安全問題是企業(yè)開展云計算業(yè)務的關鍵。最近幾年，業(yè)界主流云服務商接連發(fā)生的安全事件暴露了云計算應用安全在服務可用性、內容安全與隱私保護方面存在諸多隱患。作為一種新型的計算模式，云計算的運營有別于傳統(tǒng)IT業(yè)務，面臨新的安全風險，主要包括技術風險和管理風險。

從技術角度來看，云服務系統(tǒng)和傳統(tǒng)IT系統(tǒng)類似，傳統(tǒng)IT系統(tǒng)中各個層次存在的安全問題在云環(huán)境中仍然存在，如系統(tǒng)的物理安全、主機、網絡等基礎設施安全、應用安全等。而作為一種新型的計算模式，云計算也引入了新的安全風險，主要包括以下幾點。

（1）資源虛擬化共享風險：云服務器中，硬件平臺通過虛擬化為多個應用共享。由于傳統(tǒng)安全策略主要適用于物理設備，如物理主機、網絡設備、磁盤陣列等，而無法管理到每個虛擬機、虛擬網絡等，使得傳統(tǒng)的基于物理安全邊界的防護機制難以有效保護共享虛擬化環(huán)境下的用戶應用及信息安全。

（2）平臺安全防護風險：云計算應用由于其用戶、信息資源的高度集中，更容易成為各類拒絕服務攻擊的目標，并且由拒絕服務攻擊帶來的后果和破壞性將會明顯超過傳統(tǒng)的企業(yè)網應用環(huán)境，因此，云計算平臺的安全防護更為困難。

（3）數(shù)據安全風險：用戶在使用云服務器的過程中，不可避免地要通過互聯(lián)網將數(shù)據從其主機移動到云上，并登錄到云上進行數(shù)據的管理。在此過程中，如果沒有采取足夠的安全措施，將面臨數(shù)據泄漏和被篡改的安全風險。

云服務器作為典型的IaaS服務產品，用戶需要負責購買的虛擬基礎設施架構以上層面的安全問題，如自身操作系統(tǒng)、應用程序的安全等。作為服務提供商來說，則需重點保障云服務器基礎設施的可靠性、物理安全、網絡安全、虛擬化安全。此外，云計算服務提供商的管理能力也將直接影響到用戶應用和數(shù)據的安全性。在企業(yè)云管理過程中，主要面臨以下安全風險：

（1）人員管理風險：云計算服務提供商內部人員，特別是具有高級權限管理員的失職，將可能給用戶數(shù)據安全帶來很大威脅，如非授權復制虛擬機鏡像，導致用戶數(shù)據或隱私泄露。

（2）安全界面不清的風險：由于用戶并不直接控制云服務器系統(tǒng)，對系統(tǒng)的防護依賴云計算服務提供商，但云計算服務提供商對用戶上層應用并不清楚，因此雙方需要在安全界面上達成一致，避免運營風險。

（3）服務連續(xù)性風險：用戶的數(shù)據和業(yè)務應用處于云計算系統(tǒng)中，其業(yè)務流程將依賴于云計算服務提供商所提供的服務，這對服務提供商的云平臺服務連續(xù)性、SLA和IT流程、安全策略、事件處理和分析能力等提出了挑戰(zhàn)。同時，當發(fā)生系統(tǒng)故障時，如何保證用戶數(shù)據的快速恢復也成為一個重要問題。

（4）法律合規(guī)性風險：云計算應用地域性弱，信息流動性大，信息服務或用戶數(shù)據可能分布在不同地區(qū)甚至國家，在政府信息安全監(jiān)管等方面可能存在法律差異與糾紛。云計算服務提供商需要基于法律法規(guī)要求，對運營管理制度、業(yè)務提供的合規(guī)性進行合理規(guī)范，在商業(yè)合同中的司法管轄權合理設定服務內容，以規(guī)避不必要的法律風險。

通過以上分析，開展云計算業(yè)務應從傳統(tǒng)安全管理角度出發(fā)，基于成熟的安全理論及體系，結合云計算系統(tǒng)及應用特點，將現(xiàn)有成熟的安全技術及機制延伸到云計算應用及安全管理中，以滿足云計算的安全防護需求，從而達到為客戶提供更好更優(yōu)質的服務以及安全保障。

（本文轉自西部數(shù)碼，如有版權問題，請聯(lián)系小編）