l、引言
云計(jì)算是繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后的信息領(lǐng)域又一重大技術(shù)變革。云計(jì)算的出現(xiàn)給業(yè)界提供了新的發(fā)展機(jī)遇,與此同時(shí),云計(jì)算的安全問(wèn)題依然是一個(gè)嚴(yán)峻的挑戰(zhàn)。自1994年國(guó)務(wù)院頒布《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院[19941147號(hào)令)以來(lái),信息系統(tǒng)安全等級(jí)保護(hù)體系逐步完善成熟。在傳統(tǒng)架構(gòu)的信息系統(tǒng)下發(fā)揮了很大的作用。云計(jì)算的出現(xiàn),帶來(lái)了一系列系統(tǒng)架構(gòu)上的變化,但是無(wú)論其如何發(fā)展,終究是屬于信息系統(tǒng),具有信息系統(tǒng)的普遍特點(diǎn)。云計(jì)算的安全管理,依然可以按照等級(jí)保護(hù)的要求實(shí)施。
2、云計(jì)算安全問(wèn)題
關(guān)于云計(jì)算,當(dāng)前尚沒(méi)有一個(gè)統(tǒng)一、確定的定義。維基百科認(rèn)為云計(jì)算是一種能夠動(dòng)態(tài)伸縮的虛擬化資源,通過(guò)互聯(lián)網(wǎng)以服務(wù)的方式提供給用戶的計(jì)算模式,用戶不需要知道如何管理那些支持云計(jì)算的基礎(chǔ)設(shè)施。其實(shí)云計(jì)算是一種概念,不是具體的技術(shù)或標(biāo)準(zhǔn)。同時(shí)云計(jì)算也是一種運(yùn)營(yíng)模式,是把IT資源、數(shù)據(jù)和應(yīng)用作為服務(wù)通過(guò)網(wǎng)絡(luò)提供給用戶。簡(jiǎn)而言之,云計(jì)算的本質(zhì)就是共享與協(xié)作。
近年來(lái),各大IT企業(yè)紛紛投入與計(jì)算,各大商業(yè)平臺(tái)如雨后春筍幫紛紛推出。然而,這些云平臺(tái)的問(wèn)題也緊接著不斷暴露出來(lái)。2007~2008年間,亞馬遜云平臺(tái)大范圍故障;2009年,微軟云平臺(tái)崩潰,數(shù)據(jù)丟失;2009年,谷歌也有客戶個(gè)人信息泄露??云計(jì)算時(shí)代,資源和數(shù)據(jù)都在云端,安全問(wèn)題更顯重要。
由于體系結(jié)構(gòu)的變化,云計(jì)算安全問(wèn)題也有其獨(dú)有特點(diǎn):
、僭谠朴(jì)算環(huán)境下,網(wǎng)絡(luò)架構(gòu)統(tǒng)一、硬件資源高度整合,傳統(tǒng)安全邊界消失;②虛擬化作為云計(jì)算的核心技術(shù),對(duì)安全設(shè)備設(shè)計(jì)和部署提出更高要求;③數(shù)據(jù)集中存儲(chǔ)處理,需有效的身份鑒別、認(rèn)證管理、訪問(wèn)控制、安全審計(jì)等安全機(jī)制;④ 數(shù)據(jù)與應(yīng)用嚴(yán)重依賴云計(jì)算中心,其穩(wěn)定性、可靠性相較傳統(tǒng)系統(tǒng),要求更高。
云計(jì)算模式存在的安全問(wèn)題有:黑客入侵云端服務(wù)器竊取數(shù)據(jù);云服務(wù)供應(yīng)商內(nèi)部員工竊取客戶敏感數(shù)據(jù);使用同一云服務(wù)供應(yīng)商的其它客戶意外取得或竊取敏感數(shù)據(jù);云端資源遭到惡意濫用,被用來(lái)濫發(fā)垃圾郵件或惡意主機(jī)等;外國(guó)政府可以未經(jīng)客戶授權(quán)讀取當(dāng)?shù)卦茢?shù)據(jù)中心內(nèi)的數(shù)據(jù);客戶不易對(duì)云服務(wù)供應(yīng)商的安全控制措施和訪問(wèn)記錄進(jìn)行審計(jì);云服務(wù)供應(yīng)商災(zāi)備管理不完善,導(dǎo)致服務(wù)中斷;云服務(wù)供應(yīng)商倒閉,無(wú)法繼續(xù)提供服務(wù);用戶賬號(hào)密碼被竊,云服務(wù)資源遭到盜用。
3、等級(jí)保護(hù)依然適用于云計(jì)算
從管理角度來(lái)講,等級(jí)保護(hù)制度是一項(xiàng)綜合性的社會(huì)系統(tǒng)工程,將信息系統(tǒng)按照社會(huì)化的組織原則進(jìn)行有序管理,是提升系統(tǒng)安全防護(hù)水平的重要手段。在這一點(diǎn)上,云計(jì)算環(huán)境與傳統(tǒng)信息系統(tǒng)一樣。等級(jí)保護(hù)涉及到管理的部分,依然適用于云計(jì)算。
從技術(shù)角度來(lái)講,等級(jí)保護(hù)制度又是一項(xiàng)復(fù)雜的技術(shù)工程,通過(guò)一系列的技術(shù)防護(hù)手段來(lái)實(shí)現(xiàn)信息系統(tǒng)的安全設(shè)計(jì)技術(shù)要求。
從等級(jí)保護(hù)技術(shù)設(shè)計(jì)要求規(guī)范來(lái)看,原有的思想是構(gòu)建以安全管理中心支撐下的計(jì)算環(huán)境、區(qū)域邊界與通信網(wǎng)絡(luò)三重防護(hù)。云計(jì)算的模式下,私有云內(nèi)部的區(qū)域邊界已經(jīng)變得模糊和消失,云計(jì)算環(huán)境和云通信網(wǎng)絡(luò)的構(gòu)建機(jī)制如何,需要重新加以設(shè)定。等級(jí)保護(hù)的技術(shù)安全整體架構(gòu)是從信息系統(tǒng)本身來(lái)出發(fā),而云計(jì)算也是信息系統(tǒng),具有信息系統(tǒng)的本質(zhì)特征,因此,云模式下的信息系統(tǒng)是否也需要構(gòu)建云計(jì)算環(huán)境、云通信網(wǎng)絡(luò)、云接入邊界,以及云安全管理中心,這與等級(jí)保護(hù)的整體技術(shù)架構(gòu)設(shè)計(jì)如出一轍,只是,這樣的云計(jì)算體系安全架構(gòu)需要在“可信”的條件下來(lái)進(jìn)行。
等級(jí)保護(hù)技術(shù)設(shè)計(jì)要求主要包含“安全計(jì)算環(huán)境 ‘安全區(qū)域邊界 安全通信網(wǎng)絡(luò) 安全管理中心”四大部分的內(nèi)容,從技術(shù)、管理、運(yùn)營(yíng)等方面進(jìn)行了規(guī)范。
云計(jì)算可由以下五個(gè)方面分析其主要安全風(fēng)險(xiǎn)及對(duì)策:
(1)應(yīng)用方面。對(duì)于應(yīng)用系統(tǒng)安全漏洞,需要遵守應(yīng)用安全開(kāi)發(fā)規(guī)范和相關(guān)規(guī)章制度,并定期執(zhí)行代碼級(jí)安全檢查和系統(tǒng)安全測(cè)試。具體可依照等級(jí)保護(hù)技術(shù)設(shè)計(jì)要求中“安全計(jì)算環(huán)境”相關(guān)內(nèi)容執(zhí)行。
(2)數(shù)據(jù)方面。對(duì)于數(shù)據(jù)外泄最好的辦法是采用技術(shù)措施對(duì)敏感數(shù)據(jù)進(jìn)行隔離與加密。具體可依照等級(jí)保護(hù)技術(shù)設(shè)計(jì)要求中“安全計(jì)算環(huán)境 安全區(qū)域邊界 安全通信網(wǎng)絡(luò)”相關(guān)內(nèi)容執(zhí)行。
(3)系統(tǒng)方面。對(duì)于系統(tǒng)安全漏洞問(wèn)題需要建立安全基線與防護(hù)機(jī)制,實(shí)時(shí)監(jiān)控系統(tǒng)安全事件。具體可依照等級(jí)保護(hù)技術(shù)設(shè)計(jì)要求中“安全計(jì)算環(huán)境”相關(guān)內(nèi)容執(zhí)行。
(4)網(wǎng)絡(luò)方面。對(duì)于用戶所關(guān)心的網(wǎng)絡(luò)傳輸安全問(wèn)題,可以通過(guò)傳輸內(nèi)容加密來(lái)解決。具體可依照等級(jí)保護(hù)技術(shù)設(shè)計(jì)要求中“安全區(qū)域邊界”、“安全通信網(wǎng)絡(luò)”相關(guān)內(nèi)容執(zhí)行。
(5)端點(diǎn)方面。對(duì)于可能在終端位置出現(xiàn)的惡意代碼,通過(guò)使用終端安全防護(hù)軟件就可以解決。具體可依照等級(jí)保護(hù)技術(shù)設(shè)計(jì)要求中“安全計(jì)算環(huán)境”相關(guān)內(nèi)容執(zhí)行。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:信息安全等級(jí)保護(hù)在云計(jì)算時(shí)代的現(xiàn)實(shí)意義
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083974685.html