云计算安全现状及其标准分析

有调查数据显示,越来越多的企业考虑将更多重要数据放在公司的防火墙内而不是云上,甚至还有企业重新审查自己的云服务契约是否合适。云计算的安全问题是企业应用云计算最大的顾虑所在。ForresterResearch公司的调查结果显示,有51%的中小企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因;IDC的调查也显示安全问题是企业用户选择云计算的首要考虑因素。

云计算的安全问题主要有两个方面:一是云计算自身环境特有的安全问题,传统观念认为将信息保存在自己可控的环境中比存放在不了解、不熟悉的地点更安全,也就是说传统用户无法认可自己不可控的环境能够提供更好的安全性。二是传统IT是封闭的,在安全上只需要对外部访问的接口和防火墙进行防护,内部部署杀毒软件即可;使用云计算后,所有的访问都暴露在公开网络中,用户的操作也需要在远程登陆后进行,因此云计算改变了现有的软件系统安全防护模式。

云计算应用安全目前还没有形成相关的国际标准,有三种类型的组织对其进行研究,第一类是非盈利机构,如CSA(CloudSecurityAlliance,云安全联盟);第二类是云计算服务提供商,他们提出了一些云计算安全解决方案和安全策略,主要通过身份认证、安全审查、数据加密、系统冗余等手段来提高云计算业务平台的稳健性、可用性和用户数据的安全性,如Google将使用一个两步认证机制(Two-stepverification)来控制信息访问提高云计算的安全性;第三类是从事安全的组织,如赛门铁克、瑞星、金山等,这部分安全技术和方案本文暂不讨论。