自云计算诞生之日起,其安全问题就一直为业界所关注。 IDC在2008年10月发布的关于企业IT主管的意向调查报告中,安全成为他们在考虑将云计算引入企业时面临的最大挑战。总的来说,云安全主要涉及两个 领域的问题,一个是数据隐私,一个是系统安全。今天我们主要说的是数据安全!
数据隐私问题是云计算这种新兴的服务模式无法回避的问题。虽然云计算从服务提供方式上可以划分为IaaS(基础设施即服务)、PaaS(平台即服务)和 SaaS(软件即服务)3个层次,但是在本质上,它们都是将数据中心外包给云计算服务提供商的模式。因此,如何保证用户数据的私密性及如何让用户相信他们 的数据能够获得必要的隐私保护是云计算服务提供商需要特别关注的问题。
对数据映射的保护是云计算服务能够被大众广泛认可并获得深入推广的必要前提,它要求为用户交付的服务的每一个环节都能得到安全性保证。
在数据传输方面,传统的企业数据中心中保存了大量代表企业核心竞争力的私密数据,如企业的客户信息、财务信息、关键业务流程等,这些数据是企业的命脉。在 云计算模式下,这些数据通过网络传递给云计算服务提供商进行处理,它面临的问题主要是如何确保企业的数据在网络传输过程中不被窃取、修改,或者即使被窃取 也不会泄露企业的有用信息,这就需要对网络监测技术和数据加密技术进行深入研究,同时在网络传输过程中对用户进行严格的权限认证,以确保只有合法的数据访 问发生,保证数据的完整性。
在数据存储方面,数据隐私是传统企业数据中心的关键所在,包括数据的存储位置、数据的隔离、数据的灾难恢复等。在云计算模式下,云计算服务提供商在高度整 合的大容量存储空间上为企业开辟出一部分存储空间供其使用,但用户并不清楚自己的数据被放置在哪一台服务器上,甚至根本不了解这台服务器放置在哪个地方, 已经服务器所在地是否有相关政策从而导致信息泄露,这需要云计算服务提供商要能保证数据之间的合同约定。
在数据审计方面,为了保证数据的准确性,传统的企业内部数据管理方式往往会引入第三方认证机构进行审计或认证。在云计算模式下,企业的审计需要借助云计算 服务提供商的配合,这要求云计算服务提供商必须能在确保不对其他用户的数据和相关计算带来风险的前提下为第三方机构提供必要的信息支持,满足用户企业的数 据审计需求。另外,云计算服务提供商的服务提供资质必须获得认证,以确保在提供有效的云计算服务的同时不损害用户的利用,否则,一家技术实力弱、难以长期 存在的云计算服务提供商将在企业营业云计算时引入更高的安全风险。
