國家的安全需求之獲取信息制導(dǎo)權(quán)

本節(jié)從3個層面介紹云計算的安全需求。

法律風(fēng)險

使用云計算可能不滿足某些工業(yè)標(biāo)準(zhǔn)或法律規(guī)定的要求。例如，有些法規(guī)要求特定數(shù)據(jù)不能與其他數(shù)據(jù)混雜保存在共享的服務(wù)器或數(shù)據(jù)庫上；有些國家嚴(yán)格限制本國公民的私密數(shù)據(jù)保存于其他國家

未知的安全風(fēng)險

由于技術(shù)發(fā)展的不平衡，以及云服務(wù)提供商和用戶之間的信息不對稱性，使得云計算用戶處于大量未知的安全風(fēng)險之中。一方面，用戶選擇使用云服務(wù)提供商是為了解放和優(yōu)化自身的資源

共享技術(shù)存在漏洞

云計算具有資源池化的特點，云服務(wù)提供商要交付規(guī)?；姆?wù)，就要共享基礎(chǔ)設(shè)施、平臺和應(yīng)用程序，因此多租戶與資源共享是其重要特征。管理程序、共享平臺組件、共享應(yīng)用程序等共享技術(shù)所存在的安全漏洞遠(yuǎn)比用戶行為更危險

調(diào)查審計困難

在云計算被廣泛應(yīng)用的情況下，其提供的計算、存儲、帶寬等資源及服務(wù)可在全球范圍內(nèi)獲取，而非法用戶提供的賬戶信息可能是偽造的，并可以使用盜竊的信用卡進(jìn)行支付

管理或?qū)彶椴蛔阒矸菡J(rèn)證管理薄弱

傳統(tǒng)的網(wǎng)絡(luò)安全模型中，針對網(wǎng)絡(luò)終端用戶的安全接入和訪問控制已有成熟的解決方案，但是在云計算環(huán)境下，對云端用戶的安全接入和訪問控制出現(xiàn)一些新的要求

2018-04-19 閱讀全文>>

云計算服務(wù)濫用或誤用

目前，出于市場的考慮，為了使更多的用戶使用云計算服務(wù)，云服務(wù)提供商對登記流程的管理不是很嚴(yán)格，任何一個持有信用卡的用戶都可以注冊和使用云計算服務(wù)，云計算服務(wù)很容易獲得且租用費用低廉。

惡意的內(nèi)部行為

大多數(shù)企業(yè)都被內(nèi)部惡意人員的問題所困擾，在云計算環(huán)境下，這種威脅進(jìn)一步增加。在此場景下，所有IT設(shè)備或數(shù)據(jù)被集中管理，內(nèi)部人員擁有的權(quán)限能夠讓其獲取敏感數(shù)據(jù)甚至整個云計算服務(wù)平臺的完全控制權(quán)，并且難以被發(fā)現(xiàn)。

不安全的接口

另外，開發(fā)過程的安全測試、運行過程的滲透測試等安全實踐，不管從測試工具還是測試方法上，對于網(wǎng)絡(luò)接口和應(yīng)用程序編程接口都不夠成熟，一旦后臺安全功能被開放，將引入額外的安全入侵入口。

拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指攻擊者阻止用戶正常訪問云計算服務(wù)的一種攻擊手段，通常是發(fā)起一些關(guān)鍵性操作來消耗大量的系統(tǒng)資源，如進(jìn)程、內(nèi)存、硬盤空間、網(wǎng)絡(luò)帶寬等，導(dǎo)致云計算服務(wù)器反應(yīng)變得極為緩慢或者完全沒有響應(yīng)。

賬戶或服務(wù)流量劫持

在云計算環(huán)境中，攻擊者一般通過網(wǎng)絡(luò)釣魚、社會工程學(xué)欺詐或利用軟件漏洞來劫持無辜的用戶。如果攻擊者能夠獲得用戶的某個賬號、密碼信息，即可竊取用戶多個服務(wù)中的資料，因為用戶不會為每個賬戶設(shè)立不一樣的密碼。

網(wǎng)絡(luò)攻擊

在云計算環(huán)境下，多數(shù)應(yīng)用和操作都是在網(wǎng)絡(luò)上進(jìn)行。用戶通過云計算操作系統(tǒng)將自己的數(shù)據(jù)從網(wǎng)絡(luò)傳輸?shù)皆朴嬎闫脚_中，由云計算平臺來提供服務(wù)。

用戶數(shù)據(jù)存儲沒有進(jìn)行容災(zāi)備份導(dǎo)致數(shù)據(jù)丟失的風(fēng)險

在云計算環(huán)境中，大量用戶信息、財務(wù)數(shù)據(jù)、關(guān)鍵業(yè)務(wù)記錄等敏感數(shù)據(jù)被集中存儲并在網(wǎng)絡(luò)中傳輸。在未做備份的情況下對數(shù)據(jù)刪除、修改，把數(shù)據(jù)存儲于不可靠的介質(zhì)上