06年,谷歌颠覆性的提出了“Google 101计划”,并正式提出云的概念和理论,随后亚马逊、微软、英特尔、IBM等都宣布了自己的云计划,一时之间,“云存储”、“云安全”、“公有云”、 “私有云”等云概念风靡全球。服务器在进化、虚拟化应用与云计算技术不断引入,促使越来越多的企业在迈向云端。云计算提供了开放的标准、可伸缩的系统和面向服务的架构,使用户能够以灵活且经济实惠的方式享受可靠、随需应变的自助服务。大量的资源共享池、更低的成本以及更高的工作效率等,云计算为我们使用网络提供了几乎无限多的可能,各种美丽的景象让一大群人激动难耐。
但是,在人们纷纷畅享云服务的背后,有些疑虑一直盘踞在心里:海量的数据被转移到用户掌控范围之外的设备(云)上时,如何确保存储海量重要信息的“云”安全?对具有敏感信息的企业而言,这种所谓的便利性,恰恰也是数据泄密的风险所在,“云”的应用不能以核心数据的泄密为代价!要想真正体现云的价值,最不能轻视、最严重和最需考虑的就是云数据的安全。明朝万达云安全专家解析,目前云服务所面临的安全风险主要在以下几个方面:
◆采用数据“云”端存储技术时,云终端可以通过物理硬件防止数据从终端泄露,但由于数据是明文存储在终端,依然无法解决文档的授权管理,即如何防止员工查看非授权文件?内部失密风险仍然存在。
◆云面临多种终端的访问需求,如PC、笔记本、Pad、智能手机等。如何保证终端身份的合法性与文档存储在设备内的安全性?
◆云建设依赖于云服务商的服务能力与技术可靠性,但如何保障数据在云端的安全存储,如何保证存储在云端的数据不被运营商监守自盗或不被一锅端呢?
◆法律和合规性风险,因为"云端(服务器)"所在的地域不同,使用期间可能面临的法律风险也会大不相同。虽然网络无边界,但用于进行"云计算"业务的服务器毕竟真实的处于各国法律的管辖之下,因此,对于"云计算"的不当应用,将可能面临极其严重的法律风险和侵权风险。
据统计,现市面上已有的云服务商的安全产品主要是从云计算平台本身出发,围绕平台的稳定性、用户数据安全性、完整性、保密性、网络攻击防护等方面展开,主要包括系统冗余、用户安全认证、权限控制、端对端的数据传输加密、系统安全防护等技术手段,而这些安全手段并未涉及存储数据级的安全。作为企业,不得不考虑将核心数据统一归档集中存储在第三方存储设备(云端)上后,云服务提供商能否确保企业云端数据的存储安全与访问安全?相信“盛大云”的事件也让很多企业心有余悸!
明朝万达公司信息安全专家分析目前公认的云服务技术主要采用虚拟化技术的云终端和B/S客户端架构两种形态来实现,而不同的技术手段分别会面临不同的泄密风险点:
采用虚拟化技术的云终端,一般是“桌面云终端+存储”或“虚拟云桌面+存储”的模式构成。在对云端非结构化数据(文档)访问与使用时,云服务商是否可以提供数据的权限级别设置,以防非权限访问?而基于浏览器(或云客户端)操作来提供云服务的客户端架构技术,数据在使用过程中普遍会以明文的形式存储在终端,这种情况无疑增多了数据的不安全性,如计算机的外设、邮件、网络应用等均会成为泄密的途径;而云服务支持多种设备对云端连接的便利性,在方便用户共享数据的同时,亦带来了身份有效性验证、通讯链路的安全性保障、数据落地存储与使用安全等问题。
鉴于以上分析,@北京明朝万达Chinasec“云”数据安全解决方案的思路将根据云服务的两种形态来区别对待,以数据安全为核心,围绕敏感数据的存储、传输和使用过程中可能触发的风险提供针对性的完整云安全解决方案。
云数据安全解决方案
◆云端数据加密存储。云架构进一步推动了数据的集中存储和快速共享,对于黑客或其他心怀恶意的信息窃取者来说,目标更加清晰,途径更加便利,无论是采用虚拟化技术还是客户端架构,企业都绕不开云端数据安全保护的问题。将文件加密存储在云端,从而解决用户对于云存储的数据安全性的不信任,规避数据在云端泄密的风险。
◆文档权限管理。Chinasec数据管理平台提供以密级为核心的文档安全管理系统,可根据管理角色的不同灵活划分多种细粒度的文档访问权限,可针对文件、文件夹或应用系统内的文档设置不同的使用权限,还可以为单个用户、用户组、部门进行权限配置,从而简化权限的分配和管理。通过文档权限管理可实现文档的分级管理和授权访问,杜绝数据窥探和非授权访问事件发生。
◆云数据安全。Chinasec数据管理平台通过设置云平台的URL或IP地址,在所有接入云端的设备上安装代理客户端,并采用自动解析策略来设置云平台参数,同时透明加解密技术可对从云平台下载的云数据进行自动加密存储,规避因明文存储造成的数据泄密。由于动态加解密技术不仅不改变用户使用习惯,而且无需用户太多的干预操作即可实现云数据的安全,提供了极大的便利性。
◆终端设备接入安全。云架构进一步推动了信息的快速共享,Chinasec数据安全管理平台支持对各类接入云端的设备(如PC、笔记本、Pad、智能手机等)进行用户身份认证和链路加密,增强移动终端接入的安全性,确保用户共享的数据安全。
◆日志的追踪和审计。Chinasec数据安全管理平台对从云端同步的数据提供文件级的日志追踪和审计,如从云平台上下载了哪个文件,该文件在终端上做了哪些操作以及管理员在管理平台上的操作日志等。还可通过报表系统根据时间、文件关键字、发送人、IP地址、计算机名等多种信息进行综合查询。
Chinasec数据安全管理平台采用模块化设计的B/S和C/S混合架构,整个管理平台运用了加密、认证、控制等技术手段,上述各功能均是数据管理平台的子功能,可依据企业实际情况和需求进行不同的功能组合,以满足不同类型、不同应用场景下的用户需求。且各类接入设备均由Chinasec数据安全管理平台统一管控,包括密钥交换、策略下发、身份认证等,因此各类设备内的加密文件可以达到透明加解密。在云实现了移动互联的同时,Chinasec 数据安全管理平台亦实现了安全互通。
目前,“云”已经在企业级市场得到了越来越广泛的应用,而这一新IT时代的产物如果想要进化得尽善尽美,需要整个产业链成员的集体迁移,尤其是信息安全厂商,它将是云发展拼图中至关重要的一块,没有信息和数据安全的保障,云架构的搭建注定只能是空中楼阁。因此,如何应对数据安全风险问题任重道远。明朝万达将一如既往的以数据安全为核心,关注企业敏感数据的流转方向,对数据的整个生命周期采取完善的数据安全管控方法,让广大用户能够安全无忧的畅享新技术带来的惠利。