云计算时代的安全风险以及解决方法

相关推荐

云计算时代的安全风险以及解决方法

虽然云计算能够给企业带来诸多好处，不过其存在的问题也是非常显著的，安全性就是其面临的最大挑战之一(或者这根本就是最大的挑战)。在云端存储数据基本可以等同于将大量的钱放在云上，这无疑会给技术高超的黑客们提供了一个施展才华的好机会。

把重要的数据存储在第三方服务提供商的云端上会带来许多问题。例如：服务提供商的员工或者管-理-员是否可信，会不会偷-窥或者更改客户的数据?其他使用该云服务的用户会不会通过黑客技术访问自己的数据?竞争对手会不会通过各种途径而获取一些保密的关键信息——我们的客户是谁，我们的订单情况，定价以及成本信息等?对于企业业务来说，这些威胁都是致命的。

事实上，已有案例表明，云安全的确是个巨大挑战。2017年3月，google docs系统出现了错误，导致他人可以访问用户的私密文件。受该事件影响，美国电子隐私信息中心(epic)向联邦贸易委员会强烈建议，要求google在拿出切实可行的安全保护方案前终止提供该项服务，该组织认为，google对于安全威胁防范不足，这项服务带有欺诈性。

类似的案例引起了许多组织对于云安全服务的关注。例如，2017年4月，云安全联盟发布了长达83页的白-皮-书。另外，咨询公司gartner也发布了针对性报告，列出了云计算的7大安全隐患，即：优先访问权风险、管理权限风险、数据处所风险、数据隔离风险、数据恢复风险、调查支持风险以及长期发展风险。

不过，幸运的是，在传统企业环境中，已经有许多专门用来保障计算机、网络以及存储安全的工具，这些工具在云计算中也能继续发挥作用。当然，为了更好地使用这些工具，我们首先要弄清楚云计算和传统数据中心的异同。

相同之处例如：数据的访问都是通过网络进行;都需要安全软件防止攻击。从这个层面上讲，如果将现有企业的安全解决方案应用到云上，就可以满足用户的部分安全需求。

二者同时存在差异，比如在云计算场景中，多个用户是共享存储设备，单一的云服务提供商会同时支持多个用户的数据存储或者应用，这会让安全防御面临许多新的问题。鉴于此，我们对云安全要重新审视。

云需求存在差异

不同的云计算用户对于云计算的需求以及安全方面的要求也是不同的。对于其中的一个极端——低端用户，如新成立的小公司，可以无所顾忌地使用云计算，因为服务提供商所提供的服务以及安全保障一般会超出其需求。而对于另一个极端——高端用户，如大型企业则要采用一个混合的模式。考虑到法律以及风险管理等问题，他们将会把比较敏感的数据以及应用放在本地，采用内部云或者私有云。而对于中型规模的企业，则会根据自身的不同需求选择云计算，例如在线协作、合作伙伴整合、社交网络等。

风险以及规避策略

具体说来，如下：

1. 服务提供商安全保障不足

在云环境中，所有的安全保障都依赖于云服务提供商，他们控制了存储数据、运行应用的硬件设施以及管理程序，其风险防范能力是最为首要的。

规避策略：

人是最大的威胁，由此对于云服务提供商员工的监控、培训以及管理是最基本的措施;除此之外，保证云的物理设施以及网络的安全也非常关键。

2. 来自其他云用户的攻击

由于云服务是多家共享的，如果用户之间的隔离措施失效，一个用户完全有可能侵入另一个用户的数据，或者干扰其他用户应用的运行。而且，极有可能出现的一种情况是，两家共用一台服务器的用户是竞争对手，这就存在很大的安全隐患;甚至还有一种情况是，其中的一家是专门从事黑客活动的。

规避策略：

最常用的技术是虚拟化(最好通过hypervisor)以及网络隔离(例如防火墙、vlans以及加密技术)。

3. 可用性以及可靠性

由于云服务必须通过互联网访问，所以互联网的可靠性以及可用性就显得尤为重要。

规避策略：

最好的保证云服务可靠性以及可用性的方法是和服务提供商紧密联系，对其正常运转时间(uptime)进行监控。目前，多数云服务提供商的正常运转时间还是不错的，但并不完美。每个主流的云服务提供商都曾出现过停止运转时间(downtime)，例如salesforce、amazon、google等。可以考虑和服务提供商签订服务水平协议(service level agreements，slas)，一旦出现停机可以索取相应赔偿。另外，在考虑云服务可用性的同时不要忘记保证网络的可用性，如果网络不可以正常连接，即便云服务能够正常运转又如何?

4. 法律以及监管问题

《云计算时代的安全风险以及解决方法》全文内容当前网页未完全显示，剩余内容请访问下一页查看。

云计算的虚拟性以及国际性特点会催生出许多法律以及监管层面的问题。首先，将数据存储到云上或许会突破本地政府的监管范围，而这是监管部门所不允许的;即便允许，当出现冲突时，应该遵从哪一方制定的规则还是个问题。另外，如果出现了安全问题，谁应该为此负责?

规避策略：

法律以及监管问题无疑需要律师等专家的介入，不过这不意味着技术手段就不会有所帮助。举个例子，许多有关数据破坏的法规包括安全规避条款，规定如果丢失了加密数据是无需报告的。从这个角度而言，在云计算场景中使用自我加密硬盘(sed)是一种没脑子的行为。

5. 边界安全模型被打破

许多组织使用边界安全模型来保证企业网络的安全。而当数据存储外包以及办公日渐移动化，这种模型就会有越来越多的局限性。云计算则为该模型敲响了丧钟，因为云是存在于边界之外不受企业控制的。

规避策略：

首先应该在思想层面上推翻固有的对于安全的防范思路，威胁不再只来自于数据中心外部。

6. 整合服务提供商以及用户安全系统

企业已经花了数年的时间改善其安全构架，例如自动防御、对突发事件进行勘察以及作出迅速反应等，云服务提供商需要将这些系统进行整合。

规避策略：

虽然云计算是一种全新的事物，不过它也只不过是我们一直熟悉的企业计算的一种延伸。所以，它应该和当前存在的安全系统进行整合。用户要要求服务提供商将云服务和自身的系统——诸如企业目录系统以及监管系统等——进行整合，而不要听信他们的言论所谓云服务是全新的东西，而将原先的系统大换血。有的服务提供商能够很好的满足客户需求，而有的则无能为力，所以企业应该用自己火眼金睛去识别。倘若这个问题解决不好，你或许会发现，你将使用一个完全不兼容的系统，而这会是使用云计算的噩梦。

有条件信任

拥有很好的安全保障机制的云计算服务提供商会将自己同竞争对手区隔开来，证明自己的优势。为此，他们必须提供一种让用户独立核实其服务安全性的方法。用户不应该仅仅凭服务提供商的宣传或者介绍就相信他们。

用户还应该切实了解：

*服务提供商硬件设施的完备性;

*云服务管-理-员及其他客户的身份;

*服务提供商采用的具体的网络安全保护措施是什么。

云计算已经是大势所趋，而安全也需继续前行。向前看，云技术和云安全会齐头并进。企业加深自己对于云安全的认识，为迈向全新的云时代做好充分准备!

云计算在医疗卫生上的风险及解决方法2017-03-22 22:04 | #2楼

随着人类进入21世纪，互联网迎来了云计算时代，全国各巨头纷纷布局。世界著名网络公司如google，微软，雅虎，亚马逊，ibm有或正在建设这样的“云”。然而，让世界各个信息巨头争先恐后开始研发所谓的云”，到底是什么？

“云”是一些可以自我维护和管理的虚拟计算资源，通常为一些大型服务器集群，包括计算服务器、存储服务器、宽带资源等等。云计算将所有的计算资源集中起来，并由软件实现自动管理，无需人为参与。这使得应用提供者无需为繁琐的细节而烦恼，能够更加专注于自己的业务，有利于创新和降低成本。简单的说，云计算意味着计算能力也可以作为一种商品进行流通，就像煤气，水电一样，去用方便，费用低廉。形象的讲，云计算就仿佛银行的自动取款机，我们出门再也不用随身携带大量现钞，可以根据需要随时取用。

当奥巴马露过一项雄心勃勃的计划，要让每一个美国儿童通过互联网查询到各医院的最新资料。与云计算在美国成熟的发展相比，国内还仅仅停留在对概念的认知阶段，远远未能达到打造一条完整产业链的地步。但中国政府却在这次浪潮中给了云计算这样一个展示自己实力的机会。中国政府却开始着手应用云计算展示中国医疗卫生实力的一个机会。现在中国政府在不遗余力地推进以电子病例为先导的智能医疗系统，帮助医疗行业对海量数据进行管理、整合和处理。

然而，世间万物都是对立统一的，当我们构想着云计算为医院带来的福音的同时，它也存在着很多风险。

1、优先访问权风险

一般来说，医院的数据及患者信息都有其机密性。但医院把数据交给云计算服务商后，具有数据优先访问权的并不是相应医院，而是云计算服务商。如此一来，就不能排除患者信息和医院数据被泄露出去的可能性。

2、管理权限风险

虽然医院把数据交给云计算服务商托管，但数据安全及整合等事宜，最终仍将由医院自身负责。传统服务提供商一般会由外部机构来进行审计或进行安全认证。但如果云计算服务商拒绝这样做，则意味着医院无法对被托管数据加以有效利用。

3、数据处所风险

当医院使用云计算服务时，他们并不清楚自己数据被放置在哪台服务器上，甚至根本不了解这台服务器放置在哪个国家。　”

4.数据恢复风险

即使医院了解自己数据被放置到哪台服务器上，也得要求服务商作出承诺，必须对所托管数据进行备份，以防止出现重大事故时，企业用户的数据无法得到恢复。

6、调查支持风险

通常情况下，如果医院试图展开违法活动调查，云计算服务商肯定不会配合，这当然合情合理。但如果医院只是想通过合法方式收集一些数据，云计算服务商也未必愿意提供，原因是云计算平台涉及到多家用户的数据，在一些数据查询过程中，可能会牵涉到云计算服务商的数据中心。如此一来，当自己需要向其他医院提供患者信息及数据时，则无法求助于云计算服务商。

7、长期发展风险

如果医院选定了某家云计算服务商，最理想的状态是：这家服务商能够一直平稳发展，而不会出现破产或被大型公司收购现象。其理由很简单：如果云计算服务商破产或被他人收购，企业客户既有服务将被中断或变得不稳定。

针对其存在的诸多风险，我们需要采取相应措施将风险降到最低。首先，在选择使用云计算服务之前，应要求服务商提供其it管-理-员及其他员工的相关信息，从而把数据泄露的风险降至最低。其次，出于数据安全考虑，医院在选择使用云计算服务之前，应事先向云计算服务商了解，这些服务商是否从属于服务器放置地所在国的司法管辖；在这些国家展开调查时，云计算服务商是否有权拒绝提交所所托管数据。再次，医院不但需了解服务商是否具有数据恢复的能力，而且还必须知道服务商能在多长时间内完成数据恢复。最后，医院在选择云计算服务商之前，必须应当把长期发展风险因素考虑在内。

基于以上几点，医院需在选择云计算服务商是进行周密的考核及测试，这样，云计算能够安全，健康的应用于医疗卫生事业，为人类造福。

【云计算时代的安全风险以及解决方法】相关文章：

主板常见故障以及解决方法09-22

孩子不喜欢看书的原因以及解决方法03-05

常见的SQLServer连接失败错误以及解决方法09-22

农村小额贷款风险成因及解决方法09-22

电工维修过程中常见故障以及解决方法04-19

镇廉政风险点分类以及综合防控措施09-22