1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 并行计算/云计算

安全风险视域下的云平台责任界定与治理探析.docx

安全风险视域下的云平台责任界定与治理探析.docx

    1. 1、本文档共32页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    ??

    ?

    ??

    安全风险视域下的云平台责任界定与治理探析

    ?

    ??

    ?

    ?

    ?

    ?

    ?

    ?

    ?

    ???

    ?

    ?

    ?

    ?

    ?

    一云平台安全风险域与安全责任

    (一)云平台及其安全风险域

    云计算作为随着信息技术演进而出现的一种新型生产和服务模式,能够按需配置和优化一种或多种昂贵的计算资源,实现资源的有效整合,促进生产效率提升,创新数字经济商业模式。市场调研公司Gartner的数据显示,2018年全球公共云服务市场规模为1824亿美元,到2022年全球公有云服务营收将增长至3312亿美元。[1]

    在全球云服务市场,存在产业相互依存与用户层级嵌套的现象,“服务商—用户”身份可随着产业链延伸而不断衍化(见图1)。本文所指的云平台服务商是指管理、运营、支撑云计算的基础设施及软件,并通过网络交付云计算资源的供应方;云平台用户是指直接使用云计算服务,并同云平台服务商建立业务关系的参与方;而云计算平台即云平台,则是云平台服务商提供的云计算基础设施及其上的服务软件的集合。[2]

    图1本文研究的“云平台服务商—云平台用户”范围

    以云平台服务商提供的资源类型划分,云平台主要有三种服务模式(见图2):基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。在IaaS模式下,云平台是作为网络基础设施存在的,云平台服务商向用户提供虚拟计算机、存储、网络等计算资源及访问云平台的服务接口,用户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等;在PaaS模式下,云平台主要作为软件开发和运行平台,云平台服务商向用户提供标准语言与工具、数据访问、通用接口等,用户可利用该平台开发和部署软件;在SaaS模式下,云平台主要作为应用软件,云平台服务商向用户提供的是运行在云计算基础设施上的应用软件,用户无须自行开发软件,可利用不同设备上的用户端(如Web浏览器)或程序接口直接使用云平台服务商提供的应用软件。

    图2云平台三种服务模式

    在不同的云平台服务模式和运营方式中,潜藏着各种安全风险,深刻影响了云平台的广泛应用,可谓“牵一发而动全身”。具体来看,这些安全问题涉及如下四个安全风险域。

    1.系统安全

    系统安全涵盖保障和支撑云平台运行的通信、软件、硬件等一系列基础设施的安全域,如云主机安全、虚拟化平台安全、通信安全及运行环境安全。其中,资源虚拟化技术是云平台的特有基础技术之一,需关注虚拟化软件的脆弱点、主机虚拟化后容器安全及其日常管理安全等风险。由于虚拟化环境独特的动态特性,在遇到虚拟机未能激活、资源冲突、虚拟系统通信中断等问题时,传统的静态安全防护措施往往无法奏效。

    2.应用安全

    应用安全涵盖预防与管控在云平台中部署的与业务相关的应用或应用开发接口所带来风险的安全域,包括业务应用系统在设计、开发、发布及配置等过程中所应采取的安全措施,也包括应用在上线运行后所采取的业务防护措施,如应用识别、入侵防御、身份认证及资源访问控制等,还包括业务应用的基础支撑软件和应用扩展(APIs)的防护、加固,以及访问业务应用或调用应用扩展的操作终端的安全管理与控制等。

    3.数据安全

    数据安全虽然不是云环境下所特有的安全问题域,但是云平台用户最关心的关键安全问题之一。数据作为云平台的核心资源,按来源可分为三类:一是用户在云平台业务系统中生产的数据,二是由用户操作业务系统的行为而产生的数据,三是来自通信、平台及应用等因运行而产生的系统运维数据。云平台的数据安全应确保数据在传输、存储、流动、应用等环节中风险可控。当前云平台用户的数据安全对云平台服务商的管控能力高度依赖,用户业务数据的权属和管理虽属于用户本身,但其对数据保护和数据管理的能力有待提升。

    4.内容安全

    内容安全是在云平台中所承载的业务运营结果或其数据所附着的信息的防护或监管的安全域,这些内容最终往往以图片、文本、视频、声音等形式呈现。依据安全管控的目标不同,可分为合法内容的保护和非法内容的监管与打击。前者主要包括商业秘密保护、版权保护、复制防护等,后者通常涉及云平台上可能潜藏的色情、暴力、低俗、政治敏感、恶意广告等违法违规或有害内容,这些也是当前云平台中最常见、最难监管、防控难度较大的安全问题之一,轻则影响业务平稳运营,重则造成巨大社会舆论压力,导致云服务被暂停甚至中止。

    (二)云平台安全责任概念界定

    为解决日益凸显的云平台安全问题,云平台安全责任的落实与划分至关重要。如图3所示,与云平台相关的责任主体包括监管部门、云平台服务商和云平台用户,其相关的安全责任一方面是来自监管部门对云平台服务商的责任要求,另一方面则是云平台服务商与云平台用户之间的责任划分问题。

    图3本文研究的“云平台安全责任”范围

    其中,监管部门对云平台服务商的安全责任要求为:一是行业准入与资质管理,即国家对电信业务经营实行许可制度

    您可能关注的文档

    最近下载

    文档评论(0)

    132****3356 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >