云时代的安全性
行业应用
2008年以来,云计算算是IT业界最热的IT名词了,各个企业的CIO都在畅谈云计算的现在和未来,连杀毒软件厂商都先知先觉地推出“云”杀毒软件了。让人不禁想起当年微软在推出“.Net”计划后,许多厂商纷纷跟进,尽量让自己的产品与“.Net”搭上关系。
众多企业的CIO对“云”时代的网络安全有许多畅想。根据美国网络安全分析专家的解释,现在企业网络中使用的电子邮件、拒绝服务(DoS)防护、安全漏洞扫描或Web过滤等诸多服务,大多采用企业自己DIY的方式,而在“云”时代,这种安全防护方式将会被“购买服务”的方式完全取代。
虽然目前还没有步入“云”时代,很多企业刚刚开始Web2.0的应用,但企业内部网络和外部网络已经开始呈现越来越复杂的状况,安全环境的复杂程度让CIO无从下手。以往CIO只需要关心企业外部服务器的安全即可,而现在随着ERP等众多线上、跨网和企业间网络服务软件的增多,企业除了要面对以往的外部服务器攻击,还要关心企业内部数据安全以及包括企业伙伴、客户在内的网络关联体的安全问题。跨网攻击事件越来越多,而企业合作伙伴或客户的安全也是事关企业信誉的重要因素。
此时,CIO不仅需要有效地管理大量的客户端与服务器交互的动态信息,防止复杂的网络服务因为环节疏漏导致安全隐患,还要对整个网络环境进行安全状态的评估。特别是需要将大量的精力花在对客户端的监控与保护上,预防可能发生的“挂马”、0Day等攻击方式。
在进行企业信息安全管理时,CIO容易忽略对操作系统和网络服务等针对性项目的安全进行扫描检测,也缺乏对黑客手段的有效检测,对于技术更新带来的潜在危险往往也无法做到安全有效的评估。此外,目前许多企业仍然使用的是早期企业服务器防护技术,大多采用的是服务器版的杀毒软件等常规手段,或采取权限控制、过滤等手段进行保护,但是这些传统的防护手段都已经存在被破解或躲避的方法了。
这些烦恼让许多畅想云计算的CIO非常向往“云”中的网络安全,特别是基于网络服务提供商的安全防护。根据云计算的特点,在云时代网络服务供应商将会向企业提供DoS防护和响应,如中国电信或中国移动就能够提供更好且更廉价的服务,在企业网络上游过滤掉各种恶意攻击。
云安全的另一种模式则不需要与网络服务运营商紧密合作,这是一种安全模块服务。例如,利用反垃圾邮件服务将记录改向提供网络服务的提供商,这种类型的服务包括垃圾邮件与杀病毒过滤、安全漏洞扫描以及Web过滤等。一般来说,它不包括DLP内容监测与过滤,也不包括身份访问与管理,这些功能与内部业务改变紧密相连。
不过对于CIO而言,这并不意味着今后可以不用再关注企业安全问题。这种安全模块服务对保护移动便携应用或结构复杂的企业分公司具有很大的价值,对跨国企业具有很强的吸引力。但是,对中小企业或没有过多分支机构的公司而言,CIO可能会发现,通过自己部署的安全设备过滤垃圾邮件、病毒和限制Web访问来保护内部网络安全,是一种更方便和性价比更高的方式。