2013：云浪潮下的安全危机

　　云计算越来越普及，进入云落地的2013年，中国掀起了云计算快速发展的热潮。根据某调查机构的数据显示，我国云计算的市场规模已经从2010年的167亿元，增长到2013年的1174亿元。年均复合增长率已经达到91.5%。“十二五”期间，云计算产业链规模已经可望达到7500亿至1万亿元人民币。

　　云计算除了资源整合共享导致成本降低之外，最核心优势就是能够快速地满足商业市场变化的需求。但是，正如老子道德经所云“祸兮，福之所倚;福兮，祸之所伏”，云计算也带来了新型网络威胁、数据安全和隐私泄露的风险，甚至在全球范围内已经发生诸多云计算安全事件。

　　云扩张带来安全隐患

　　赛门铁克大中国区技术支持部总监李刚认为，随着云计算发展步入纵深，安全风险问题将逐步揭露并在2013年日益显著，但随着业界重视程度不断增加，云服务和产业环境将会向更安全方向演进。无独有偶，分析机构Gartner报告预计，云计算的增长将会成为2013年各种安全趋势的推动力量，也从侧面印证了2013年将是云计算安全发展的重要一年。

　　众多研究报告指出安全是阻碍企业迈向云计算的首要因素。同时对于众多中国企业，出于长期自建自用IT资源的思维所致，当前对云计算服务模式接受度并不高，对数据安全性、泄露风险等顾虑重重。

　　基于互联网的云服务拥有从高度个性化的医疗、社交媒体素材到机密的财务和公司文件等一切信息，它所收集的巨大信息量已经涵盖全球四分之一的业务数据。美国《NetworkWorld》杂志2011年曾专门列出了全球发生过的十个最严重的云服务中断事故，包括亚马逊、谷歌、Salesforce和微软在内的多家云服务提供商都曾因为云安全事故而遭受到不同程度的打击，业务损失严重，微软公司甚至因此全面停止提供Sidekick智能手机的云数据服务。

　　云计算安全联盟CSA近日发布了一项关于云计算安全的最新调查报告，调查发现在安全专家们看来，网络犯罪分子和黑客造成的混乱是云计算领域面临的最大的威胁。CSA云计算安全联盟列出的云计算行业面临的九大安全威胁，排序依次是 1.数据泄露 2.数据丢失 3.帐户劫持 4.不安全的API 5.拒绝服务攻击 6.内部人员的恶意操作 7.云计算服务的滥用 8.云服务规划不合理 9.共享技术的漏洞问题。

　　从云计算安全联盟CSA这项调查报告我们可以发现云计算安全领域的重点主要以盗取企业数据的网络攻击为主，而且危害也越来越严重。相比2010年，此次CSA列出的云安全威胁发生了较大的变化，数据泄露和帐户劫持的比例分别上升了1和3个百分点，与此同时，拒绝服务攻击也首次上升到安全威胁榜第五的位置。

　　Gartner分析师Lawrence Pingree表示，“所有预置的非虚拟化和非云部署的漏洞和安全问题仍存在云中，如果整个云计算供应商的基础设施被破坏，那些为了云化和虚拟化而引入的虚拟化软件反而增加了数据外泄的风险。”

　　法律缺失制肘云普及

　　在今年1月份发布的《云计算技术与产业白皮书》当中，云产业联盟明确指出，由于信息安全法律法规和监管体系不够健全，身份认证、授权于访问控制、责任认定、安全与隐私等技术问题还处于探索阶段，这已经成为中国云计算产业生态的缺失。

　　对于企业而言，将非核心业务交付给云供应商后，需要法律、法规对于服务水平、安全性、可靠性以及服务中断等问题及责任进行界定，但目前区别于美国等地，对信息服务有明确的规章制度，目前我国相关法律、法规建设还在摸索阶段。

　　当前我国比较流行的都是国外的解决方案，如IBM和微软等。由境外企业提供云服务，不仅我们的数据控制在这些企业手中，毫无秘密可言，而且一旦这家企业出现危机，则可能会连带着数万家乃至数十万家中国企业尤其是优质企业(优质企业才有财力购买高昂的外企所提供的服务)面临停业风险。我国应像欧盟一样，对国外(境外)服务商在本国提供云计算服务进行一定程度的限制。

　　“这也是为什么在中国私有云比公有云的发展快的原因。因为私有云实际上是企业内部试图利用云的概念，来增强IT灵活性、降低成本;而公有云服务现在还存在这样的问题，这就需要衡量风险与回报的收益了。”李刚认为。

　　上海软件产业促进中心合作拓展部部长徐宜岭认为，应早日规范行业标准，包括技术标准和认定标准。技术标准涉及到万一云服务商停止服务，客户的数据能够顺利迁移到其他服务商;认定标准涉及到什么是真正的云计算，到底什么样的企业能够提供云服务。对于一批不具备基本能力的云服务商，现在不做好标准制定，未来将会有非常多的用户会因这批服务商的关停并转而受损失。

　　着眼信息安全

　　当前互联网上讲云计算安全问题的很多，无外乎是隔离失败风险、合规风险、管理界面损害风险、数据删除不彻底风险、内部威胁风险等众多运营和使用风险，但这些都只是一般性风险，而不是主要风险。其实，云计算当前最重要、最核心的风险是国家安全风险和企业经济信息失控风险。浙江省经信委软件与信息服务业处处长洪杰表示，云安全从技术层面讲要防止丢失、泄密，从制度层面看，国内的信息安全本来就相对滞后，现在企业纷纷进入云计算产业，海量的用户信息分布在各个平台上，需要界定哪些企业有资质进入云计算领域、企业对平台上的信息有多大处理权限，用户不放心就难有市场，大规模发展云计算产业也只能是空谈。

　　就国家安全风险而言，前哥伦比亚电视台新闻频道总裁，早就明确指出：“随着世界的变化，美国的未来也需重新定位，不过云计算是美国可以重申其全球经济和技术带头人地位的重要领域”。应该说：“云计算”的提出和快速发展，正好为美国提供了新的机会。一旦全球信息的流动、存储和处理都要通过美国IT巨头在互联网构建的“云”来进行，那么美国就牢牢掌握了对全球信息的制导权。

　　为此，奥巴马政府早已经将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”，并宣布“从现在起，我们的数字基础设施将被视为国家战略资产”。为此，美国不仅注重把域名根服务器到码址资源等互联网基础设施掌握在自已手中，更最早开始了在军事领域部署“云计算”的计划。与此同时，他们的另一只手，就是大力支持其商业公司在全球大建云资源池和云计算中心，抢占社会化的云计算基础性战略资源。

　　近日，欧盟网络与信息安全局ENISA发布了一则《云计算：好处、风险以及信息安全建议》的报告。报告不建议将最敏感或者核心的企业数据置于云端，这些建议不仅很值得我国学习和借鉴，而且会给我国的企业和商家提供重要的启示和警示。
 

专家观点：

 

　　中国工程院院士 倪光南

　　云计算是一个新生事物，而且其发展不可限量，云计算安全是当前云计算推广服务应用的重要方面。安全性是传统网络信息系统共有的问题，在云环境下保证信息安全和传输安全更加重要，将网络信息安全的传统系统的安全问题放大到云环境下，数据安全的问题也同样放大，所以必须有更好的技术、保障体系、安全技术来支撑云计算的环境。云计算安全方面还应注意技术问题以外的一些问题，例如，隐私权、数字版权、实名制等问题。

　　北京大学软件与微电子学院信息安全系主任 卿斯汉

　　虚拟化技术和安全性在云计算中非常重要，但国内技术和国外主流技术相比差距还是比较大的，这也是国产化云计算项目中扶植推广的一大障碍。云安全的主要挑战是数据与应用的操作性，安全性是云计算能否大规模推广主要瓶颈，中国云安全的共性问题是大部分仍采取的是常规信息安全措施。

　　赛迪顾问股份有限公司 总裁 李峻

　　云计算应用安全是云计算各类应用健康和可持续发展的基础和保障，必须与云应用同步设计、同步实施、同步运营，安全问题能否有效解决是云计算推进的关键所在。目前，尽管我国信息安全厂商已提供各具特色的云计算应用安全解决方案，但云安全标准及云应用安全领域尚未形成合力的瓶颈问题仍很突出。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。