在当前的信息经济时代,数据爆炸对ICT产业的发展构成了极大挑战,而云计算因其强大的数据处理和资源共享能力成为各界关注的焦点。但是,云计算同时带来了新的安全问题,云安全一时成为新的挑战。为此,本刊广邀工信部、中国电信网络安全领域的相关专家及网络安全厂商,围绕云安全的热点问题进行深入探讨。
特邀嘉宾:
工信部网络与安全检测实验室标准部负责人 黄元飞
中国电信安全专家团队咨询专家 郭亮
McAfee全球电信解决方案事业部副总裁 Paul Stich
绿盟科技有限公司行业技术资深顾问 唐洪玉
启明星辰信息安全技术有限公司电信行业营销部总经理 常晓东
傲盾公司副总裁 诸葛永斌
北京天融信科技有限公司方案与推广中心副总裁 刘辉
云安全服务机遇和挑战并存
《通信世界周刊》:在“云计算”时代,我们在充分利用云计算提供的无限的廉价存储和计算能力的同时,也面临云计算带来的安全威胁。那么,云计算的发展对网络安全带来的挑战有哪些?
黄元飞:云计算对网络安全挑战有二:一是云计算自身的安全防护,云计算的核心是集中、共享,一方面“鸡蛋都放在一个篮子里”,如何保证篮子的安全非常重要,另一方面大家都共享云资源,包括计算资源、存储资源等,如何保证用户数据安全、保护用户隐私也就更加重要;二是利用云计算向其他信息系统提供安全保护,如现有部分厂商用云计算思想来搞杀毒软件,来做安全服务。
郭亮:云计算对国内的运营商来说是个新问题,其本质意义是确保存储和计算等IT资源的共享,由过去自成一体的IT系统向共享计算能力的云计算平台演进,而首先需要面对的是数据安全和网络安全问题。如何加强云数据的隐私性、提高云计算平台的稳定性和可依赖性,对运营商而言构成了较大的挑战。
Paul Stich:云计算的发展使得网络安全的响应时间大大缩短,真正能够实现对安全威胁和风险的实时响应。通过云计算的发展,互联网的每一个用户都可以参与到安全威胁的响应和防护体系中。借助安全厂商的云安全基础体系架构,使得安全防护的整个阶段都能够形成一个有机的整体。企业和用户能够借助云计算简单快速的提交安全威胁样本,而安全厂商能够实时的响应这些安全威胁样本同时通过云网络分享给全球所有的用户。云计算的发展完全颠覆了以往传统网络安全防护的体系,使得以安全厂商为主导地位和驱动的安全防护转化为以最终用户为主导和驱动的安全防护,大大缩短了安全威胁响应的时间,也给真正实现安全防护全球化提供了坚实的基础。
常晓东:云安全是今后云计算将要面临的最大问题,甚至是云服务得以推广应用的瓶颈。因云形态的不定性,针对云安全的研究和产品化会顺延滞后,而缺乏安全保障的云服务会因受到质疑而影响推广。云计算的发展,将催生安全产业迅速解决这一问题,安全产业会因此面临前期投入、技术革新等方面的压力,同时,整个市场也将产生新的机会。
唐洪玉:在互联网进入Web2.0时代以后,网络安全的发展趋势有了很大变化。云计算服务的大量涌现、个人计算和企业计算大量向云服务迁移进一步加剧了围绕着Web的各种安全威胁。按照IDC 2008年8月份的调查结果,云计算带来的主要安全问题主要有:第一,大量迅猛涌现的Web安全漏洞;第二,拒绝服务攻击;第三,内部的数据泄漏和滥用;第四,潜在的合同纠纷和法律诉讼等。
刘辉:云计算发展至今,云计算厂商考虑的方面包括:是否遵循法规,是否能可管理可支配,是否可保证信息的私密性、完整性和实用性(如企业的财务信息、客户信息等),如果将信息放到云计算中是否会存在内部泄密的隐患;还有就是质量保证问题,因为云计算服务是依赖于互联网的,互联网的服务质量是难以保证的,通过互联网远程使用IT资源和应用,往往可能会存在不可靠性,像亚马逊和Google的云服务都曾出现过服务中断的问题,使得企业不得不重新考虑对云计算的依赖性。
《通信世界周刊》:随着云计算在安全领域应用的不断深入,云安全对电信安全服务产生了什么影响?
黄元飞:云安全主要指云计算在安全领域的应用。云安全将对电信安全服务(特别是安全增值业务的推广)带来新的机遇。由于电信行业拥有技术和网络优势,现有电信业务很多思想与云计算是相似的,因此电信行业可抓住此机会,向社会特别是中小企业推出云安全服务,如病毒、木马检测、僵尸网络监测、防拒绝服务等。
PaulStich:云安全的建设除了安全厂商参与以外,离不开电信企业的支持和配合。对于电信企业而言,云安全的发展给电信企业和专业的安全厂商之间的合作带来了一种真正意义上的合作运营模式。由电信运营商提供本地云安全的建设基础设施,专业的安全厂商在云安全基础架构之上提供服务支撑。这种运营模式使得电信企业的用户能够以较低的成本享受到国际领先的云安全服务,而安全厂商也能够形成广泛覆盖的云安全网络架构建设。
唐洪玉:传统的安全服务已不能满足日益严峻的安全需求,随着大量移动智能终端的接入,传统的安全服务会出现捉襟见肘的局面。近年来,电信运营商在云运营商在开展云安全服务方面,可以充分利用自身的天然优势(基础网络资源、安全基础设施、信息系统、客户服务等),采用云计算服务理念进行整合、优化,构建云安全服务平台,提升安全服务效能和安全服务水平,为最终用户服务。
常晓东:目前看,云安全对电信安全服务尚未产生大的影响,当前仅进展到初期的探讨、研究阶段。但云计算是未来的网络趋势,中国不可能长期让国内网民的信息存于国外的服务器上,更不可能长期依赖国外的云给国内搞计算。中国一定会建自己的云,而云的建设者,主要就是国内的几大电信运营商。建云的同时,云的安全是各运营商必须要考虑的问题,并且一定要给出解决方案。可以说,若要发展云计算,在今后很长一段时间,云安全就将是安全产业和电信运营商共同面临的压力和挑战,无论是产品形态还是服务形态,都将引发变革。
诸葛永斌:云安全的实际效果尚处在探讨阶段,但安全服务已有广泛应用。云安全对电信安全服务的影响主要有二。
首先,安全架构将从“端”走向“云+端”。完全基于云的安全服务绝不会满足所有客户的需求。网络条件并非在任何情况下都值得信任,一旦网络出现故障,完全基于云的安全软件将毫无用武之地。所以“云服务平台+本地安全软件”的安全架构更可靠、更灵活,代表了产业的发展方向,并且由于客户的需要不同,未来的安全服务将同时存在于云和客户端之中。