社交网络的信息安全(3)

6. 滥用云计算:隐藏于云计算背后的注册信息及服务( 特别是在公共云)使用匿名的做法,不但让犯罪者利用强大并可延展的E 资源从事活动,也不容易定罪。这些非法活动包括解开密码及破解密钥、使用与控制僵尸网站及散播恶意软件等,都须密切监控。

7. 其他未知的风险:在采用云计算服务前,一定要仔细咨询云计算服务商其宣称的服务特色及各项功能方面的相关问题。 如果很复杂,就更须进一步咨询云服务商关于安全处理程序及其提供的安全相关服务的特点,以评估服务商所提供的服务及其应变措施是否符合需求。若在此方面或其他相关问题的回复,无法满足需求,致使云计算服务商的安全管理特征依然不明确,对组织而言,这样的服务就具有高度风险。

如何避免与降低云安全风险

因为企业及政府对于是否导人云计算,会受限于对风险的考虑,因此在规划导人云技术及云外包服务前,必须先从相关风险是否可被管控的角度来考虑。安全上的需求根据使用的情境而有所不同( SaaS PaaS混合及社区云等服务)。这些都在大量的研究报告及指南(如 KOM、

EuroCloud、ENISA、云安全联盟 CSA) 中会有所解释。

云计算用户应采用以下 7 个主要防范措施,来预防或降低安全上的风险。

1. 定义数据保护层级

在云环境中制作或转移数据时,用户必须将数据分类(如:分成一般数据、高度或极高度安全层级数据等) ,分析其安全需求,并定义云服务商应如何存储或传递那些数据,其中也包括使用加密处理程序或在获得某些特定数据上采用比较复杂的权限设计。此外,数据安全等级的分类和定义,应依据云服务商所定的安全标准来进行。

2. 云数据的安全存储

存储的数据以不同算法(如先进加密标准 AES) 及密钥长度(如 256位大小)做加密。 基本上,越强的加密程序代表数据保护越安全。加密的等级必须走时地测试与改进,才能确保数据安全的需要。

虽然加密具有很多优点,{且云服务的用户仍需负责密钥的管理。 如果密钥遗失,就会失去加密的资料。如果密钥遭受损坏,数据安全上的保护也会随之发生问题。 客户必须衡量密钥管理的选择并采取必要措施以降低危险。此外,处理中数据的加密形式仍是有待解决的问题。这一问题因同态加密( Homomorphic Encryption )技术的演进而有所进展。目前最明确、可行的方案就是在处理数据前,先对数据加密。

读书导航