云计算冲击下的网络安全问题
中国IDC圈9月29日报道:安全指的是没有危险和风险,免受打探和攻击;安全性也是一种信心的体现,没有怀疑和担心。在计算机领域,安全性是保证存储在计算机上的数据不被没有权限的人窃取和访问,绝大多数安全措施涉及到数据加密和口令。
云计算对传统安全带来深远影响
云计算是一种崭新的服务模式,它影响着传统的信息安全领域。特别对于传统的反病毒和入侵检测和防御厂商而言,他们利用云计算平台,大大提升了他们的服务能力和水平。
趋势科技关注云计算,探索如何将客户端日渐庞大的资料库摆在云端,借助威胁信息汇总的全球网络,在Web威胁到达网络或计算机之前对其予以拦截;瑞星打出了“安全云”计算口号,利用云计算提升其对病毒样本的收集能力,减少威胁的响应时间;赛门铁克等厂商设立专门的“蜜罐系统”,来广泛收集网络中存在的攻击行为;网络安全厂商Websense在恶意代码收集及应急响应方面也充分利用了云计算的特征,其在全球范围部署的蜜罐和网格计算的紧密结合,可以及时应对网络中不断出现的新型攻击行为,为其规则库的及时更新提供了有力的支持。
以上都是关于传统安全厂商利用云计算服务的优势以增强其传统服务项目和产品的安全性。
云计算安全用户的安全办法
增强安全防范意识。幸运的是,一点点常识和一些简单的正确电脑操作练习可以将这类安全性失误的影响降至最低,避免将你的机密资料放在云端上,如果你真的放了,例如利用网上银行时,避免在网络咖啡厅、学校或图书馆内的公用电脑上进行,也别太随便给出自己真正的联络资料,避免每个账号都使用同一个密码,就算只更改一个字母也好。云计算安全下增强安全意识,清楚地认识到风险,并采取必要的防范措施来确保安全。
经常备份。存储在云里的数据,要经常备份,以免在云计算服务遭受攻击、数据丢失的情况下,数据得不到恢复。
建立企业的“私有云”。当数据重要到不放心放在别人管理的云里,就建立自己的私有云。私有云也叫企业云,它是居于企业防火墙以里的一种更加安全稳定的云计算环境,面向内部用户或者外部客户提供云计算安全服务,企业拥有云计算环境的自主权。与之相对应的是“公共云”,通过云计算提供商自己的基础架构直接向用户提供服务,用户通过互联网访问服务,但用户不拥有云计算资源。
数据加密后放到云端保存。透明加密技术可以帮助企业强制执行安全策略,保证存储在云里的数据只能是以密文的形式存在,企业自主控制数据安全性,不再被动依赖服务提供商的安全保障措施。
云计算服务提供商的安全办法
云计算厂商采用必要的安全措施。云计算厂商内部的网络和我们大多数企业的网络没什么不一样的地方,其要实施的安全措施也是传统的安全措施。包括访问控制、入侵防御、反病毒部署、防止内部数据泄密和网络内容与行为监控审计等。
云计算厂商采用分权分级管理。为了防止云计算服务平台供应商“偷窥”客户的数据和程序,可以采取分级控制和流程化管理的方法。银行是一个很好的例子,银行虽然储存着所有客户银行卡的密码,但即使是银行内部员工,也无法获取客户的密码信息;同时,银行系统内也有一系列流程防止出现“内鬼”。例如,将云计算的运维体系分为两级,一级是普通的运维人员,他们负责日常的运维工作,但是无法登录物理主机,也无法进入受控的机房,接触不到用户数据;二级是具备核心权限的人员,他们虽然可以进入机房也可以登录物理主机,但受到运维流程的严格控制。
云计算改变了服务方式,但并没有颠覆传统的安全模式。所不同的是,在云计算时代,安全设备和安全措施的部署位置有所不同;安全责任的主体发生了变化。原来,用户自己要保证服务的安全性,现在由云计算服务提供商来保证服务提供的安全性。和云计算安全问题同样重要,云计算的可靠性和可用性值得高度关注。云计算安全提供给传统安全厂商以极大的优势来提高服务质量和水平。解决云计算安全问题的办法和传统的解决安全问题的办法一样,也是策略、技术和人的三个要素的组合。