无论音乐分享、网络通讯录同步还是网络文件存储,你的文件、资料、密码等等等一切东西,都开始从本地硬盘向服务器“云端”转移,“云端”在网民们整个的活动中变得越来越有价值。《瑞星2011上半年安全报告》中,阐述了“云端”遇到的问题,瑞星专家对这些问题进行了深入解析。
从2006年8月,Google开始提出云计算(Cloud Computing)概念的时候开始算,“云”的概念已经热了整整五年,已经在多个领域深入人心,尤其受到了IT业界、媒体和用户的热捧。无论软件厂商、硬件厂商、手机厂商还是互联网厂商,都纷纷抛出自己的“云计算”计划。
但大家说来说去,通常都是说“云”的优点,包括随时获取,按需使用,随时扩展,按使用付费等等优点被一再提起。但是在安全性上,就说的不是那么多,毕竟在行业内,“可用性”的权重要远高于安全性。而且安全这个东西,在事故未发生之前,通常是被放在最后考虑的。
云计算服务自身的安全隐患随着应用的不断深入逐渐暴露出来。Gartner咨询公司首席安全分析师John Pescatore表示,云计算的方法最初没有考虑安全性的设计。那么,云计算的安全性到底如何,应该如何提高云计算的安全性,在使用云计算的过程中,用户应该注意什么呢?
在讨论问题之前,先明确一下“云计算”的定义:“狭义云计算指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。-——百度百科”
▲(Google设立在比利时的数据中心)
Google所说的“云计算”,就是把自己的服务器集群看作“云”,普通网民可以通过浏览器来享受Google docs、Google music、Gmail等服务,这些就是最简单的云计算的典型场景。事实上,无论是利用亚马逊S3来提供服务的Dropbox,微软推出的在线文档服务live office,还是苹果最新发布的云端服务iCloud,都属于面向普通网民的“云端服务”。
▲(乔布斯在发布会上做关于iCloud的演讲)
仔细看看这些应用,你就会发现,无论音乐分享、网络通讯录同步还是网络文件存储,你的文件、资料、密码等等等一切东西,都开始从本地硬盘向服务器“云端”转移,“云端”在网民们整个的活动中变得越来越有价值。以前,本地硬盘上的文件丢了,你会抓耳挠腮恨不得拿脑袋撞墙,现在最先作出的举动是:赶紧去翻翻邮件记录,看看当初的附件还在不在。
如上所说,“云”渗入生活,确实给用户带来了不少方便。但同时,如此多有价值的东西储存到云端,也带来了大量安全问题:
1、法律和侵权风险。
因为“云端(服务器)”所在的地域不同,使用期间可能面临的法律风险也会大不相同。比如,外国人在某些保留皇帝的国家的服务器上存储了冒犯皇室的文件,将可能面临刑事指控;在我国的香港特别行政区,在商业业务中安装盗版软件,最高刑期将高达4年。
虽然网络无边界,但用于进行“云计算”业务的服务器毕竟真实的处于各国法律的管辖之下,因此,对于“云计算”的不当应用,将可能面临极其严重的法律风险和侵权风险。
2、隐私泄露风险。
无论在线office软件、电子邮箱还是SNS帐号,通常都可以根据其资料来了解使用者的一些私密信息。例如,网民通过在线office处理公司文档,如果服务提供商不对其进行严格的安全保护,就可能通过内部人员泄漏、其他用户的非授权查看等途径泄漏隐私,给公司的正常运作带来严重影响。
2011年6月初,谷歌宣布有人入侵了数百个Gmail用户的个人账户。这些账户属于具有一定知名度的重要人士,包括美国高级政府官员、韩国及其他亚洲国家的官员,以及军队相关人士和新闻记者等。
在国内,这样的事情更是屡见不鲜,某些网站会把用户资料出售进行牟利,也有的因为公司管理制度不严格,导致公司内部员工获取了本来不该获取的信息,利用这些信息来谋取利益。例如,2011年6月,香港私隐专员公署发表调查报告透露,有五间银行于2008至2009年期间,转移客户的个人数据提供予第三者,包括永亨、富邦、花旗和工银亚洲。
3、非授权访问风险。
并非所有的“云计算”提供商都有严格的安全管理流程,有时候心怀叵测者可以通过技术手段或其它手段,来获取到用户的机密信息。
2005年12月,《纽约时报》援引一些前任和现任美国政府官员的话说,美国国家安全局获得了美国各电信运营商的合作,获得了接入国内和国际通信网的“后门”通道,秘密收集了大量电信数据和很多电话交谈信息,包括监听国际长途和与“基地”组织有关的嫌疑人的国际电子邮件。
美国司法部曾向Twitter发出一份法庭命令,要求Twitter提供与维基解密关系密切的几名激进分子的帐户信息。主要注意的是,司法部发出并非传统的法庭传票,而是直接的“命令”——2703(d)命令。这种法庭命令允许警方从某网站或网络服务供应商处强制提取与正在进行的刑事调查有关的特定记录。
▲(利用tag标签,FBI企图挖掘恐怖分子的更多信息)
4、病毒和黑客攻击
通常情况下,“云端”为数百万、数千万甚至上亿用户提供不间断的服务,一旦作为服务中心的节点出现安全问题,则会极大影响到网民的正常生活。
2010年1月,国内最大的搜索引擎百度遭遇域名劫持攻击,服务几近瘫痪,使得已经习惯“有了问题百度一下”的网民束手无策,焦虑万分。而追究事情的起因,则是因为其域名托管商管理不善,黑客冒充百度的管理者发送邮件,从而对baidu.com域名进行了劫持。
除了域名劫持之外,分布式拒绝服务攻击 (DDOS,Distributed Denial of Service)、网站统计系统攻击、跨站脚本攻击等,也是攻击云计算提供商及其用户的常见手段。
6月28日晚间,新浪遭遇大规模的蠕虫病毒入侵,众多名人草根莫名地发送垃圾私信,许多微博开始不断刷屏,转发垃圾链接,同时都在关注一个名叫“hellosamy” 的人。就这样一个多小时竟然传染3万多微博用户。
这是通过跨站脚本蠕虫攻击,来攻击大型网络的最新案例。同样的攻击手法,可以应用到微博类网站、博客网站、社会化分享网站等,可以以极小的代价,来瘫痪用户众多的服务和应用。
5、跨平台带来的安全问题
除了上述四个风险之外,云计算还有另外的安全风险,那就是针对跨平台应用带来的安全问题。例如,Dropbox可以在PC、安卓手机、iPhone和iPad上使用,即使PC端和服务器上的安全设置做的完美无缺,那么黑客可以利用安卓系统漏洞、手机木马等方法远程窃取资料、操纵用户的手机。
而随着智能手机和平板电脑的普及,利用移动网络进行电子支付、网络购物、网络音乐存储和分享等应用在呈现爆发式增长,移动设备的安全瓶颈,已经成为“云计算”整个链条上最为薄弱的环节。
综上,既然“云”已经成了人们网络生活中不可或缺的部分,在享受他带来的便利的同时,如何尽量降低其带来的安全风险,已经成为摆在所有网民、厂商、相关部门和机构面前的重要课题。