安全租戶隔離、非法訪問、數(shù)據(jù)存儲安全、隱私數(shù)據(jù)泄露、數(shù)據(jù)丟失……隨著云計算不斷地滲透人們生活的各個方面，其服務(wù)平臺背后潛藏的諸多隱患也逐漸成為了焦點。

近日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部制定并發(fā)布了《云計算服務(wù)安全評估辦法》（以下簡稱《評估辦法》）?！对u估辦法》指出，本次云計算服務(wù)安全評估是依據(jù)云服務(wù)商申請，對面向黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺進行的安全評估。

此次評估涉及到哪些方面？如何評估？“云”上安全如何保障？記者就此采訪了相關(guān)領(lǐng)域的專家。

“云”中潛藏著安全隱患

從國家“十三五”規(guī)劃、國務(wù)院促進云計算產(chǎn)業(yè)的意見、工信部云計算發(fā)展的行動計劃到地方政府紛紛出臺“政務(wù)上云”“企業(yè)上云”的政策和計劃，云計算服務(wù)呈現(xiàn)快速發(fā)展的態(tài)勢和良好的市場前景。根據(jù)中國信息通信研究院最新發(fā)布的《云計算發(fā)展白皮書（2019年）》，2018年，我國云計算整體市場規(guī)模達962.8億元，增速39.2%，國內(nèi)大部分政務(wù)服務(wù)系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施平臺已經(jīng)或正在逐步上“云”。

“云計算服務(wù)平臺即云平臺，可以把計算、網(wǎng)絡(luò)、存儲等進行虛擬化，云上用戶能夠如用水用電一樣按需獲取上述資源。”360公司云安全產(chǎn)品專家張利民告訴記者，黨政部門采購云計算服務(wù)，有利于提高資源利用率和為民服務(wù)效率與水平，但云平臺中也潛藏著諸多安全隱患。

“云計算使網(wǎng)絡(luò)邊界模糊化、虛擬化，給網(wǎng)絡(luò)安全帶來了巨大的挑戰(zhàn)，傳統(tǒng)網(wǎng)絡(luò)可以通過交換機、IDS等設(shè)備進行日常監(jiān)測、審計，而云主機間的通訊流量對于傳統(tǒng)的安全防護產(chǎn)品來說是不可見的。”張利民說，如2017年的“永恒之藍”事件暴露了政企用戶在安全管理和運維工作中存在的諸多問題，特別是在網(wǎng)絡(luò)安全的運營監(jiān)測和態(tài)勢感知、威脅預警和分析處置方面，國家和有關(guān)政企用戶缺乏有效的技術(shù)手段和足夠的能力。

“云計算作為信息產(chǎn)業(yè)的顛覆性產(chǎn)業(yè)，數(shù)據(jù)的安全是首要問題。云服務(wù)平臺上往往承載大量數(shù)據(jù)，這些數(shù)據(jù)在傳輸和存儲過程中有丟失、篡改、泄露等風險。”復旦大學大數(shù)據(jù)試驗場研究院、上海市數(shù)據(jù)科學重點實驗室副研究員張帆說，同時，云服務(wù)平臺往往涉及云平臺建設(shè)和設(shè)備提供方、云服務(wù)提供方、租戶、監(jiān)管方、測評方等多協(xié)同單位參與建設(shè)與運營管理，這就造成了云服務(wù)平臺各方安全責任邊界不像傳統(tǒng)模式下那么清晰。

北京郵電大學信息安全中心副主任辛陽舉例，一個云安全服務(wù)商可能同時為多個租戶提供服務(wù)，這些租戶之間虛擬資源相互隔離，但物理上可能在相同的設(shè)備上，攻擊者可能會突破虛擬資源的權(quán)限，完成虛擬機逃逸，并獲得控制物理機的權(quán)限，進而攻擊或竊取其他租戶的數(shù)據(jù)。