什么是云计算安全？

ceprei_pk

1、云计算安全简介
        目前云计算应用日益广泛，安全问题却是阻碍云计算发展的重要障碍，云计算安全管理也是当前云计算领域的关注重点。2010年，中国云计算调查报告（盛拓）中指出，企业对云计算安全顾虑中数据安全和隐私关注度最高，53.8%的受访对象表示“对技术安全性方面的担忧”阻碍其迁移到云平台；2011年，趋势科技发布的全球云计算安全调查指出，近一半（43%）的企业IT决策者表示，所使用的云服务在过去12个月中曾经出现安全疏漏或安全问题，云计算服务普及有两大主要障碍，包括对数据或云计算基础架构的安全性的担心（50%），以及服务的效能与可用性（48%）；2013年，联合国贸易和发展会议（UNCTAD）公布的报告(Information Economy Report 2013)显示，云计算安全成为云计算产业发展的主要挑战。
      近年来，国际国内发生的云安全事故层出不穷。CSA 2013年3月发布的《云计算弱点事件统计》（Cloud Computing vulnerability Incidents: A Statistical Overview）显示，2010年至2011年云计算安全事件数量呈现翻倍趋势，知名云计算企业均出现过多次云计算安全事故。其中排名前三位的包括：不安全的界面或接口、数据丢失或泄漏、硬件故障。
      云安全事故层出不穷，用户担忧不断，云计算安全问题应当得到云服务提供商的重视。云计算安全是云服务构建的必不可少的环节，没有云计算安全，就无法保证云服务业务的安全有效的开展。如果云计算安全技术和管理手段落后，将导致安全隐患，威胁云服务提供商、用户的安全。目前我国大量建设的各种云计算平台已逐步取代传统的数据中心，特别是电信、金融、航空、政务云平台，如果没有进行良好的云安全保障，将全方位地危云服务提供商业务正常开展及云平台上的用户安全。
2、C-STAR 云安全评估
      云安全联盟CSA（Cloud Security Alliance，后统称CSA）是目前世界上最为权威的云计算安全专业组织，其先后发布了云计算关键领域安全指南、云安全事件响应CloudSIRT、云安全知识认证 CCSK、CSA Governance Stack、CSA STAR 计划等等，并得到了业界积极的参与和支持。截止到2013 年9 月份，CSA 个人会员超过48000 人，企业成员数量已超过200 个，名单中涵盖了国际领先的电信运营商、IT 和网络设备厂商、网络安全厂商、云计算提供商、以及重要的云计算用户。为建立云计算安全评估及信任机制，CSA 在其开放式认证框架（Open CertificationFramework，OCF）中提出了三种云计算成熟等级及保证要求，作为云服务提供商遵循指引及认证参考。①等级1：依据CAIQ，进行自我评估（The STAR Self-Assessment）自行向CSA 宣告符合程度；②等级2：依据CCM，进行STAR Certification（Third PartyAssessment）第三方评估，由第三方机构进行验证；③等级3：使用监控软件工具，进行Continuous monitoring-based certification ，以持续监控为基础的STAR 认证（制定中）。为协助云服务提供者展现其云服务安全水平及安全管理成熟度，赛宝认证中心（CEPREI，后简称赛宝）于2014 年与CSA 正式开始合作，针对OCF 第2 等级开展第三方评估认证，即C-STAR 云安全评估。
      C-STAR 评估依据CSA 最新发布的云安全控制矩阵CCM V3.0，结合国内相关法律法规和标准要求，形成C-STAR 云安全控制矩阵，从应用和接口安全、审核保证、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理等16 个云安全控制领域，对云服务的安全控制状况进行系统评估。同时，为了帮助企业对云安全管理成熟度进行评估和持续改进，引入了云安全管理成熟度评价（将在形成的评估报告中给出成熟度评估得分），对C-STAR 云安全控制矩阵中的安全控制措施进行成熟度评分并划分为5 个等级，不同分数等级代表云服务提供商的安全控制的管理成熟度水平。
      企业如若通过C-STAR 评估，则可获得赛宝于CSA 联合颁发的C-STAR 云安全证书、获得CSA 官网证书注册并受到国际认可、获取云安全管理成熟度报告，通过云安全评估，提高云安全管理水平，减少可能潜在的风险隐患，保障业务持续开展与紧急恢复，更好的满足顾客的云安全要求，并证明云安全水平领先于云服务提供者行列。
3、实施云计算安全管理的必要性
      目前，大多数组织对云计算所面临的安全问题认识不足，对云计算安全管理所知有限、对云计算安全风险认识不足、相应的管理措施不到位等等。这些都容易造成云安全事件。缺乏系统的云安全管理思想也是一个重要的问题。三分技术七分管理，无所不在的云安全威胁也要求我们重视云安全管理体系的建设。作为系统全面的系统安全解决方案，首先，对公司进行全方位的云计算安全风险评估将会有助于组织全面识别面临的云计算安全风险并做出恰当的风险评价，然后对管理体系进行规划和设计，结合适当的云安全培训，采取合适的管理和技术控制措施来解决信息安全问题，继而通过PDCA 过程，进行持续改进，最终获得评估认证。

18620344355@163.com