美國國家標準與技術(shù)研究院(NIST)對云計算定義是:一種按使用量付費的模式,這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò )訪(fǎng)問(wèn),進(jìn)入可配置的計算資源共享池(資源包括網(wǎng)絡(luò ),服務(wù)器,存儲,應用軟件,服務(wù)),這些資源能夠被快速提供,只需投入很少的管理工作,或與服務(wù)供應商進(jìn)行很少的交互。然而隨著(zhù)云計算時(shí)代的發(fā)展,面對信息安全又發(fā)起了新的一輪挑戰。
挑戰一:
傳統信息安全技術(shù)不能滿(mǎn)足云計算信息安全需求。云計算信息安全是云計算與信息安全的深度融合的產(chǎn)物,傳統的信息安全技術(shù)和產(chǎn)品也被用于防范云計算中的安全威脅。如,可靠性、驗證和授權、數據丟失連帶責任以及信息生命周期管理等方面。然而隨著(zhù)云服務(wù)的逐漸普及,傳統的信息安全技術(shù)已經(jīng)不能支撐和滿(mǎn)足云計算的快速發(fā)展,專(zhuān)業(yè)的云計算信息安全技術(shù)亟待開(kāi)發(fā)。
挑戰二:
惡意軟件、保密和訪(fǎng)問(wèn)認證等問(wèn)題威脅移動(dòng)云計算信息安全。隨著(zhù)移動(dòng)互聯(lián)網(wǎng)的迅速普及,各類(lèi)針對移動(dòng)終端的病毒層出不窮。手機病毒已經(jīng)從原先簡(jiǎn)單的系統破壞、惡意扣費擴展到隱私竊取、金融盜號和竊聽(tīng)監控等,對用戶(hù)的威脅性進(jìn)一步加大。
挑戰三:
用戶(hù)數據泄露或丟失使云計算信息安全面臨的巨大的安全風(fēng)險。用戶(hù)數據在云計算環(huán)境中進(jìn)行傳輸和存儲時(shí),用戶(hù)本身對于自身數據在云中的安全風(fēng)險并沒(méi)有實(shí)際的控制能力,數據安全完全依賴(lài)于服務(wù)商,如果服務(wù)商本身對于數據安全的控制存在疏漏,則很可能導致數據泄露或丟失。
挑戰四:
云計算面臨用戶(hù)身份認證的安全風(fēng)險。云計算服務(wù)商對外提供云服務(wù)的過(guò)程中,需要引入嚴格的身份認證機制,如果運營(yíng)商的身份認證管理系統存在安全漏洞或管理機制存在缺陷,則可能引起用戶(hù)的賬號被仿冒,特別是企業(yè)用戶(hù)的數據被“非法”竊取。在云計算環(huán)境下,云端用戶(hù)的安全接入和訪(fǎng)問(wèn)控制,出現了新的需求,特別是在IaaS的服務(wù)模型出現后,服務(wù)商需要為每個(gè)用戶(hù)提供自助服務(wù)管理界面,潛在安全漏洞又將導致各種未經(jīng)授權的非法訪(fǎng)問(wèn),并且薄弱的用戶(hù)驗證機制也埋下了云計算信息安全巨大的隱患。
