· 完善用户信息的数据加密与密钥管理与分发机制,实现对用户信息的高效安全管理与维护;
· 完善数据备份、安全恢复机制,在发生异常时为用户进行及时的数据恢复。
(3) 身份认证与安全接入控制
建立严格的云计算AAA机制,实施严格的身份管理、安全认证与访问权限控制,提供用户访问记录,访问可溯源。
(4) 加强云计算数据中心的安全管理,完善安全审计机制
· 加强云计算数据中心的安全管理,完善安全事件应急响应机制及处理流程;
· 加强对操作、维护等各类日志的审计管理,提高对违规溯源的事后审查能力。
3.3.2 云计算用户
对于广大用户而言,在选择云计算服务或将现有IT系统向私有云或公共云服务迁移之前,首先应对云计算安全有一个正确的认识,这对用户决定将什么样的业务放在云里,以节本增效、增强安全性,有着重要意义;同时也应合本企业实际情况,做好周详的准备工作,在最大程度上降低在向云计算服务迁移后可能出现的安全威胁。
(1)向私有云迁移
私有云一般部署在企业网内部,所面临的安全风险相对较小,但依然会面临法规遵从、软件许可、应用可靠性、SLA等问题。用户在向私有云迁移时,需要采用成熟的技术方案,解决私有云的系统建设及运营管理安全工作,具体可参见上文。同时,应做好系统容灾、数据备份以及业务回退机制,以提高应对各类突发安全事件的处理能力。
(2)向公共云迁移
在向公共云迁移时,应采取如下举措以规避迁移风险:
· 尽量选择安全可信度高、信誉好的大型云服务提供商,降低云服务提供商出现破产导致的业务受损或相关负面结果的风险;
· 确定哪些业务可以使用云计算服务,有选择性地向云计算服务迁移,如对于企业最至关重要的涉及核心知识产权的或非常敏感的信息,在做好各项测试验证前,应审慎迁移;
· 继续做好数据迁移后的安全管理和监控,一方面应通过技术手段和合规审计来验证云服务提供商的安全举措,确保自身数据安全及完整性;另一方面,也应继续做好自身应用系统的安全管理与运行监控工作,包括关键应用信息的备份,以应对云计算系统故障等突发安全风险;
· 详细了解协议内容,确保了解SLA服务协议、服务提供商的隐私协议等,通过协议条款要求云计算服务提供商更新其保护系统,以实现与业内最佳实施策略相一致;
· 明确云服务提供商存储用户数据的地点,在可能的情况下,控制数据的存放地点,以应对不同地区、国家的法律差异而可能引起的法律纠纷。
另外,由于云计算服务可能涉及到诸多个人、企业乃至整个国家的重要敏感信息安全,因此在某种程度上需要政府相关监管部门的介入,通过制定、完善相应的法律法规,对云计算服务提供商、云计算服务进行规范、监督、审计,保障云计算应用服务及信息安全。
4 结束语
安全是广大用户权衡是否使用云计算服务的重要指标之一,是云计算健康可持续发展的基础。只有为用户提供可靠、可信、高性价比的云计算服务,企业才有可能在云计算领域取得成功。本文在总结、分析云计算应用面临的技术层面安全威胁和法律合规风险的基础上,对云计算应用安全进行了系统分析与研究,并分别从云计算服务提供商和用户角度提出云计算应用安全策略与建议。相信随着整个云计算产业链的不懈努力,以及政府监管部门相关法律法规的不断完善,云计算应用及服务将朝着可靠、安全、可信的方向健康发展。
