2011年IT業(yè)界最熱的詞是“云計算”，云計算應用***的擔憂是安全問題。由比特網(wǎng)與IT專家網(wǎng)主辦的以“漫步云端 智享應用”為主題的第四屆中國CIO年會于2011年12月15日舉辦，在下午的信息安全分論壇上，來自用戶、廠商及第三方的專家共同探討了信息安全，尤其是云安全的話題。

　　盡管安全是用戶選擇云應用的***的擔憂，但實際上云計算卻比我們想像的更加安全。因為云計算使合作各方能夠做自身最擅長的工作。如云服務提供商可以在云計算的安全上面做更大的安全投資，來確保物理服務器、托管服務器及虛擬服務器的安全。此外，云服務供應商的安全標準與所有主要的物理安全準則兼容，有***的防火墻和補丁，并具有適當?shù)臑碾y恢復策略和冗余環(huán)境。這種安全水準要超過一家私人公司內部的數(shù)據(jù)中心，尤其是無力花大把資金投資到安全體系的中小型企業(yè)。

　　此外，云服務供應商能夠進行適當?shù)穆氊煼蛛x體系，防止數(shù)據(jù)泄漏和被盜，即使是云服務提供商的根用戶都甚至無法穿透你的數(shù)據(jù)。

　　另外云服務供應商還具有強大的身份管理和登陸解決方案，能夠實現(xiàn)有效的管理認證和授權制度。

　　中國人口與發(fā)展研究中心信息總監(jiān)馮方回對云計算環(huán)境的信息安全問題展現(xiàn)出樂觀態(tài)度。他認為，當采取有效的預防措施(你應該已經(jīng)對內部數(shù)據(jù)中心采取了預防措施)，云是個很好的方式來管理你的基礎設施需求。只要確認選一個值得信賴的服務商并認真閱讀服務等級協(xié)議(SLA)即可。

　　當然畢竟應用數(shù)據(jù)是在云中，而非用戶的內網(wǎng)系統(tǒng)中，用戶又在云外，那么用戶仍需要采取必要的安全措施，以確保存儲在云中的數(shù)據(jù)安全：一、安全的數(shù)據(jù)傳輸。為敏感數(shù)據(jù)，尤其是登錄名和數(shù)據(jù)庫鏈接設置SSL連接。二、使用遠程登錄密碼。使用公鑰/私鑰、雙因素認證、或其他強認證技術。不允許遠程根登錄(root login)到你的服務器，因為黑客、木馬常用的工具暴力機器人獵犬會持續(xù)不斷地對云服務提供商的遠程root登錄地址空間進行聞嗅。三、對發(fā)送到云的敏感數(shù)據(jù)進行加密。SSL將關注傳輸過程中數(shù)據(jù)的完整性，但對存儲在云服務器中數(shù)據(jù)也要進行加密。四、經(jīng)常審查日志。使用日志分析軟件，同時進行人工審核。自動化技術與人工審核政策相結合是一個很好的分層實例。

　　虛擬化是私有云最為關鍵的技術。虛擬化打破了原來傳統(tǒng)環(huán)境中通過網(wǎng)絡邊界構筑的安全防護，云環(huán)境中更是徹底打破了傳統(tǒng)的網(wǎng)絡邊界。原來通過網(wǎng)絡設備控制彼此流量的方法已經(jīng)不能夠完全保障安全了。因為虛擬機之間之間的通信流量并不受防火墻的管控，此外，一些虛擬機的管理員擁有與網(wǎng)絡管理員一樣的權限，可以去修改網(wǎng)絡上的配置，因為在虛擬管理層里面可以配置自己的虛擬網(wǎng)絡。在保護安全的同時，還不能使虛擬機密度下降(虛擬機密度直接影響著運行成本)。

　　賽門鐵克***信息安全技術顧問林育民認為在虛擬化環(huán)境中，對虛擬機的保護必須采用一種縱深防御策略來保護安全。他認為從物理環(huán)境走向私有云環(huán)境，需要考慮基礎架構的管理(包括物理環(huán)境和虛擬環(huán)境)、基礎架構的保護以及云環(huán)境中的用戶身份認證及授權這三個層面的問題。 賽門鐵克的私有云安全解決方案能夠解決這方面的問題：一是找出私有云環(huán)境下哪些虛擬機是非法的或者有漏洞的;二是保證整個虛擬環(huán)境與物理環(huán)境的安全程度是一致的;三是監(jiān)控虛擬機上面的運作。據(jù)悉，目前亞馬遜EC2平臺上選用的就是賽門鐵克的SEP方案作為安全保護措施。

　　從各方專家的討論來看，云計算的安全問題并非難以逾越，目前已有很多技術能夠解決相關的安全問題。在本次論壇上，除了云安全的討論之外，還有關于電子認證(網(wǎng)銀安全)、系統(tǒng)安全、打印機的信息安全等熱門話題的討論。精彩觀點如下：

　　中國電子認證服務產(chǎn)業(yè)聯(lián)盟秘書長，賽迪信息安全研究所的所長劉權在本次會上解讀了電子認證服務業(yè)十二五發(fā)展規(guī)劃，介紹了電子認證方面的工作及政策目標。據(jù)劉權介紹，電子認證服務業(yè)主要需要解決三個環(huán)節(jié)的問題：一個是簽名人的真實性，二是簽過的電子合同是否可靠，三是數(shù)據(jù)信息在傳輸過程的完整性。其中包括簽名人身份認證，可靠性認證，涉及到傳遞、接收、保存、提取、鑒定各個環(huán)節(jié)，涵蓋電子認證專用設備提供，再加上產(chǎn)品研發(fā)，專業(yè)隊伍建設等各個方面，電子認證是一種綜合性的高技術服務。

　　中華女子學院計算機系數(shù)據(jù)庫安全專家劉志斌認為保護計算機系統(tǒng)安全性可以有以下幾個需要重點來考慮的內容：一，應用系統(tǒng)七分技術三分管理，需要檢查缺省口令、程序后門、潛入口令等潛在威脅是否存在;二，應該在管理上界定清楚管理員的權限職責，對數(shù)據(jù)庫管理員的操作日志，要定期檢查;三，備份和恢復是永恒的話題;四、及時打補丁;五、注意對系統(tǒng)進行健康體檢。

　　榮新IT培訓中心CIO 張琦認為面對信息安全問題，需要主動出擊，形成多層防護體系。根據(jù)網(wǎng)絡分層模型，服務器應用層主要面臨的安全問題是無法訪問和中木馬，解決方案相應的便是加固并進行代碼檢測;網(wǎng)關層會面臨進出自由的問題，對應的解決方案是制定相關策略并落實;網(wǎng)絡層會出現(xiàn)流量異常的問題，能夠主動發(fā)現(xiàn)和預警;終端層會面臨病毒感染的問題，需要進行經(jīng)常的健康體檢。通過層層聯(lián)動實現(xiàn)統(tǒng)一管理。

　　設計圖紙、關鍵技術信息都是企業(yè)最為核心的數(shù)據(jù)資產(chǎn)，文件打印便是數(shù)據(jù)泄漏的重要途徑之一。由于目前的打印設備越來越趨于網(wǎng)絡化，并且設備沒有訪問控制任何人都能夠使用，一旦發(fā)生文件泄密也無法進行追蹤。理光全球服務中國區(qū)解決方案負責人朱曉明介紹了理光輸出信息安全管理系統(tǒng)。據(jù)介紹，理光輸出信息安全管理系統(tǒng)的架構主要有三個部分：一是用戶驗證，使用機器必須刷卡，同時這個環(huán)節(jié)可以設定不同的用戶權限，并且其中也體現(xiàn)了智能安全打印的功能，因為對于敏感信息打印出來后不希望別人看到，發(fā)去打印的文件只有當刷卡之后才能獲取就會避免信息被別人看到;二是刷完卡后，該用戶在機器上的任何操作都能夠被捕獲和記錄;三是審計，對于大量審計信息的存儲，通過設定一些條件進行查詢。

　　本次信息安全論壇的討論讓大家對于***的安全問題及安全解決方案有了更多的認識，同時也掃除了對云計算等技術發(fā)展的安全顧慮，有助于進一步推進技術往前邁進。