作为近几年的一个新生事物,云计算给企业的实际工作带来的影响非常深远。在给企业的运营流程、采购流程、业务研发带来启发的同时,来自云计算的安全威胁也逐渐成为各个企业不得不考虑的问题。
解决安全威胁需对症下药
新的安全威胁的出现会带来新的安全需求,这也会给众多安全厂商带来启发和创业机会。
绿盟科技首席战略官赵粮认为:“准确定位云计算的保护要点需从云计算的特殊性出发。”首先,要掌握云计算不同形式的拒绝服务、恶意使用,从系统层面、应用层面、网络层面等建立起完善的抗拒服务能力。其次,因为云计算是外包形式,需要把OLA方式的内部和约、内部安全度量编成更细致的、更容易考核的文本。再次,移动互联网时代漏洞在以惊人的速度上升,而云计算是基于Web的计算形式,这就要保证Web的主流应用、主流系统、主流平台漏洞得到及时的公告、修复,还要及时跟用户保持流程的畅通。此外,完备的电子证据和审计系统在云计算时代也是必须的。
在云计算的管控方面,赵粮认为要从两方面出发,一方面是应用的生命周期,云计算时代产品的研发、更新换代变得越来越快,云计算应用生命周期的安全投入需要加强,以防止在产品快速更新的过程中将安全问题屏蔽。另一方面是供应商的安全管理,从前对第三方供应商的安全管理仅限于人员管理,但到了云计算时代,除了人员之间、人机之间的管理,更多的是机对机的管理。此时的安全门槛需要有一个标杆,对第三方供应商也应该开放一定的信任空间。
云安全联盟发挥功效
2009年,云安全联盟CSA在RSA大会上宣布成立,旨在为云计算环境下的企业提供最佳的安全方案。而绿盟科技作为中国、乃至亚太地区第一个企业成员加入了云安全联盟,并致力于在云安全、云计算领域的研究,全面帮助运营商提升安全问题。
近日,云安全联盟成立了大中华分会。可以说,云安全联盟是一个跨行业、跨地区的交流合作平台。
赵粮表示:“在这个平台上,我个人想提几点希望。第一是关于云的安全控制、安全需求有哪些,希望各大企业在采购云的时候可以给出更加全面的参考模板,这有助于我们开发出一个适合中国特点的需求模板。第二是希望有更多法律界的专家朋友加入进来,开发一个能够放在Web上的安全化云计算的采购过程模板。”