1、企业云的安全防护及隐私问题摘要:“云计算”让超级计算能力通过互联网自由流汇,使企业不必再投入额外昂贵的成本购置软件、硬件,只要通过互联网来购买、租赁计算力,只需接入互联网,一部手机、一个纸样轻薄的小本,仍至一台配置低下的老旧台式电脑,都能成为进行更强劲处理的移动终端,运行最苛刻要求的大型研发项目,不用花费大量时间渲染就可以作出很炫的图片、动化以及视频。小到一张照片,大到企业跨国大型项目研发等等,一切都可以由互联网来完成。但也意味着,所有的研发、生产、经营和管理数据以及隐私都有可能在互联网上运转,即使企业建设了大型私有云也是要汇融于互联网中,安全、隐私成为企业云计算发展的最主要障碍之一。 关键词
2、:企业云计算;安全;隐私 “云计算” (cloud computing)是一个新兴的商业计算模型。利用高速互联网的传输能力,将数据的处理过程从个人计算机或服务器移到互联网上的计算机集群中。这些计算机都是很普通的工业标准服务器,由一个大型的数据处理中心管理着,数据中心按客户的需要分配计算资源,达到与超级计算机同样的效果。但“云计算”是把双刃剑,一方面给企业带来巨大便利的同时,另一方面,转至云环境意味着要依靠第三方来提供服务且服务可能来自不同的地区,需要集中大量用户流参与,就不能避免的出现了安全及隐私的问题。有用户参与就不可避免一些用户的资料、数据、隐私会被云技术所收集。虽然很多厂商都承诺尽量避免
3、收集到用户隐私,即使收集到也不会泄露或使用。但面对大量用户的研发、生产、经营和管理数据以及隐私,这个极大“金矿” ,软、硬件技术缺陷或一些人为因素,导致企业机密泄露事件也确实时有发生。 一、计算面临的安全威胁 1、云计算的滥用、恶用、在用户 PC 上的病毒软件发起的恶意攻击 2、不安全的接口 3、共享技术产生的问题 4、恶意的内部员工 5、账号和服务劫持 6、数据泄漏 7、拒绝服务(DoS)的缺陷 8、未知的风险场景 二、云计算安全威胁的防范对策分析 1、企业要建立可信赖的安全平台。结合防火墙、病毒防治、入侵检测、权限控制、邮件安全控制,对所有传输的数据进行加密,保证系统数据存储、传输的安全性
4、。 2、提高企业内每个操作系统的可靠性,关注版权信息、定期升级软件补丁,定时扫描漏洞,定期风险评估,提升先进加密算法保证接口安全性。 3、对于共享技术的安全问题,企业要采取访问控制策略有效解决非法登录、虚拟机流量监控等。可以考虑给予企业内部员工 USB Key 的方式,唯一的身份识别。 4、需要加强对内部员工的技术知识和应急安全事件处理能力的培训,强调遵守安全管理规范,加强安全管理意。社会方面也需要结合企业外部的法律支持,使泄露企业商机的行为能受到惩处。 5、使用 ssl,用户和网站之间数据均经过加密,劫持设备无法截取。在劫持设备以内放置一台分流服务器,分流服务器使用 VPN 或者别的加密链路
5、链接至主服务器进行数据交换。这样用户使用非加密链接链接至分流服务器,劫持设备无法进行劫持。 6、企业要认真调研,选择可靠的供应商,签定保密责任追溯协议,采用以保护电子文件内容为核心的信息安全解决方案。以“文件内容”为核心、3A 机制为流程、动态权限为工具、管控文档生命周期全过程、完善的客户端防泄密技术,将数据外泄危险降至最低。加强数据可控以及数据隔离。确保企业机密信息在共享时不被有意、无意泄漏 7、自从互联网络诞生以来,DoS 攻击就伴随着互联网络的发展而一直存在,也不断发展和升级。现在越来越多的黑客使用拒绝服务方式来攻击企业服务器,由于拒绝服务攻击是 TCP/IP 协议的缺陷引起的,因此比较
6、难于防御。企业须引进入侵检测系统(IDS)弥补防火墙的不足,实行实时的入侵检测以及采取响应,记录证据用于跟踪、恢复、断开网络连接等防护手段。在网络上设立过滤器(filter)或侦测器(sniffer) ,在信息到达网站服务器之前阻挡信息。 8、企业要与供应商携手不断提高技术,经常检测评估,勤补漏洞及时发现缺陷,及时弥补。对未知的风险场景,做好适合本企业软、硬件能力的安全预案。 三、云计算环境下的隐私威胁 对企业员工来说,最关心的就是隐私保护问题。现今互联网上非法知悉、侵扰、传播或利用他人隐私的行为越来越多。 1、员工的信用和财产的威胁,比如“盗用银行卡” 2、员工的健康情况、身份情况的威胁,比
7、如“人肉搜索” 3、对邮箱地址的威胁,比如“广告、垃圾邮件” 。 4、对员工网络活动情况的威胁,比如“IP 地址、浏览踪迹、活动内容、个人文档” 四、云环境下隐私威胁的防范对策分析 如何防范云计算环境下的隐私威胁,是企业云发展的主要挑战之一。除了综合以上所述云安全的防范对策,企业要从客户端、网络传输、服务器端进行技术性的保护,还要从加强、监管、大环境等多个层面入手。1、结合企业云安全防范对策,加强完善隐私增强技术成熟度。 2、聘请第三方监督机构,加强对供应商的安全性、可靠性进行有效监管和审计。 3、企业要结合国家现有法律,建立、完善专门的隐私权保护的规章制度,形成一套完善的网络隐私权保护体系。 五、结束语 云计算是继大型计算机、个人计算机、互联网之后的第四次 IT 产业革命,如巨浪奔腾而来,将引发信息产业商业模式颠覆性的改变,随之而来的威胁也会层出不穷,安全仍是企业云计算最大的问题。作为企业应以谨慎的态度、稳健地操作,让云计算为企业所用,建立安全的企业云将极大地提高企业的竞争力,为企业的迅速发展起着至关重要的作用。参考文献: 1刘东山,周显春.云计算核心技术及安全问题.电脑知识与技术J,2011,07(7) 2鲁林鑫.企业计算机网络妥全防护措施和对策研究N.科技创新导报,2010.4:15-16.
