设为首页 | 加入收藏

云计算“七宗罪”成共鸣 专家呼吁建云安全部系 最新动态

http://www.hnqnw.com   2013-05-03 09:37:07  河南青年网    

  “数据存在‘云端’,化有形于无形,找到都很难,别说攻击了。”鼎普科技信息安全研究院总经理徐志亮这样说明“云”带来的安全感。

  而国家信息化专家咨询委员会成员曲成义却这样描写“云时代”用户的感受:“把自身本来管得了的资源交给看不见摸不着的‘云’。”

  随着“云使用”的普及,人们交给云服务运营商管理保证的数据越来越多,“云端”安全成为迫在眉睫需要直面的问题。

  “云时代的信息安全不能再走互联网先发展、后治理的老路,起步之初就要综合考虑发展与安全的平衡。”近日在京召开的“云时代下的信息防泄漏技术变革与创新研究会”上,公安部网络安全保卫局总工程师郭启全如此呼吁。

  “云”的“七宗罪”

  云计算的“七宗罪”已成为业界共鸣,2010年年初,云安全联盟与惠普公司共同列出了它们:数据泄漏、共享技术漏洞、内奸、账户和通信等的劫持、不安全的使用程序接口、没有正确使用云计算,以及风险未知。

  “大家把数据都存在‘云端’,涉密数据的集中本身就是新的风险。”国家保密局总工程师杜虹认为,“再一个问题是装数据的‘房子’是‘金城汤池’还是‘纸老虎’?这请求保存数据的虚拟化技术及产品自身要过硬。”

  “云端安全屋”更多地是一个系统工程。“身份甄别、访问节制、安全监控与审计都要包含在内,而我们现在ing的涉密网还没有形成系统,产品并不配套。”杜虹说,“管理人员的管理权限如何避免集中和权责明白,都是一个需要摸索的方面。”

  技术、程序、人都可能成为漏洞,如何有针对地防御?“首先要选一个可靠的服务商,”中国计算机学会计算机安全专业委员会主任严明转述起美国思科公司安全专家给他的建议,“还要签一个周密的合同,保证信息不被存在境外,保证服务结束后信息获得完全扫除。”

  服务商的可靠意味着“可靠的房子和可靠的管理员”,合同的周密束缚着这些“可靠”能够被履行。

  “但是作为用户,谁来证实履行与否?专家的答复是要找可靠的服务商。”严明笑言,“我这一听,坏了。这样像是钻进了一个无解的循环。”

  “有利于进步用户终端的安全性、资源的应用率、管理和保护的效率、信息基础设施的灵活和可用性。”杜虹表示,尽管现阶段的技术水平对“涉密云”的掌控无法完全把握,但奇特的精良优势还是让很多单位和个人对云计算的使用需求逐步加强。

  六层“铁壳”装配“可信云”

  “要让人家看不到,看到了也拿不走,拿走了也打不开,打开了还看不懂,看懂了却改不了,最后因为有追踪,还能秋后算账,让他赖不掉。”中国工程院院士沈昌祥用六个“不”形象地描写出对“涉密云”的安全畅想。

  加密、身份绑定、权限节制、边界节制、输出管理、追踪审计,在徐志亮的幻灯展现中,一朵“可信云”被绘制出来,它用六层“铁壳”牢牢围裹在涉密数据周围,一一回应沈昌祥的六个“不”。

  “传统意义上的加密只是第一步,身份绑定后数据就像盖了戳,谁的谁说了算,一一对应;权限节制则让信息所有者拥有给别人授权使用的权利;”徐志亮说明说,“边界节制让全部‘云系统’即便是集中存储了多方的数据也条分缕析;输出管理,则完美了用户间数据交互的需要;追踪审计,让这朵‘云’上所有数据的变动都有踪影可寻。”

  “前五层‘铁壳’是为了保证信息可控,最后一层的‘审计’则保证了全部过程可查。”徐志亮认为,可控和可查的“双保险”有效地补充了云计算在安全上的“先天不足”。

  根据这样的设计理念,鼎普公司研发了基于服务器数据块调度的终端内核虚拟化无痕技术,其优势是,专用加密文件系统、施展硬件最大效能、不转变网络架构、不转变使用习惯、异常处理恢复迅速、建设成本低。

  “现有计算机的性能和效率已然非常高,我们可以直接应用,老设备不走老路,走专有的网路,使用专用网络协议保证传输安全。”徐志亮逐一说明,“同时,我们能做到用户无感知的恢复。就是说在涌现异常时,数据的恢复速度之快让用户来不及察觉。”

  云安全部系要“随建随立”

  和诸多行业系统的成长成熟一样,云安全部系的健康发展从来不是一项技术或一家企业可以完成的。

  “这家研究的服务器、那家研究的操作系统、第三家研究的操作芯片,往一块堆凑,竟然运转不了。”郭启全讲起自身在某国内展览上看到的“怪现状”。

  “多一家企业的产品就配不上套,这不烦杂了吗?”郭启全说道,“标准要马上统一起来!在行业成熟前出台标准,企业按统一标准研发产品,统一数据格式,产品才可迅速推广使用。”在他眼里,同一行业里的企业要像一条船上的“纤夫”,劲往一处使,而标准则是那根凝聚合力的“缆绳”。

  “在新技术和新使用推广上,国家的步骤可以总结为,出台一个政策、搞一批试点、支持一批企业研发、出台一批标准。”郭启全认为,这个思路对于信息安全行业的发展非常重要。他说,政府方面,云计算的安全政策正在研究出台,下一代互联网的信息安全标准和关键信息安全产品的相关标准也正在编制中;而企业方面,应当具有承担大型信息服务项目的才能,具有研究研发新技术安全的才能,在承担国家责任的同时,发展壮大自身。

  不久前,美国国会规定,美国商务部等不得应用任何拨款采购由中国政府拥有、管理或赞助的一个或多个机构所生产、制作或组装的信息技术系统。“因此,信息安全必须上升到国家的政治、国防、文化、经济安全的高度来看待。”郭启全进一步呼吁,建在“云端”的数据“安全屋”要想更坚固,政产学研各方的共鸣达成必须走在“分歧”成为事实之前。

作者: 张佳星
(编辑:王子)

来源: 南方网

相关文章
云计算“七宗罪”成共
“云端”安全成为迫在眉睫需要直面的问题。。[详细]
Copyright © 1996-2010 www.hnqnw.com 河南青年网 版权所有
投稿QQ:200986953投稿QQ:100832643