費和通告機制��,云計算服務中密碼支撐體系建設應用,云平臺的業務連續性要求以及服務水平協議等����,都需要開展研究并逐步形成標準體系以保障云計算服務安全。
二�、保障云計算服務供應鏈安全
隨著云技術和其他新興科技的發展,供應鏈生態安全日益受到關注����,整個供應鏈生態環境的每個環節都需要通力合作,在設計研發�、采購、運行維護�、日常監督階段均應關注供應鏈安全問題,一是要求信息系統�、組件或服務的開發商在系統生命周期的早期階段說明系統中的功能、端口��、協議和服務;二是要求信息系統��、組件或服務的提供商對供應鏈產品開展安全性評價工作;三是要求信息系統����、組件或服務的開發商即使在交付信息系統�、組件或服務后����,也應跟蹤漏洞情況�,在發布漏洞補丁前便應通知云計算服務商;四是定期對供應鏈上的服務商進行評審和論證,要求供應鏈的供應商遵守信息安全��、保密��、訪問控制����、隱私、審計����、人事策略和服務級別要求和標準。
三��、加速培養云計算服務安全專業人才
相對于傳統網絡安全問題����,云計算服務中的網絡安全問題更加復雜,一旦發生網絡安全事件�,其造成的影響和破壞性也會更大。我們需要集中精力在信息安全領域培養更多合格的專業人員��,滿足日益增長的云計算安全專業人員的迫切需求,同時提升現有從業人員安全技能����,尤其是云計算安全評估方面的技能。一方面高等院校在網絡空間安全人才培養中可通過開設云計算安全技術相關課程��,提升學生在云計算安全技術方面的素養��,為今后的就業打下良好的基礎;一方面可通過社會職業技能教育方式�,開展云計算服務安全技能集訓、考核和認證��,不斷完善云計算服務安全技術人員培訓認證體系��,培養更多����、更優質的云計算服務安全專業人才。
四�、進一步夯實云計算服務網絡安全評估工作
實踐經驗表明,云計算服務安全評估是網絡安全工作中的重要抓手�,是提升云計算服務安全防護能力的關鍵一環,通過持續安全評估可及時發現����、排除安全隱患����,提升云計算服務的可控性和安全性�。云計算服務網絡安全評估是依據國家云計算服務安全評估辦法和相關標準規范����,對云計算服務從系統開發與供應鏈安全、系統與通信保護�、訪問控制、配置管理��、維護�、應急響應與災備、審計�、風險評估與持續監控、安全組織與人員����、物理與環境安全等方面進行綜合評估。云計算服務安全評估涵蓋了《網絡安全法》中等級保護要求����,可滿足物理環境、通信網絡、區域邊界��、計算環境����、管理中心、管理制度����、管理機構、管理人員����、建設管理和運維管理等十個方面的等保測評要求。云計算服務安全評估還涵蓋了商用密碼測評要求�,滿足《密碼法》中密碼算法、密碼技術����、密碼產品等方面有相應要求。
網絡安全已經成為國家戰略�,相關責任和義務已通過法律形式進行明確,網絡安全工作沒有終點��,云計算服務中的安全工作更顯復雜�。隨著云計算技術的快速發展和廣泛應用��,云計算服務必將會面臨更多的安全風險挑戰����,云計算服務安全工作需要在國家��、行業的監管引領下��,云服務商��、安全解決方案提供商����、供應鏈企業�、第三方評估機構和人員培訓認證機構等共同參與,持續提升安全防護能力��。?
視頻會議
滬公網安備 31011202009659號