传统计算模式下,用户会享有数据储存和计算的完全控制权,而在云计算模式下,用户仅享有虚拟机的控制权,数据的管理权完全掌握在云服务提供商手中,随着网络安全等级保护 2.0时代的到来,用户更加关注云计算数据的私密性、安全性以及可用性,因此,在分析云计算安全风险以及安全系统要点的基础上,探究云计算安全风险的保护策略,对于提高云计算数据安全性,推动网络信息技术发展具有重要的意义。
一、云计算安全风险分析
网络安全等级保护 2.0背景下,云计算安全风险主要体现在两个方面:一方面是安全漏洞风险。目前,laaS、PaaS、SaaS是云计算是三个主要类型,随着网络信息技术的不断发展,人们对于应用程序的安全性提出了更高的要求,而SaaS中云应用软件是否存在技术性安全漏洞,始终是行业人员思考和研究的重点课题。另一方面是法律法规风险。云计算是近几年新兴的前沿性网络信息技术,由于科学技术的发展速度远大于国家法律法规的修订周期,因此,现阶段关于云计算的法律法规仍不健全,导致云计算数据安全性和私密性无法得到法律法规的全面保护,从而产生安全风险
二、云计算安全系统要点分析
(一)数据储存的完整性
云计算数据储存属于逻辑存储方式,用户无法获知数据真实的物理位置,从而对云计算数据储存的机密性和完整性比较担心,因此确保数据储存的完整性与机密性便成为云计算安全系统等级保护的要点。
(二)云日志的安全性
云计算技术的发展和普及速度飞快,已经成为各类系统的主要载体。而云服务提供商会将云计算系统的所有工作日志进行保留。作为供应商的内部资料,云日志的安全性和管理质量普遍被人们所担忧,因此云日志安全管理是云计算安全系统等级保护的要点。
(三)访问控制的安全性
目前,很多企业都会将数据信息上传至云计算系统中,从而经常出现同一个物理设备或虚拟环境中存有竞争对手数据信息的情况,因此,访问控制的安全性也成为云计算安全系统等级保护的一个要点。
(四)云密钥的安全性
云数据保护是云计算等级保护的核心,因此,技术人员会从技术和管理两个角度对云计算数据进行加密处理,同时对多种身份验证行为也采用加密处理。因此,云密钥的安全性必然是云计算安全系统等级保护的要点[2]。
三、网络安全等级保护2.0下的云计算安全风险保护策略
(一)建设网络信任体系
在网络安全等级保护2.0背景下,可以通过以下措施构建网络信任体系,从而加强云计算安全风险的保护效力:(1)搭建CA认证系统,向业务系统提供身份认证、证书生成等技术服务,给予用户安全可信的支撑服务(2)基于 CA 认证系统的技术支持,对用户信息进行统一管理,为业务系统访问、网络接入、操作系统登录提供统一的身份认证。
(二)建设安全技术体系
安全技术体系建设包含以下措施:(1)结合恶意代码防护、入侵检测与防御、身份认证、边界防护、访问控制、安全审计、等技术构建基础性安全技术防护体系(2)为云计算平台设置虚拟化安全防护系统(3)为云安全资源池设置安全防护体系(4)对公有云环境下不同租户、私有云环境下不同虚机进行南北向安全防御与隔离(5)利用云端监测类服务和安全防护功能进行纵深防御(6)结合数据生命周期,通过数据脱敏、访问控制、身份认证等技术手段,对主客体间的访问路径和行为实施安全防御(7)利用态势感知系统、APT 攻击防护系统实现主动式安全预判和安全检测,使安全防护可视化。
(三)建设安全管理体系
安全管理体系的建立主要包含以下四个关键内容:(1)建立健全安全管理组织机构,完善各项安全管理制度,切实提升安全管理的实效性(2)加强硬件设施建设以及相关工作人员培训工作,通过安全管理“软实力”和“硬实力”的提升,达到提升安全风险防控水平的目的(3)加强云计算系统设计、搭建、检验等环节的管理力度,提升云计算系统和平台的安全性和稳定性(4)通过组建专业安全运维团队或运维服务外包的方式,增强运维能力,确保云计算安全风险保护的持续性和稳定性。
(四)建设风险管理体系
与第三方专业安全测评机构共同构建风险管理体系,借助三方机构的专业性一方面对云计算风险保护工作的合规性进行测评;另一方面,对现有安全系统残留风险进行监控和处理。
四.总结
综上所述,网络安全等级保护2.0背景下,云计算安全保护工作备受人们的关注,为进一步提升云计算安全保护能力,相关企业和技术人员应明确其主要风险点及安全系统的建设要点,并通过网络信任、安全技术、安全管理、风险管理四个体系的构建,从而使云计算安全保护满足网络安全等级保护2.0的需求。
