質(zhì)疑云計(jì)算的安全性主要出于兩點(diǎn)原因:首先,過(guò)去的企業(yè)更習(xí)慣基于網(wǎng)絡(luò)邊界構(gòu)建安全防護(hù)體系,但云計(jì)算的特征之一就是消除了網(wǎng)絡(luò)邊界。這正是CIO們最擔(dān)心的地方:有邊界的情況下仍保護(hù)不了安全,何況是在沒(méi)有邊界的環(huán)境下。
其次,云計(jì)算的另一特征是虛擬化計(jì)算,過(guò)去的取證技術(shù)已經(jīng)跟不上網(wǎng)絡(luò)技術(shù)的發(fā)展,在云計(jì)算環(huán)境下,多操作系統(tǒng)和應(yīng)用運(yùn)行在同一物理機(jī)上,這樣如何保證虛擬化環(huán)境下的服務(wù)安全?
即使沒(méi)有云計(jì)算,也從來(lái)就沒(méi)有100%的安全:“如果照搬ISO27000的133個(gè)控制點(diǎn)、11個(gè)控制域,恐怕沒(méi)有一家企業(yè)的信息系統(tǒng)是安全的,因此沒(méi)有絕對(duì)安全。安全就是不斷降低信息風(fēng)險(xiǎn),最后使殘余風(fēng)險(xiǎn)降低到可控、可接受的程度。很多企業(yè)花了很多錢(qián)構(gòu)筑的安全體系,在黑客看來(lái)可能是不堪一擊。殘余風(fēng)險(xiǎn)依然是不可接受的。”
問(wèn)題由此而來(lái),什么是可控的殘余風(fēng)險(xiǎn)?CIO可以接受的風(fēng)險(xiǎn)程度是什么?這要從我們現(xiàn)在所處的安全環(huán)境談起。以前用戶面臨的是離散的安全攻擊,早期的黑客為興趣愛(ài)好,為一點(diǎn)江湖名聲,進(jìn)行網(wǎng)絡(luò)攻擊,但現(xiàn)在信息安全已經(jīng)太多地與經(jīng)濟(jì)威脅糾結(jié)在一起,黑客已經(jīng)完全產(chǎn)業(yè)化。2010年中國(guó)計(jì)算機(jī)病毒產(chǎn)業(yè)的收益已過(guò)百億元,而中國(guó)安全產(chǎn)業(yè)的收入應(yīng)該不超過(guò)60億元,攻守關(guān)系完全倒掛。企業(yè)似乎不可能依靠一己之力,利用離散的安全解決方案來(lái)應(yīng)對(duì)已經(jīng)形成產(chǎn)業(yè)化的、無(wú)限的安全威脅。
但云計(jì)算給我們提供了改善這種格局的可能性。云計(jì)算匯集了以前用戶靠自身投資無(wú)法實(shí)現(xiàn)的安全資源,用戶改變了單打獨(dú)斗的局面,以一個(gè)紅色團(tuán)隊(duì)在對(duì)抗一個(gè)黑色團(tuán)隊(duì)。“今天的云計(jì)算安全應(yīng)該考慮誰(shuí)在控制系統(tǒng)、誰(shuí)在訪問(wèn)、信息存儲(chǔ)在哪里。過(guò)去的安全是高成本、高風(fēng)險(xiǎn)的安全,今天用戶將信息交給云計(jì)算,他們希望以更低的成本,得到更好的安全防護(hù)。”
京公網(wǎng)安備 11010502049343號(hào)