云计算是IT行业不可阻挡的大趋势。不少数据中心已经在积极部署云计算技术,而从安全的角度出发,云计算应用是一把双刃剑,既能给安全行业带来新的机会同时也会给信息安全带来新的挑战。在第八届CSO俱乐部大会“保护云时代的数据安全”分论坛上,专家、用户等围绕如何正确认识云计算环境下数据安全面临的种种威胁、如何充分利用云计算的特点更好地保护好企业数据安全等展开了讨论。
“云计算是一种新的商业模式,这种商业模式一定会给普通老百姓带来切身利益。而另一方面,因为我们进入了一个陌生的环境,还没有建立相适应的治理机制,担心是正常的。”中国可信计算工作组技术专家吴秋新表示。
RSA,EMC信息安全事业部大中华区高级信息安全系统构架师司马丽维认为,云计算对安全的最终影响取决于我们如何利用这项技术。“从技术上来说,我们可以把云安全做得比以前更好,但是否真能做得更好,不仅仅是技术问题,还涉及管理、流程以及观念。”她说。
来自广州市信息安全测评中心的周晓斌副主任认为,云计算的出现总体上是有利于安全的。因为云计算的集中管控对安全而言非常有利,这样管理起来更方便了。但他同时提醒此时安全风险更大了。
“当数据都集中到一个点之后,我们只要做到一个点的安全就可以。” 东软集团股份有限公司网络安全产品营销中心产品经理徐松泉介绍说,“而挑战则是鸡蛋都放到了一个篮子里所带来的挑战,风险更大了。”
那么,云计算究竟会给数据安全带来哪些威胁?司马丽维在演讲中列出了部分威胁,如身份验证、访问控制(谁有权利访问何种资源)、数据丢失、泄露的防范等。“这些问题并不是云计算带来的,也不是云计算本身所特有的,只是云计算可能放大这些问题。”司马丽维说。
吴秋新表示,云计算时代用户会更关注数据安全和身份,这使得云计算的可信计算会比在云之前更重要,在云环境里面也要建立一个可信根、一个可信的计算平台、一个可信的计算环境,这些概念同样需要。
周晓斌介绍了广州市信息安全测评中心在“云时代的用户身份认证”方面所做的一些探索工作。过去两年来,他们一直在探索如何让数字证书的应用模式适合云计算。“传统的数字证书的模式是不能够满足云计算需要的安全服务的,因此,我们才探索如何把安全服务也变成一种安全云,通过安全的云解决云安全的问题。”他说。
“安全即服务”的概念也是专家们热议的话题。“云计算时代,用户要面对各种安全软件,应对层出不穷的安全威胁,一般用户并不能很好地处理这些工作。而作为厂商完全可以,为用户提供与安全防范有关的集成服务、咨询服务。在云计算时代,服务的概念将更有市场。”徐松泉说。
