新聞中心
當(dāng)前位置:網(wǎng)站首頁 > 新聞中心
合約、隱私與法律遵循:云計(jì)算安全的三個(gè)要點(diǎn)
云計(jì)算的安全問題是一個(gè)熱門話題,它應(yīng)該包括用來保護(hù)云計(jì)算相關(guān)的基礎(chǔ)架構(gòu)、應(yīng)用程序和數(shù)據(jù)安全的一系列控制措施,包含技術(shù)以及流程,市面上也有不少基于云計(jì)算的安全軟件或安全服務(wù),盡管業(yè)界通常認(rèn)為這不是來保護(hù)云計(jì)算的安全,也會使用云安全概念。
和云計(jì)算相關(guān)的安全問題要么在最終用戶方,要么在云計(jì)算服務(wù)提供方。云計(jì)算服務(wù)的提供者必須確?;A(chǔ)架構(gòu)的安全,這些包括數(shù)據(jù)中心的物理安全、虛擬硬件平臺的安全,如果提供應(yīng)用程序服務(wù),還需要保障應(yīng)用程序的安全,在運(yùn)行于這些云系統(tǒng)服務(wù)之上的客戶的數(shù)據(jù)安全保護(hù)方面,當(dāng)然也會有,并且應(yīng)該有一定的安全措施。
在云計(jì)算服務(wù)的客戶方,要確保運(yùn)云提供商已經(jīng)實(shí)施了適當(dāng)?shù)陌踩刂拼胧?,以便能更好保障?yīng)用程序和數(shù)據(jù)的安全,由于虛擬化的原因,客戶方不需要接觸到公有云的數(shù)據(jù)中心和各類硬件設(shè)備,所以他們會擔(dān)心云廠商的硬件和操作系統(tǒng)的安全問題,此外還會擔(dān)心虛擬化軟件系統(tǒng)的安全、以及云服務(wù)商的安全能力問題??傮w來說,云計(jì)算安全會落到幾個(gè)要點(diǎn):
1、合約
在合約層面,云計(jì)算最終用戶會和服務(wù)商探討雙方的權(quán)利和職責(zé)、產(chǎn)權(quán)歸屬以及服務(wù)中止等問題。需要明確發(fā)生安全問題時(shí)雙方各需承擔(dān)的責(zé)任,不再續(xù)約合同的時(shí)候如何交還或遷移客戶的數(shù)據(jù)及應(yīng)用程序等等,國內(nèi)多數(shù)客戶對IT服務(wù)的概念接受度還不夠,相關(guān)法律不夠健全,法務(wù)人員也缺乏這方面的經(jīng)驗(yàn),所以在合約層面想達(dá)成一致相對較難。
2、隱私及安全
在隱私及安全層面,最終用戶必須有自己可控的帳戶管理系統(tǒng)來訪問云計(jì)算及相關(guān)的信息資源,當(dāng)然云服務(wù)商要確保經(jīng)過身份驗(yàn)證的授權(quán)用戶可以訪問到云系統(tǒng)服務(wù),包括應(yīng)用程序和數(shù)據(jù),在應(yīng)用程序的安全方面,如果云服務(wù)廠商只提供計(jì)算平臺即服務(wù),則用戶自己需負(fù)責(zé)應(yīng)用程序的安全,如果云計(jì)算廠商提供了軟件即服務(wù),那必須保證基于云計(jì)算的軟件系統(tǒng)的安全,舉例講,提供基于云計(jì)算的存儲或數(shù)據(jù)庫服務(wù)的,需保障數(shù)據(jù)存儲軟硬件平臺的安全。云計(jì)算廠商要提供用戶管理和針對數(shù)據(jù)安全的保護(hù),不僅需要非常龐大的應(yīng)用系統(tǒng)開發(fā)和運(yùn)維力量,更需要及早將安全控管功能嵌入到云服務(wù)平臺和應(yīng)用系統(tǒng)之中。
3、法律遵循
在法規(guī)遵循方面,國內(nèi)針對云計(jì)算安全的法規(guī)尚未成型,但會參考服務(wù)外包相關(guān)的規(guī)定,通常涉密行業(yè)受到嚴(yán)格監(jiān)管,如果要外包或使用云計(jì)算,相關(guān)的云計(jì)算服務(wù)也需受到同樣的監(jiān)管要求,而且這些用戶還需得到監(jiān)管機(jī)構(gòu)的審批,這些規(guī)定無疑會成為公有云計(jì)算在國內(nèi)重點(diǎn)行業(yè)普及的障礙。另外,法規(guī)對審計(jì)方面的要求也非常高,但是目前對云計(jì)算相關(guān)的安全審計(jì)標(biāo)準(zhǔn)、指導(dǎo)和措施都不夠成熟,另外云計(jì)算在建設(shè)初期往往只會關(guān)注功能的實(shí)現(xiàn)上,而忽略日志和記錄的維護(hù),這也需要引起重視。
簡單總結(jié)一下,大型企業(yè)級用戶使用公有云計(jì)算的路子還很長,一方面是安全問題難以解決,另一方面,即便是使用私有云,大量數(shù)據(jù)和應(yīng)用的遷移也會耗費(fèi)多年的時(shí)間。而國內(nèi)多地政府主導(dǎo)的公有云計(jì)算目前多側(cè)重于計(jì)算能力和平臺即服務(wù)上,往往是政績項(xiàng)目,在應(yīng)用和安全方面明顯乏力;由互聯(lián)網(wǎng)大腕投資的云計(jì)算也多側(cè)重于網(wǎng)站建設(shè)及電子商務(wù)相關(guān)領(lǐng)域,顯然滿足不了大型組織的復(fù)雜企業(yè)應(yīng)用要求,最終注定公有云計(jì)算服務(wù)只能停留在較低層面的計(jì)算平臺、空間租用或簡單的大眾化應(yīng)用,也只能吸引來自非涉密行業(yè)、個(gè)人、家庭及中小企業(yè)買家的關(guān)注。
要解決上述云計(jì)算普及的最大障礙,關(guān)鍵是加強(qiáng)云計(jì)算服務(wù)商和潛在大客戶的安全意識教育,讓賣家了解如何提供安全的云計(jì)算服務(wù),如何做好服務(wù),讓買家了解如何挑選安全的云計(jì)算,如何管理外包服務(wù),只有雙方都清楚了這些,才能可能進(jìn)行下一步的溝通,才有合作的可能。
不能渴求立法和監(jiān)管機(jī)構(gòu)在產(chǎn)業(yè)尚未成型時(shí)便做出可操作性的規(guī)范或指南,向云計(jì)算的變革過程必定要經(jīng)歷一段動蕩期,能獲得大量客戶并保留住這些客戶的云計(jì)算廠家,一定是那些能證明自己的安全能力可以保護(hù)客戶的應(yīng)用程序和數(shù)據(jù)安全的,而要達(dá)到這一點(diǎn),唯有從全體員工的信息安全意識教育抓起。
|