美國國家標準與技術(shù)研究院(NIST)對云計算定義是:一種按使用量付費的模式,這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問,進入可配置的計算資源共享池(資源包括網(wǎng)絡(luò),服務(wù)器,存儲,應(yīng)用軟件,服務(wù)),這些資源能夠被快速提供,只需投入很少的管理工作,或與服務(wù)供應(yīng)商進行很少的交互。然而隨著云計算時代的發(fā)展,面對信息安全又發(fā)起了新的一輪挑戰(zhàn)。
挑戰(zhàn)一:
傳統(tǒng)信息安全技術(shù)不能滿足云計算信息安全需求。云計算信息安全是云計算與信息安全的深度融合的產(chǎn)物,傳統(tǒng)的信息安全技術(shù)和產(chǎn)品也被用于防范云計算中的安全威脅。如,可靠性、驗證和授權(quán)、數(shù)據(jù)丟失連帶責任以及信息生命周期管理等方面。然而隨著云服務(wù)的逐漸普及,傳統(tǒng)的信息安全技術(shù)已經(jīng)不能支撐和滿足云計算的快速發(fā)展,專業(yè)的云計算信息安全技術(shù)亟待開發(fā)。
挑戰(zhàn)二:
惡意軟件、保密和訪問認證等問題威脅移動云計算信息安全。隨著移動互聯(lián)網(wǎng)的迅速普及,各類針對移動終端的病毒層出不窮。手機病毒已經(jīng)從原先簡單的系統(tǒng)破壞、惡意扣費擴展到隱私竊取、金融盜號和竊聽監(jiān)控等,對用戶的威脅性進一步加大。
挑戰(zhàn)三:
用戶數(shù)據(jù)泄露或丟失使云計算信息安全面臨的巨大的安全風險。用戶數(shù)據(jù)在云計算環(huán)境中進行傳輸和存儲時,用戶本身對于自身數(shù)據(jù)在云中的安全風險并沒有實際的控制能力,數(shù)據(jù)安全完全依賴于服務(wù)商,如果服務(wù)商本身對于數(shù)據(jù)安全的控制存在疏漏,則很可能導致數(shù)據(jù)泄露或丟失。
挑戰(zhàn)四:
云計算面臨用戶身份認證的安全風險。云計算服務(wù)商對外提供云服務(wù)的過程中,需要引入嚴格的身份認證機制,如果運營商的身份認證管理系統(tǒng)存在安全漏洞或管理機制存在缺陷,則可能引起用戶的賬號被仿冒,特別是企業(yè)用戶的數(shù)據(jù)被“非法”竊取。在云計算環(huán)境下,云端用戶的安全接入和訪問控制,出現(xiàn)了新的需求,特別是在IaaS的服務(wù)模型出現(xiàn)后,服務(wù)商需要為每個用戶提供自助服務(wù)管理界面,潛在安全漏洞又將導致各種未經(jīng)授權(quán)的非法訪問,并且薄弱的用戶驗證機制也埋下了云計算信息安全巨大的隱患。
