虚拟机、数据和内容：织就云计算保护网

虚拟机、数据和内容：织就云计算保护网(2)

DOIT云计算 13年04月01日 13:14 【转载】作者：人民邮电报责任编辑：王雪杨

导读：从现有的技术资料和已经曝光的安全事件来看，互联网时代中传统的安全威胁在云计算服务中同样存在，而且伴随着云计算特有的开放性与复杂性还出现了一些新的安全挑战，因此，云安全逐渐成为制约云计算发展的瓶颈。

对策：

增加针对数据安全级别的保护策略。通过在风险评估方法中增加云安全特有的弱点和威胁，加强对云计算平台和产品的云安全评估。在具体安全策略制定方面以信息标志和处置的控制要求为起点，从数据安全性方面制定保护策略和实现手段。

数据的保密性、可用性和完整性保护。对存储数据和传输数据进行加密，对存储数据一般采用效能较高的对称加密算法，如高级加密标准(AES)、3DES等国际通用算法，或我国国有加密算法SCB2等;对传输数据加密的主要技术措施包括IPSec、SSL等VPN技术。针对剩余数据安全问题，在进行存储资源回收时，需要使用软件技术对逻辑卷的每个物理比特位进行“清零”覆写，保证磁盘空间重新分配给其他租户时不能通过软件方式恢复其原有数据。

数据管辖与销毁。所有人员必须通过诸如堡垒机等设备进入生产集群，口令包含动态令牌和复杂口令。堡垒机对所有账号的权限进行实时操作审计和实时报警。

内容：跟踪溯源重法律

在公共云服务背景下，信息的发布和传播具有不同于以往的特点，公共云平台容易成为有害和垃圾信息的传播渠道，给内容合规性监管带来了三大难题。

更难以对不良信息进行溯源。在公共云服务中，由于信息与其发布载体动态绑定(可以支持公网IP地址、域名与云节点的动态绑定)，难以确定服务器的物理位置，使得对有害内容的定位和溯源异常困难。

传统内容过滤手段失效。由于境外云计算服务节点通常提供共享访问的SSL加密通道，除证书发行商名字、IP、端口外无法检测任何内容，这使得传统的内容过滤无从下手。对境外云服务缺乏有效手段进行内容审查，形成了监管盲区，会对国家安全构成威胁。

对超大规模数据流量的审查很困难。云计算时代最大的特点就是数据流量超大，现有设备处理能力无法达到要求，导致在线内容审查很困难，目前的技术和管理手段有待改善。

对策：

拿起法律武器。从法律法规层面来界定云计算服务商的责任与义务、明确保护用户数据与隐私的重要性、划清各有关部门的监管职责等。针对数据跨境流动问题，规定重要数据不得在境外存储和处理。

强化技术手段。加强加解密技术研究，可利用云资源本身实现合法破解密文。加强跟踪研究溯源技术最新进展，争取掌握相关技术。

加强国际合作与交流。与各个国家加强合作，共同打击不良信息传播等非法活动。同时，积极学习借鉴国外先进技术与管理手段。