了解认知云计算威胁 完善数据安全体系

云计算(Cloud Computing)是一种基于互联网的运算方式，透过这种方式，共享的软硬件资源和信息可以按需提供给电脑和其他设备。使用者通过浏览器、桌面应用程序或是移动应用程序来存取云端的服务。推广者认为云计算使得企业能够更迅速的部署应用程序，并降低管理的复杂度及维护成本，同时允许IT资源可以迅速重新分配来应对企业需求的快速改变。但需要注意的是，即使云计算有许多优点，在部署应用时仍需考虑其相关的安全问题。

云计算的内在威胁

根据2013年的RSA国际资讯安全会议中有列举出2013中云计算的九大威胁，它们分别如下：

第一名：资料危害

把资料放在云端上是有被泄漏出去的风险，而且如果公司内部的敏感资料外泄给对手，那么对于公司的影响是相当巨大的。

可通过云端进行数据的存储、分发

第二名：资料遗失

存放在云端的资料可能因为恶意攻击而丢失，也可能会被服务提供者误删或是因为一些如地震、火灾等因素造成物理上的损坏。

第三名：帐户或服务流量被劫持

攻击者可能会利用钓鱼、诈骗或是软件的漏洞得到使用者的存取的凭证，之后可能会窃听你的交易活动及资讯、操纵你的资料，甚至将你所使用的服务变成攻击者的新基地，在2010年的四月，Amazon有XSS的问题，让攻击者从其网站中拦截凭证，而2009年多个Amazon的多个系统被拦截作为宙斯僵尸网络的节点。

第四名：不安全的介面或APIs

云端服务必须以靠介面以及API来与使用者作互动，若云端提供商的这些部分没有将保护作足够，那么就可能增加风险。

第五名：拒绝服务(DoS)

拒绝服务攻击使用大量的流量攻击特定的服务，通常除了等待以外没有办法去存取到你要的服务。

第六名：恶意内部员工

云端提供商的员工可能会因为某些因素去存取敏感性资料，或是攻击自己公司的数据中心，像Google这样的大公司也曾经发生过员工侵犯用户隐私的问题。

第七名：滥用云端服务

云计算可以提供使用者强大的运算能力，但不是所有人都拿来做好事，可能会被攻击者用来破解密码或是发动DDoS攻击。

第八名：不足的研究

在没有对于云端服务有足够的了解就大量的采用云端服务，如此一来很可能造成危害。

第九名：共享科技的弱点

云端服务中的许多资源都是共享的，但也因此可能将整个环境暴露在威胁之中。

那么在了解了云计算的威胁后，如何能够远离数据安全的隐患呢？

建立完善的数据安全体系

为了让云计算或者说云技术远离数据安全隐患，就需要针对各种复杂多变的环境，建立起系统化的有效防护体系。

首先，要做好评估工作。从传统互联网向云上迁移时，在获得共享性和降低成本等好处的同时也面临了更复杂的生态环境。必须对安全漏洞进行评估，确保所有控制都到位且运行正常。同时，在选择云服务供应商之前也需要做好调研工作，需要掌握该服务商传播那些与物理安全、逻辑安全、加密、更改管理和业务持续性以及灾难恢复等属于同类型控件的能力。

其次，进行有计划的风险控制。制定一个正式的风险缓解计划，包括风险的文件、对这些风险的响应、教育和培训等。还应该看看弹性需求制订一个弹性计划，若想在一场灾难或攻击事件中迅速恢复的话，谨慎确保工作负载可以随时恢复，以及把业务连续性的影响降到最低，这个计划是很重要的。

然后，数据防护将是核心重点。人们对于信息安全的关注通常从设备和链路，以及防护、阻截等的角度考虑的较多。其实内容或者说数据本身的安全防护才是核心。云计算环境下尤其如此，保护好数据本身的安全才能够真正实现安全。

还有，关键的基础管控过程。将近六十个保护最重要资产的安全基础控制，是包括云环境在内的所有信息安全的关键。必须得到确认以确保云技术对您的系统、业务和操作符合安全控制。

而采用混合模式更是有效的部署方案。如采用与提供混合的安全服务模式，将云的服务与预置的服务混合起来，多种模式同时进行，一方面有助于减轻压力，另一方面以组合增加了防护的变量，使防护更为行之有效。

同时，要尽早进行异常检测。如果攻击者获取了账户信息，即使是机密也于事无补。所以，云供应商必须部署良好的异常检测系统，并与客户共享这些系统的信息和审计记录。使用不同的工具来确保云供应商满足客户的需求，这是一种分层的办法。

再有可以进行全程防护的生命周期，如在全面、全方位、全生命周期的“三全防护”中，展开有效防护。全面、全方位主要通过各类信息安全技术来实现，而全生命周期则需要意识、技术、制度综合到位、持续进行，有赖于勤于云技术管理和定期的安全性审查。

当然进行更为普遍的加密操作。这里说的加密，不仅仅是终端到终端加密，而且还包括在将数据转移到云中前，能够在企业内部加密数据。云供应商需要制定强大的加密解决方案，以让企业确保其数据的安全性。同时利用好专业的云安全服务，像独立的安全服务咨询、托管等各类服务提供者已经逐渐发展起来，利用好这些专业化的机构或服务商，实行长效的防护乃至事前积极的监测保护，既减轻自身的压力与固定开销，也能够更加主动。

随后关注工作负载的状况，通过对设备和应用等信息工作负载的重点关注，充分考虑其独特性，制定更有针对性的安全计划，比传统的操作提供更安全的保障。

还需要厘清安全责任。很多用户都会认为，云服务供应商应该对数据承担责任，而供应商却易责怪客户自身措施不得力。据调查显示，超过三分之一的客户仍然期望其软件即服务供应商保护应用程序和数据的安全。其实手段是重要的，如何有效地运用手段同样重要。只有供求双方各自承担起自己应尽的安全责任才是无懈可击的根本保证。

最后建立完善的日志体系也很重要。对管理访问日志保持审计是非常重要的，即有一定量的日志信息可以主动提供给所有需要追踪的企业来进行各种分析。但大多数小型云服务没有提供这种信息。

综上所述，云安全并不是一个短期的问题，云计算想要长久持续的进行发展，数据安全问题时不容小觑的，本文的这些方法，究其根本，数据本源的安全防护是最重要的。所以在采用云技术的同时，应采用具有针对性且能灵活应对的加密技术进行核心数据防护应是一个有效的选择。这就要求我们在享有云提供的信息完整、开放、良好用户体验等优势的同时，更要保证数据的安全。若没有安全的保障，云应用的价值将大打折扣，更有可能带来损失和灾难。