互联网周刊：云安全之重(2)

技术层面——云可以很安全

云计算作为一种新技术，新的运营形态，必然会带来新的漏洞和新型攻击。

同传统的信息化系统一样，从技术上看，云计算系统的安全漏洞是不可避免的，且由于服务网络化、数据集中化、平台共享化和参与角色多样化，云计算所面临的安全风险相对于传统信息化系统更加复杂。此外云计算中对数据的安全控制力度并不是十分理想，API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏，并且还可能缺乏必要的数据销毁政策。

但也应该看到，在绝大多数情况下，相对于个人和中小企业用户而言，云服务提供商可以提供更加专业和完善的访问控制、攻击防范、数据备份和安全审计等安全功能，并通过统一的安全保障措施和策略对云端IT 系统进行安全升级和加固，从而提高了这部分用户系统和数据的安全水平。

简单来说，专业的云服务上提供的服务比小企业自己花费IT预算进行的数据保护和应用更安全，这好比专业的基金公司通常比散户更能在股市上赚到钱。

随着云计算技术和理念的不断发展，国际标准组织、产业联盟和研究机构等针对云计算安全风险开展了研究，尽管各组织机构对云计算安全风险分析的角度不尽相同，但普遍认为共享环境数据和资源隔离、云中数据保护以及云服务的管理和应用接口安全是最值得关注的问题。从各组织的关注重点来看，管理方面的探讨较多。

例如，ITU-T关注用户在让渡数据和IT 设施管理权的情况下与服务提供商之间的安全权责问题，并强调了数据跨境流动带来的法律一致性遵从问题；CSA 关注云服务恶意使用和内部恶意人员带来的安全风险；ENISA(欧洲网络与信息安全局)强调了公共云服务对满足某些行业或应用特定安全需求的合规性风险。

事实上，实现用户数据在云服务器端从生成到销毁全过程，包括在云服务器端的强制自我销毁技术，保证在云计算平台受到恶意攻击的情况下用户数据仍然能够按时销毁，技术上并没有多大难度。而从针对基于虚拟机监控器的用户进程保护系统，保证用户数据在迁移的全过程的隐私性和完整性也已经在多个平台上实现。(责任编辑：admin)