云计算服务具有高性价比、高灵活性、动态扩展性、专业的安全服务保障等特点,有效帮助提升管理效率、节约成本、增强综合安全防护能力。同时,云计算服务也面临诸多挑战,如云计算技术基础平台的安全、云端数据的安全管理、云计算服务安全专业人员的缺乏等。对此,我国高度重视云计算服务的网络安全问题,出台了一系列相关政策。2014年12月,中央网信办发文《关于加强党政部门云计算服务网络安全管理的意见》,明确党政部门在采购和使用云计算服务过程中,安全管理职责、数据权属关系、安全管理标准,敏感信息不会出境。基本要求中提出了党政部门统一组织云计算服务网络安全审查、加强云计算服务过程持续指导和监督、加强保密审查和安全意识培训等基本措施。2019年7月,为提高党政机关和关键信息基础设施运营者采购和使用云计算服务的安全可控,国家互联网信息办公室、国家发展改革委、工信部信息化、财政部联合发文。2021年8月,国务院印发《法制政府建设实施纲要(2021-2025年)》,提出要及时跟踪研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律法规。云计算服务存在的主要安全风险作为快速迭代的新兴技术,云计算技术在云平台的设计、应用、测试和部署等环节仍然缺乏安全考虑。在资源高度集中的运行环境中,云平台容易成为与传统企业的网络环境相比,黑客的攻击目标,云平台面临的攻击威胁更大,影响也更大。1、基础平台风险与传统IT基础设施相比,云计算基础平台体系结构更加复杂、设备规模庞大、应用类型多,给云计算基础平台的安全管理带来了更大的挑战。从历年安全检查和安全演练情况看:部分云计算核心软硬件设备仍存在大量操作系统漏洞、配置错误、策略失灵等中高危安全漏洞基础平台;各类云管理平台、业务运营等支撑系统经常暴露出信息泄露、未授权访问、跨站脚本等安全漏洞;云平台的远程运维模式和身份认证机制在工程实施中暴露出严重的风险隐患;分离存储、内存、路由机制失效导致的虚拟机跳转攻击、侧信道攻击等案例时有发生;通过网络钓鱼窃取用户凭证后的云计算服务跟踪和本地攻击,最终导致大量数据泄露的案例不断增加。云计算服务密钥管理机制不完善,密码技术的合规性、正确性和有效性得不到保障,一直是云计算服务基础平台面临的安全隐患。2.数据安全风险数据安全是云计算服务安全的最终目标之一。同时,数据安全风险也是用户选择云计算服务商的首要考虑因素。数据安全隐患还很多:在数据传输和共享过程中,数据未加密或加密机制存在缺陷,第三方调用明文传输,同一物理服务器不同虚拟机之间通过数据传输等。服务器。虚拟网络通信中的数据安全保护机制设计不完善,可能被攻击者利用,造成数据信息泄露;云计算基础设施中仍有大量重要敏感数据未受到加密技术保护,给黑客等不法分子带来可乘之机,导致信息泄露或篡改;云服务数据迁移过程中,遗留数据无法彻底清除,传输数据无法得到有效保护,备份数据无法妥善处置。造成数据泄露风险;开发、测试、生产环境开放接口管理不严,导致数据迁移项目数据泄露案例频发;云计算服务中过度收集用户个人信息、非法使用个人信息、违反个人信息保护法等问题也频频出现。3、供应链安全风险目前,虽然国内云计算服务平台所使用的云管理平台软件、服务器、网络安全设备、网络交换设备及各类应用软件均由国内厂商广泛供应,但上述所使用的设备设备方面,CPU、内存、硬盘、关键芯片的主要供应商仍主要来自美国、韩国等海外企业。“芯片供应中断事件”给我们敲响了警钟。未来一段时间内,仍将是云计算服务商需要持续关注的现实风险。此外,供应链数字化发展是未来趋势,供应链安全已成为网络安全体系面临的重要挑战。4、专业人才缺乏风险根据最新《网络信息安全产业人才发展报告》报告,2021年国内网络安全专业人才累计缺口将超过140万,其中云计算服务安全专业人才缺口更为突出.在历年的网络安全攻防演练中,由于云计算服务安全管理人员意识和技能的欠缺,云平台频频遭受社会工程学钓鱼攻击,云平台技术人员因操作不当引发的网络安全事件频频发生。错误和不正确的配置也经常发生。给云平台的安全稳定运行带来了极大的风险和隐患。五、其他风险目前,考虑到云计算服务应用场景存在的潜在风险,国家各部门相继出台了多项监管政策和合规要求。合规与风控兼顾,对于云计算服务商来说极为重要。具有挑战性的事情。此外,复杂多样的云应用还缺乏整体统一的安全规划和策略,快速应对云计算新技术演进面临的风险的能力仍然不足。云计算服务中的数据泄露滥用、非法数据共享等安全管理问题也值得关注。云计算服务安全风险应对措施通过对云计算服务安全风险的分析,可以采取以下措施防范和持续改进云计算服务安全风险。1.加强云计算服务技术和管理安全标准体系研究据研究,云计算平台存在的安全问题绝大部分是传统IT系统存在的问题(如各种系统安全漏洞),而剩下的安全问题问题主要来自新技术架构应用带来的安全技术风险,传统IT技术机制在云计算服务应用场景中产生的技术风险,以及新服务模式带来的安全管理隐患,都需要解决。结合云计算服务特点研究制定有针对性的技术和管理标准,减少隐患。目前,围绕云计算平台之间元数据和数据的交换,应用在不同云平台之间的迁移,云运营服务的监控、审计、计费和通知机制,云计算服务密码支撑体系的建设和应用等。、云平台业务连续性要求和服务水平协议等,需要研究并逐步形成标准体系,以保障云计算服务的安全。2.保障云计算服务供应链安全随着云技术等新兴技术的发展,供应链生态安全越来越受到关注。整个供应链生态环境的每一个环节都需要共同努力。在日常监管阶段,要关注供应链安全问题。一是要求信息系统、组件或服务的开发者在系统生命周期的早期就系统中的功能、端口、协议和服务进行说明;二是要求信息系统、组件第三,要求信息系统、组件或服务的开发者即使在信息系统、组件或服务交付之后也要跟踪漏洞,并在发布补丁之前实施漏洞。应通知云计算服务提供商;四是定期审查和论证供应链中的服务提供商,要求供应链供应商遵守信息安全、保密、访问控制、隐私、审计、人事政策和服务水平要求和标准。3、加快云计算服务安全人才培养与传统的网络安全问题相比,云计算服务中的网络安全问题更为复杂。一旦发生网络安全事件,其影响和破坏性将更大。我们需要着力培养更多合格的信息安全领域专业人才,以满足日益增长的云计算安全人才的迫切需求,同时提高现有从业人员的安全技能,特别是云计算安全评估技能。一方面,高校在网络空间安全人才培养中可以开设与云计算安全技术相关的课程,提高学生的云计算安全技术素质,为以后的就业打下良好的基础;开展云计算服务安全技能培训和考核认证,不断完善云计算服务安全技术人员培训认证体系,培养更多更好的云计算服务安全专业人才。4、进一步加强云计算服务网络安全评估实践经验表明,云计算服务安全评估是网络安全工作的重要抓手,是提升云计算服务安全防护能力的关键环节。通过持续的安全评估,及时发现,消除安全隐患,提高云计算服务的可控性和安全性。云计算服务网络安全评估依据国家云计算服务安全评估办法及相关标准规范,从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急等方面对云计算服务进行评估响应和灾难恢复。、审计、风险评估和持续监控、安全组织和人员、物理和环境安全等方面进行综合评估。云计算服务安全评估涵盖《网络安全法》中级防护要求,可满足物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理运营等十项要求维护管理。平等保护评估要求。云计算服务安全评估也涵盖了商用密码的评估要求,在密码算法、密码技术、密码产品等方面满足《密码法》的相应要求。网络安全上升为国家战略,相关责任和义务通过法律形式得到明确。网络安全工作没有止境,云计算服务的安全工作更是错综复杂。随着云计算技术的快速发展和广泛应用,云计算服务不可避免地面临着更多的安全风险和挑战。云计算服务安全工作需要国家和行业监管指导。云服务提供商和安全解决方案提供商、供应链企业、第三方评估机构、人员培训认证机构等,不断提升安全防护能力。
