CIO年會共話資訊安全：雲計算很安全

2011年IT業界最熱的詞是「雲計算」，雲計算應用最大的擔憂是安全問題。 由比特網與IT專家網主辦的以「漫步雲端 智享應用」為主題的第四屆中國CIO年會于2011年12月15日舉辦，在下午的資訊安全分論壇上，來自使用者、廠商及協力廠商的專家共同探討了資訊安全，尤其是雲安全的話題。

儘管安全是使用者選擇雲應用的最大的擔憂，但實際上雲計算卻比我們想像的更加安全。 因為雲計算使合作各方能夠做自身最擅長的工作。 如雲服務提供者可以在雲計算的安全上面做更大的安全投資，來確保物理伺服器、託管伺服器及虛擬伺服器的安全。 此外，雲服務供應商的安全標準與所有主要的物理安全準則相容，有最新的防火牆和補丁，並具有適當的災害復原策略和冗余環境。 這種安全水準要超過一家私人公司內部的資料中心，尤其是無力花大把資金投資到安全體系的中小型企業。

此外，雲服務供應商能夠進行適當的職責分離體系，防止資料洩漏和被盜，即使是雲服務提供者的根使用者都甚至無法穿透你的資料。

另外雲服務供應商還具有強大的身份管理和登陸解決方案，能夠實現有效的管理認證和授權制度。

中國人口與發展研究中心資訊總監馮方回對雲計算環境的資訊安全問題展現出樂觀態度。 他認為，當採取有效的預防措施(你應該已經對內部資料中心採取了預防措施)，雲是個很好的方式來管理你的基礎設施需求。 只要確認選一個值得信賴的服務商並認真閱讀服務等級協定(SLA)即可。

當然畢竟應用資料是在雲中，而非使用者的內網系統中，使用者又在雲外，那麼使用者仍需要採取必要的安全措施，以確保存儲在雲中的資料安全：一、安全的資料傳輸。 為敏感性資料，尤其是登錄名和資料庫連結設置SSL連接。 二、使用遠端登入密碼。 使用公開金鑰/私密金鑰、雙因素認證、或其他強認證技術。 不允許遠端根登錄(root login)到你的伺服器，因為駭客、木馬常用的工具暴力機器人獵犬會持續不斷地對雲服務提供者的遠端root登錄位址空間進行聞嗅。 三、對發送到雲的敏感性資料進行加密。 SSL將關注傳輸過程中資料的完整性，但對存儲在雲伺服器中資料也要進行加密。 四、經常審查日誌。 使用日誌分析軟體，同時進行人工審核。 自動化技術與人工審核政策相結合是一個很好的分層實例。

虛擬化是私有雲最為關鍵的技術。 虛擬化打破了原來傳統環境中通過網路邊界構築的安全防護，雲環境中更是徹底打破了傳統的網路邊界。 原來通過網路設備控制彼此流量的方法已經不能夠完全保障安全了。 因為虛擬機器之間之間的通信流量並不受防火牆的管控，此外，一些虛擬機器的管理員擁有與網路系統管理員一樣的許可權，可以去修改網路上的配置，因為在虛擬管理層裡面可以配置自己的虛擬網路。 在保護安全的同時，還不能使虛擬機器密度下降(虛擬機器密度直接影響著運行成本)。

賽門鐵克首席資訊安全技術顧問林育民認為在虛擬化環境中，對虛擬機器的保護必須採用一種縱深防禦策略來保護安全。 他認為從實體環境走向私有雲環境，需要考慮基礎架構的管理(包括實體環境和虛擬環境)、基礎架構的保護以及雲環境中的使用者身份認證及授權這三個層面的問題。 賽門鐵克的私有雲安全解決方案能夠解決這方面的問題：一是找出私有雲環境下哪些虛擬機器是非法的或者有漏洞的;二是保證整個虛擬環境與實體環境的安全程度是一致的;三是監控虛擬機器上面的運作。 據悉，目前亞馬遜EC2平臺上選用的就是賽門鐵克的SEP方案作為安全保護措施。

從各方專家的討論來看，雲計算的安全問題並非難以逾越，目前已有很多技術能夠解決相關的安全問題。 在本次論壇上，除了雲安全的討論之外，還有關于電子認證(網銀安全)、系統安全、印表機的資訊安全等熱門話題的討論。 精彩觀點如下：

中國電子認證服務產業聯盟秘書長，賽迪資訊安全研究所的所長劉權在本次會上解讀了電子認證服務業十二五發展規劃，介紹了電子認證方面的工作及政策目標。 據劉權介紹，電子認證服務業主要需要解決三個環節的問題：一個是簽名人的真實性，二是簽過的電子合同是否可靠，三是資料資訊在傳輸過程的完整性。 其中包括簽名人身份認證，可靠性認證，涉及到傳遞、接收、保存、提取、鑒定各個環節，涵蓋電子認證專用設備提供，再加上產品研發，專業隊伍建設等各個方面，電子認證是一種綜合性的高技術服務。

中華女子學院電腦系資料庫安全專家劉志斌認為保護電腦系統安全性可以有以下幾個需要重點來考慮的內容：一，應用系統七分技術三分管理，需要檢查缺省口令、程式後門、潛入口令等潛在威脅是否存在;二， 應該在管理上界定清楚管理員的許可權職責，對資料庫管理員的動作記錄，要定期檢查;三，備份和恢復是永恆的話題;四、及時打補丁;五、注意對系統進行健康體檢。

榮新IT培訓中心CIO 張琦認為面對資訊安全問題，需要主動出擊，形成多層防護體系。 根據網路分層模型，伺服器應用層主要面臨的安全問題是無法訪問和中木馬，解決方案相應的便是加固並進行代碼檢測;閘道層會面臨進出自由的問題，對應的解決方案是制定相關策略並落實;網路層會出現流量異常的問題，能夠主動發現和預警; 終端層會面臨病毒感染的問題，需要進行經常的健康體檢。 通過層層聯動實現統一管理。

設計圖紙、關鍵技術資訊都是企業最為核心的資料資產，檔列印便是資料洩漏的重要途徑之一。 由於目前的列印裝置越來越趨於網路化，並且設備沒有存取控制任何人都能夠使用，一旦發生檔洩密也無法進行追蹤。 理光全球服務中國區解決方案負責人朱曉明介紹了理光輸出資訊安全管理系統。 據介紹，理光輸出資訊安全管理系統的架構主要有三個部分：一是使用者驗證，使用機器必須刷卡，同時這個環節可以設定不同的使用者許可權，並且其中也體現了智慧安全列印的功能，因為對於敏感資訊列印出來後不希望別人看到， 發去列印的檔只有當刷卡之後才能獲取就會避免資訊被別人看到;二是刷完卡後，該使用者在機器上的任何操作都能夠被捕獲和記錄;三是審計，對於大量審計資訊的存儲，通過設定一些條件進行查詢。

本次資訊安全論壇的討論讓大家對於最新的安全問題及安全解決方案有了更多的認識，同時也掃除了對雲計算等技術發展的安全顧慮，有助於進一步推進技術往前邁進。

(責任編輯：蒙遺善)