云時代的到來雖然為企業(yè)信息安全水平的提高提供了更為有利的條件，但并不意味著云計算就沒有給企業(yè)安全帶來挑戰(zhàn)。事實上，云計算時代，信息安全面臨著一些新的威脅，其中最為突出的就是虛擬化。
　　云計算是IT 產(chǎn)業(yè)的大趨勢，這一點已經(jīng)成為人們的共識。不過，要讓用戶現(xiàn)在就向云世界遷移還面臨相當(dāng)多的問題，其中對安全方面的擔(dān)心是云計算落地的最大阻力之一。那么，我們應(yīng)該如何看待云計算對信息安全的挑戰(zhàn)，如何著手保證云計算的安全呢？
　　“云”化安全產(chǎn)品更可靠
　　“我認為，云計算時代的到來有助于改善信息安全的狀況， 更利于企業(yè)保證信息的安全�！� 賽門鐵克首席信息安全技術(shù)顧問林育民說。
　　林育民認為，在云時代，數(shù)據(jù)和應(yīng)用程序都保存在“ 云” 端， 由云服務(wù)供應(yīng)商或內(nèi)部私有云管理部門提供技術(shù)支持，這種集中管控對信息的安全是有利的。內(nèi)部私有云比多個業(yè)務(wù)部門自行運維系統(tǒng)，來得更安全、經(jīng)濟且有效率；此外，云服務(wù)提供商往往比大多數(shù)企業(yè)自己更有能力做好企業(yè)信息安全的保障工作。這是因為云服務(wù)商更有資金實力去請有足夠經(jīng)驗的安全人員，來提供7×24 小時的安全保護；而且由云服務(wù)商提供安全服務(wù)更經(jīng)濟。另外，云服務(wù)商為展現(xiàn)自身的信息安全管理能力，大多主動遵循相關(guān)規(guī)范（如ISO 270001、SAS 70 Type2 等） 并積極通過國際標(biāo)準(zhǔn)組織認可的獨立第三方認證，且有獨立第三方對云服務(wù)商進行審計和監(jiān)管，這客觀上也促進了云服務(wù)提供商改進自己的安全及服務(wù)水平。
　　“不管是技術(shù)實力還是資金實力，云服務(wù)商的云環(huán)境其安全水平都要好于企業(yè)自己的IT 環(huán)境；而且云服務(wù)商業(yè)務(wù)持續(xù)增長與永續(xù)經(jīng)營中重要的關(guān)鍵就是信任二字�！绷钟�民說。
　　當(dāng)然，用戶對數(shù)據(jù)安全和隱私方面的擔(dān)心也并不是多余的。要消除用戶的擔(dān)心，首先是云服務(wù)商要提升自己的品牌信任度，進而提升用戶的信心，讓用戶愿意將信息交付給第三方。
　　林育民解釋說，已有許多全球500 強公司開始采用各類SaaS 云服務(wù)，因為這些云服務(wù)商已建立完善的安全制度及品牌形象，取得了用戶信任。比如，賽門鐵克的CRM 就選用了Saleforce.com 公司的云服務(wù)。在中國市場，云服務(wù)提供商仍在完善云環(huán)境的安全防護與建立可信的品牌形象，中國用戶還不太放心將自己的敏感信息保存在第三方，所以國內(nèi)目前仍著重于私有云的建設(shè)；但隨著安全制度與法規(guī)逐步的完善、安全技術(shù)的進步，用戶對公有云服務(wù)的疑慮將逐漸降低，未來公有云服務(wù)將在國內(nèi)逐步興起。
　　另外，安全產(chǎn)品的“云”化也會提升安全產(chǎn)品的功能。根據(jù)賽門鐵克的統(tǒng)計，2009 年新發(fā)現(xiàn)的惡意代碼中，有57% 僅出現(xiàn)在單一計算機中。這意味著傳統(tǒng)被動式病毒簽名掃描已無法有效應(yīng)對新興的安全威脅；而近年來新提出的主動式防御概念，對于采用社交工程技術(shù)的欺詐軟件也無法有效應(yīng)對。隨著云計算技術(shù)的出現(xiàn)，安全防御不只從被動轉(zhuǎn)為主動，更是從主動轉(zhuǎn)為預(yù)測式防御，安全防護廠商不需要分析惡意代碼樣本即可預(yù)測其是否可能為惡意代碼，大幅縮短了用戶的防護空窗。此外，由于云安全服務(wù)廠商通過云計算技術(shù)對流量做實時分析，可提供前所未有的安全防護能力。以賽門鐵克云端信息安全服務(wù)為例，該服務(wù)可對用戶做出100% 防護已知與未知的承諾，若是違反服務(wù)水平協(xié)議，將對用戶做出賠償。
　　應(yīng)對虛擬化挑戰(zhàn)
　　云時代的到來雖然為企業(yè)信息安全水平的提高提供了更為有利的條件，但并不意味著云計算就沒有給企業(yè)安全帶來挑戰(zhàn)。事實上，云計算時代，信息安全面臨著一些新的威脅，其中最為突出的就是虛擬化。
　　據(jù)林育民介紹，作為云計算基礎(chǔ)的虛擬化的確給安全帶來很大的挑戰(zhàn)：因為安全廠商傳統(tǒng)的產(chǎn)品都是針對物理服務(wù)器，可是到了虛擬化環(huán)境中，很多狀況發(fā)生了改變。
　　這些挑戰(zhàn)主要體現(xiàn)在以下幾個方面：在虛擬化的世界里，服務(wù)器就是一個個文件、而不再是一個獨立的服務(wù)器，這個服務(wù)器（或者說文件）很容易被別人帶走，風(fēng)險更高了；當(dāng)很多虛擬機運行在物理服務(wù)器上時，這些虛擬服務(wù)器的管理員的工作往往也接手了虛擬化網(wǎng)絡(luò)環(huán)境的管理，這就意味著管理員的權(quán)限增加了，需要重新規(guī)范管理員的權(quán)限；虛擬化平臺（Hypervisor）的引入可能成為新的安全漏洞，一旦黑客攻破了它，就意味著黑客將掌控虛擬化平臺上運行的所有虛擬機；此外，虛擬機的鏡像管理也可能成為新的安全漏洞。比如，在兩次快照之間升級了系統(tǒng)后，由于某些原因可能需要退回到前一個沒有進行系統(tǒng)升級的快照，此時，系統(tǒng)升級就可能被疏忽掉。
　　實際上，保護虛擬化環(huán)境的安全已經(jīng)成為了不少安全廠商的市場重點。比如，賽門鐵克就圍繞虛擬化環(huán)境的安全推出了很多安全產(chǎn)品，包括對管理員在虛擬化環(huán)境中的權(quán)限進行管控與審計的工具，以及通過部署專門的安全虛擬機來保護各個虛擬機的安全，從而避免在每個虛擬機上都部署一套安全產(chǎn)品，減少防護空窗并提升虛擬環(huán)境運作效率。另外，還有幫助企業(yè)對虛擬化環(huán)境進行合規(guī)性檢查的各種工具等。
　　“總體而言，云計算給信息安全帶來的既有有利因素、也有不利因素，最終的效果則取決于我們是否能發(fā)揮它的優(yōu)勢而規(guī)避其劣勢。”林育民說。

信息安全