云計算服務具有高性價比、高靈活性、動態(tài)可擴展、專業(yè)安全服務保障等特點，有效助力了提升管理效率、節(jié)約成本、增強綜合安全防護能力。與此同時，云計算服務也面臨諸多挑戰(zhàn)，如云計算技術基礎平臺安全性、云上數據的安全管理、云計算服務安全專業(yè)人才匱乏等安全風險問題，導致云平臺數據安全事件層出不窮。對此，我國對云計算服務的網絡安全問題高度重視，相繼發(fā)布了一系列相關政策。

2014年12月，中央網信辦發(fā)布《關于加強黨政部門云計算服務網絡安全管理的意見》，明確了黨政部門在采購使用云計算服務過程中，安全管理責任不變、數據歸屬關系不變、安全管理標準不變和敏感信息不出境的基本要求，提出了統(tǒng)一組織黨政部門云計算服務網絡安全審查、加強云計算服務過程的持續(xù)指導和監(jiān)督、強化保密審查和安全意識培養(yǎng)等基本舉措。

2019年7月，為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，國家互聯網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部和財政部聯合發(fā)布《云計算服務安全評估辦法》。2021年8月，國務院發(fā)布《法制政府建設實施綱要（2021-2025年）》提出，要及時跟進研究數字經濟、互聯網金融、人工智能、大數據、云計算等相關法律法規(guī)。

云計算服務中的主要安全風險

云計算技術作為快速迭代的新興技術，云平臺在設計、應用、測試和部署時對安全性考慮仍顯不足，在資源高度集中的運行環(huán)境下，云平臺容易成為黑客的攻擊目標，與傳統(tǒng)企業(yè)的網絡環(huán)境相比，云平臺所面臨的攻擊威脅更大，產生的影響更大。

一、基礎平臺風險

?云計算基礎平臺相比傳統(tǒng)IT基礎設施系統(tǒng)結構更加復雜，設備規(guī)模大、應用類型多，這給云計算基礎平臺安全管理帶來了更大的挑戰(zhàn)。從歷年的安全檢查和安全演練情況來看：部分云計算基礎平臺核心軟硬件設備中仍然存在大量操作系統(tǒng)漏洞、配置錯誤、策略失效等高、中風險安全漏洞；各類云管理平臺、業(yè)務運營支撐系統(tǒng)中也經常暴露出信息泄露、越權訪問、跨站腳本等安全漏洞；云平臺遠程運維模式和身份認證機制在工程實現中暴露出嚴重風險隱患；共享物理基礎設施的不同租戶之間因分離存儲、內存、路由等機制失敗而導致的虛機跳躍攻擊、側信道攻擊等案例時有發(fā)生；通過網絡釣魚竊取用戶憑據后進行云計算服務跟蹤和本地攻擊，最終導致大量數據泄露的案例日益增多；云計算服務密鑰管理機制不完善，密碼技術的合規(guī)性、正確性和有效性得不到保障，一直是云計算服務基礎平臺的安全隱憂。

二、數據安全風險

數據安全是云計算服務安全的最終目標之一，與此同時，數據安全風險也是用戶選擇云計算服務商時首要考慮的因素，然而從目前情況來看，當前云計算服務中存在的數據安全風險隱患依然很多：數據傳輸和共享過程中，數據未采取加密機制或加密機制存在缺陷，第三方調用采用明文方式進行傳輸，數據在同一臺物理服務器上不同VM之間通過服務器內部虛擬網絡進行通信時的數據安全防護機制考慮不周，這些都可能被攻擊者利用從而導致數據信息泄露；云計算基礎設施中依然存在大量重要、敏感數據未使用加密技術進行保護，給黑客等不法分子帶來可乘之機，導致信息泄露或篡改等行為發(fā)生；云服務數據在遷移過程中，遺留數據得不到徹底清除，傳輸數據得不到有效保護，備份數據得不到合理處置，往往引發(fā)數據泄露風險；對開發(fā)、測試、生產環(huán)境開放接口管理不嚴格，而導致數據遷移項目中的數據泄露案例時有發(fā)生；云計算服務中過度收集用戶個人信息，違規(guī)使用個人信息，違反個人信息保護法等問題還頻頻出現。

三、供應鏈安全風險

目前，國內云計算服務平臺所采用的云管平臺軟件、服務器、網絡安全設備、網絡交換設備和各類應用軟件雖已廣泛采用國內廠商供貨，但上述設備中使用的CPU、內存、硬盤、關鍵芯片方面主要供應商仍主要來自美國、韓國等境外企業(yè)，“芯片斷供事件”給我們敲響了警鐘，這些隱藏在二級、三級供應鏈中的安全風險在今后一段時間內依然是云計算服務商需要持續(xù)關注的現實風險。此外，數字供應鏈發(fā)展是未來趨勢，供應鏈安全成為網絡安全體系面臨的重要挑戰(zhàn)。

四、專業(yè)人才匱乏風險

據最新發(fā)布的《網絡信息安全產業(yè)人才發(fā)展報告》顯示，2021年國內網絡安全專業(yè)人才累計缺口超140萬人，而云計算服務安全專業(yè)人才缺口更顯突出，在歷年網絡安全攻防演練活動中，由于云計算服務安全管理人員意識不強、技能不足而導致的云平臺受到社會工程釣魚攻擊情況時有發(fā)生，云平臺技術人員由于操作失誤、配置不當而引發(fā)的網絡安全事故也屢屢發(fā)生，這些都給云平臺安全穩(wěn)定運行帶來了很大的風險隱患。

五、其它風險

當前，考慮到云計算服務應用場景固有的潛在風險，國家各部門陸續(xù)出臺了多項監(jiān)管政策和合規(guī)要求，云計算服務供應商要做好兼顧合規(guī)與風險管控是極具挑戰(zhàn)的事情。另外，種類復雜多樣的云上應用尚缺乏整體統(tǒng)一的安全規(guī)劃和策略，快速應對云計算新技術演進面臨的風險能力仍存不足。云計算服務中數據泄露和濫用、數據違規(guī)共享等安全管理問題也值得關注。

云計算服務安全風險應對措施?

通過對云計算服務中的安全風險分析，可采取以下措施對云計算服務安全風險進行防范和持續(xù)改進。

一、加強云計算服務中技術和管理安全標準體系研究

據研究表明，云計算平臺中的安全問題絕大部分是傳統(tǒng)IT系統(tǒng)存在的問題（如各類系統(tǒng)安全漏洞），而剩下的安全問題主要來自新技術架構應用帶來的安全技術風險，傳統(tǒng)IT技術機制在云計算服務應用場景中產生的技術風險，以及新的服務模式帶來的安全管理隱患，這些都需要結合云計算服務特點研究制定有針對性的技術和管理標準來降低隱患。目前，圍繞云計算平臺之間的元數據和數據交換，不同云平臺之間的應用遷移，云運營服務的監(jiān)控、審計、計費和通告機制，云計算服務中密碼支撐體系建設應用，云平臺的業(yè)務連續(xù)性要求以及服務水平協議等，都需要開展研究并逐步形成標準體系以保障云計算服務安全。

二、保障云計算服務供應鏈安全

隨著云技術和其他新興科技的發(fā)展，供應鏈生態(tài)安全日益受到關注，整個供應鏈生態(tài)環(huán)境的每個環(huán)節(jié)都需要通力合作，在設計研發(fā)、采購、運行維護、日常監(jiān)督階段均應關注供應鏈安全問題，一是要求信息系統(tǒng)、組件或服務的開發(fā)商在系統(tǒng)生命周期的早期階段說明系統(tǒng)中的功能、端口、協議和服務；二是要求信息系統(tǒng)、組件或服務的提供商對供應鏈產品開展安全性評價工作；三是要求信息系統(tǒng)、組件或服務的開發(fā)商即使在交付信息系統(tǒng)、組件或服務后，也應跟蹤漏洞情況，在發(fā)布漏洞補丁前便應通知云計算服務商；四是定期對供應鏈上的服務商進行評審和論證，要求供應鏈的供應商遵守信息安全、保密、訪問控制、隱私、審計、人事策略和服務級別要求和標準。

三、加速培養(yǎng)云計算服務安全專業(yè)人才

相對于傳統(tǒng)網絡安全問題，云計算服務中的網絡安全問題更加復雜，一旦發(fā)生網絡安全事件，其造成的影響和破壞性也會更大。我們需要集中精力在信息安全領域培養(yǎng)更多合格的專業(yè)人員，滿足日益增長的云計算安全專業(yè)人員的迫切需求，同時提升現有從業(yè)人員安全技能，尤其是云計算安全評估方面的技能。一方面高等院校在網絡空間安全人才培養(yǎng)中可通過開設云計算安全技術相關課程，提升學生在云計算安全技術方面的素養(yǎng)，為今后的就業(yè)打下良好的基礎；一方面可通過社會職業(yè)技能教育方式，開展云計算服務安全技能集訓、考核和認證，不斷完善云計算服務安全技術人員培訓認證體系，培養(yǎng)更多、更優(yōu)質的云計算服務安全專業(yè)人才。

四、進一步夯實云計算服務網絡安全評估工作

實踐經驗表明，云計算服務安全評估是網絡安全工作中的重要抓手，是提升云計算服務安全防護能力的關鍵一環(huán)，通過持續(xù)安全評估可及時發(fā)現、排除安全隱患，提升云計算服務的可控性和安全性。云計算服務網絡安全評估是依據國家云計算服務安全評估辦法和相關標準規(guī)范，對云計算服務從系統(tǒng)開發(fā)與供應鏈安全、系統(tǒng)與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續(xù)監(jiān)控、安全組織與人員、物理與環(huán)境安全等方面進行綜合評估。云計算服務安全評估涵蓋了《網絡安全法》中等級保護要求，可滿足物理環(huán)境、通信網絡、區(qū)域邊界、計算環(huán)境、管理中心、管理制度、管理機構、管理人員、建設管理和運維管理等十個方面的等保測評要求。云計算服務安全評估還涵蓋了商用密碼測評要求，滿足《密碼法》中密碼算法、密碼技術、密碼產品等方面有相應要求。

網絡安全已經成為國家戰(zhàn)略，相關責任和義務已通過法律形式進行明確，網絡安全工作沒有終點，云計算服務中的安全工作更顯復雜。隨著云計算技術的快速發(fā)展和廣泛應用，云計算服務必將會面臨更多的安全風險挑戰(zhàn)，云計算服務安全工作需要在國家、行業(yè)的監(jiān)管引領下，云服務商、安全解決方案提供商、供應鏈企業(yè)、第三方評估機構和人員培訓認證機構等共同參與，持續(xù)提升安全防護能力。