黑科技加持 政策跟进 云安全之路任重而道远

田润

在云计算高速发展的现阶段，如何提升安全保障的问题日益凸显。不久之前发生在亚马逊AWS的共和党数据库泄露，致使美国2亿选民信息曝光的严重事件引发巨大关注，将网络安全问题再次摊开在众人面前，多方面的安全挑战不容忽视。

众所周知，云计算的服务市场已替代传统IT模式，成为信息系统的主要架构。同时，云计算的服务市场类型不断创新，市场规模和用户量也在持续扩大，数据显示，2017年云计算的市场规模达到291亿元。目前，越来越多的企业把数据搬至云端，一旦发生云故障就会给企业和用户带来巨大的损失。敲响信息安全的警钟，面对重大安全事故频发的现状，信息安全隐患不容忽视。

安全事故频发 数据安全问题凸显

云计算平台的瘫痪，将导致大量数据丢失和大规模业务中断，给用户带来巨大损失。如2015年9月，由于云服务器故障，阿里云面临持续7小时的中断服务，并且大范围ECS中的进程被阻断、文件被隔离删除；2016年6月，亚马逊AWS数据中心服务中断部分持续近10小时，多家企业受影响；同年7月，Google云的App Engine服务故障时间达到107分钟，37%以上的APP访问存在异常；2017年2月，亚马逊AWS的S3简单存储服务中断持续219分钟；2017年3月，微软的数据存储服务故障时间高达535分钟，同时26个数据中心出现问题。

事实上，除云服务宕机问题，云计算中用户数据安全问题也日益凸显。与传统IT系统不同，用户和服务商分离，数据的所有者与保管者分离，这种形式将引发新的数据安全问题。由于用户数据存储在云中，存在隔离加密措施不严、黑客攻击、系统故障导致安全机制失效等多种风险，大规模用户数据面临未授权访问或被篡改、删除、盗卖的风险。数据显示，2016年确定超过6800万条用户账号数据被泄露；2016年9月～2017年2月，数百万网络托管客户数据被泄露。

与此同时，云服务成为网络攻击的重点目标。2017年6月爆发的“暗云3”木马病毒通过云端下载到计算机中发起DDoS攻击，感染全国160多万台电脑，通过窃取用户的账号、密码信息，使用户个人隐私信息受到威胁，还对互联网稳定运营造成严重影响。此外，数据显示，百度云每天遭受数十起DDoS攻击，每天检测到2500万次Web攻击。

的确，面对云服务宕机、云平台自身安全漏洞频现、针对云服务的网络攻击愈发增多等云安全问题，安全可信已成为企业用户的首要需求，这就需要电信运营商和云服务提供商在安全云服务上的共同努力。

云安全的“黑科技”发展

据悉，电信运营商纷纷投资建设高标准、大规模的云计算数据中心，作为承载自身业务和系统的重要基础设施，为客户提供可灵活定制的云计算整体解决方案。

对此，中国电信发布了天翼云3.0，能够提供安全、可信的技术保障，营造安全的云服务环境。而在7月27-30日举办的天翼展上，中国电信携手深信服构建云安全资源池解决方案，为客户提供稳定、优质的服务，切实保障客户云端业务的安全顺畅运行。“保证用户的数据安全，是每个云服务商共同的责任，也是每个云服务商共同追求的事情。”中国电信股份有限公司云计算分公司副总经理徐守峰表示。

中国联通为保障云端业务的可靠实用，将故障响应率和业务恢复率按照分级对客户进行保障，其中故障响应在10分钟之内，业务恢复在30分钟之内，并且资源可靠性达到了99.99%。

目前，华为在云基础设施防护、PaaS平台安全、安全运维、安全管理、安全服务等方面进行系统性的构建，打造安全可信云平台，形成了工具化、自动化的纵深防御体系。

毫无疑问，云安全是决定云计算产业生产和发展的关键，而借助区块链技术，可以在很大程度上提升云的安全性。中国信通院根据区块链技术演进、安全与监管等方面的研究指出，区块链在应用场景的推动下，其技术不断完善，将会与云计算紧密结合。据调查发现，区块链技术在全球电信行业已经得到了极为广泛的应用：2015年，法国电信企业Orange就在金融服务领域使用区块链；2016年10月，美国电信企业AT&T首次进行了区块链应用的探索；2017年6月，美国电信运营商Sprint Corporation与美国加州区块链初创公司、日本软银集团合作开发了区块链技术应用程序，将TBCASoft区块链平台连接到了电信运营商的系统。区块链技术的出现，无疑为云计算的发展提供巨大的助力，也为云安全的发展提供技术指导。

任重道远 共建安全生态

近年来，除了电信运营商和云服务提供商在云安全方面的努力，政策的颁布和实施也为云安全带来有力保障。工信部网络安全管理局网络与数据安全处副处长袁春阳表示：“云计算安全管理相关政策文件密集出台，云计算安全管理工作原则更为清晰、方向更为明确、任务更加具体。”其中，2015年7月发布的《国务院关于促进云计算创新发展培育信息产业新业态的意见》，将“保障安全”作为一个基本原则，从制度保障、数据保护、技术支撑、安全防护等方面明确任务目标；而在2016年11月发布的《网络安全法》，从网络运行、数据安全、用户个人信息保护等方面做出新要求，为云计算安全提供了法律保障。

云安全的发展，离不开标准的建立。值得一提的是，为了建设云计算信任体系，提出可信云服务的标准和评估体系。另外，通过CSA国际云安全标准的建立，推广云计算解决方案、云安全保障的问题方针，使云安全的工作加速向前推进。

袁春阳进一步表示，随着云计算产业的快速发展，云安全问题愈发突出，网络安全防護工作更加重要。云安全工作任重道远，离不开政府部门、行业组织、企业、应用部门、科研院校等各个方面的共同努力，规范和提升行业安全能力，合力促进安全生态形成。