瑞星2011上半年互聯(lián)網(wǎng)安全報告解讀

瑞星2011上半年互聯(lián)網(wǎng)安全報告解讀

從2006年8月，Google開始提出云計算(CloudComputing)概念的時候開始算，“云”的概念已經(jīng)熱了整整五年，已經(jīng)在多個領(lǐng)域深入人心，尤其受到了IT業(yè)界、媒體和用戶的熱捧。無論軟件廠商、硬件廠商、手機(jī)廠商還是互聯(lián)網(wǎng)廠商，都紛紛拋出自己的“云計算”計劃。但大家說來說去，通常都是說“云”的優(yōu)點(diǎn)，包括隨時獲取，按需使用，隨時擴(kuò)展，按使用付費(fèi)等等優(yōu)點(diǎn)被一再提起。但是在安全性上，就說的不是那么多，畢竟在行業(yè)內(nèi)，“可用性”的權(quán)重要遠(yuǎn)高于安全性。而且安全這個東西，在事故未發(fā)生之前，通常是被放在最后考慮的。云計算服務(wù)自身的安全隱患隨著應(yīng)用的不斷深入逐漸暴露出來。Gartner咨詢公司首席安全分析師JohnPescatore表示，云計算的方法最初沒有考慮安全性的設(shè)計。那么，云計算的安全性到底如何，應(yīng)該如何提高云計算的安全性，在使用云計算的過程中，用戶應(yīng)該注意什么呢？在討論問題之前，先明確一下“云計算”的定義：“狹義云計算指IT基礎(chǔ)設(shè)施的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需資源；廣義云計算指服務(wù)的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需服務(wù)。-——百度百科”Google所說的“云計算”，就是把自己的服務(wù)器集群看作“云”，普通網(wǎng)民可以通過瀏覽器來享受Googledocs、Googlemusic、Gmail等服務(wù)，這些就是最簡單的云計算的典型場景。事實(shí)上，無論是利用亞馬遜S3來提供服務(wù)的Dropbox，微軟推出的在線文檔服務(wù)liveoffice，還是蘋果最新發(fā)布的云端服務(wù)iCloud，都屬于面向普通網(wǎng)民的“云端服務(wù)”。仔細(xì)看看這些應(yīng)用，你就會發(fā)現(xiàn)，無論音樂分享、網(wǎng)絡(luò)通訊錄同步還是網(wǎng)絡(luò)文件存儲，你的文件、資料、密碼等等等一切東西，都開始從本地硬盤向服務(wù)器“云端”轉(zhuǎn)移，“云端”在網(wǎng)民們整個的活動中變得越來越有價值。以前，本地硬盤上的文件丟了，你會抓耳撓腮恨不得拿腦袋撞墻，現(xiàn)在最先作出的舉動是：趕緊去翻翻郵件記錄，看看當(dāng)初的附件還在不在。如上所說，“云”滲入生活，確實(shí)給用戶帶來了不少方便。但同時，如此多有價值的東西儲存到云端，也帶來了大量安全問題：法律和侵權(quán)風(fēng)險因?yàn)椤霸贫?服務(wù)器)”所在的地域不同，使用期間可能面臨的法律風(fēng)險也會大不相同。比如，外國人在某些保留皇帝的國家的服務(wù)器上存儲了冒犯皇室的文件，將可能面臨刑事指控；在我國的香港特別行政區(qū)，在商業(yè)業(yè)務(wù)中安裝盜版軟件，最高刑期將高達(dá)4年。雖然網(wǎng)絡(luò)無邊界，但用于進(jìn)行“云計算”業(yè)務(wù)的服務(wù)器畢竟真實(shí)的處于各國法律的管轄之下，因此，對于“云計算”的不當(dāng)應(yīng)用，將可能面臨極其嚴(yán)重的法律風(fēng)險和侵權(quán)風(fēng)險。隱私泄露風(fēng)險。無論在線office軟件、電子郵箱還是SNS帳號，通常都可以根據(jù)其資料來了解使用者的一些私密信息。例如，網(wǎng)民通過在線office處理公司文檔，如果服務(wù)提供商不對其進(jìn)行嚴(yán)格的安全保護(hù)，就可能通過內(nèi)部人員泄漏、其他用戶的非授權(quán)查看等途徑泄漏隱私，給公司的正常運(yùn)作帶來嚴(yán)重影響。2011年6月初，谷歌宣布有人入侵了數(shù)百個Gmail用戶的個人賬戶。這些賬戶屬于具有一定知名度的重要人士，包括美國高級政府官員、韓國及其他亞洲國家的官員，以及軍隊相關(guān)人士和新聞記者等。在國內(nèi)，這樣的事情更是屢見不鮮，某些網(wǎng)站會把用戶資料出售進(jìn)行牟利，也有的因?yàn)楣竟芾碇贫炔粐?yán)格，導(dǎo)致公司內(nèi)部員工獲取了本來不該獲取的信息，利用這些信息來謀取利益。例如，2011年6月，香港私隱專員公署發(fā)表調(diào)查報告透露，有五間銀行于2008至2009年期間，轉(zhuǎn)移客戶的個人數(shù)據(jù)提供予第三者，包括永亨、富邦、花旗和工銀亞洲。非授權(quán)訪問風(fēng)險并非所有的“云計算”提供商都有嚴(yán)格的安全管理流程，有時候心懷叵測者可以通過技術(shù)手段或其它手段，來獲取到用戶的機(jī)密信息。2005年12月，《紐約時報》援引一些前任和現(xiàn)任美國政府官員的話說，美國國家安全局獲得了美國各電信運(yùn)營商的合作，獲得了接入國內(nèi)和國際通信網(wǎng)的“后門”通道，秘密收集了大量電信數(shù)據(jù)和很多電話交談信息，包括監(jiān)聽國際長途和與“基地”組織有關(guān)的嫌疑人的國際電子郵件。美國司法部曾向Twitter發(fā)出一份法庭命令，要求Twitter提供與維基解密關(guān)系密切的幾名激進(jìn)分子的帳戶信息。主要注意的是，司法部發(fā)出并非傳統(tǒng)的法庭傳票，而是直接的“命令”——2703(d)命令。這種法庭命令允許警方從某網(wǎng)站或網(wǎng)絡(luò)服務(wù)供應(yīng)商處強(qiáng)制提取與正在進(jìn)行的刑事調(diào)查有關(guān)的特定記錄。病毒和黑客攻擊通常情況下，“云端”為數(shù)百萬、數(shù)千萬甚至上億用戶提供不間斷的服務(wù)，一旦作為服務(wù)中心的節(jié)點(diǎn)出現(xiàn)安全問題，則會極大影響到網(wǎng)民的正常生活。2010年1月，國內(nèi)最大的搜索引擎百度遭遇域名劫持攻擊，服務(wù)幾近癱瘓，使得已經(jīng)習(xí)慣“有了問題百度一下”的網(wǎng)民束手無策，焦慮萬分。而追究事情的起因，則是因?yàn)槠溆蛎泄苌坦芾聿簧?，黑客冒充百度的管理者發(fā)送郵件，從而對域名進(jìn)行了劫持。除了域名劫持之外，分布式拒絕服務(wù)攻擊(DDOS，DistributedDenialofService)、網(wǎng)站統(tǒng)計系統(tǒng)攻擊、跨站腳本攻擊等，也是攻擊云計算提供商及其用戶的常見手段。6月28日晚間，新浪遭遇大規(guī)模的蠕蟲病毒入侵，眾多名人草根莫名地發(fā)送垃圾私信，許多微博開始不斷刷屏，轉(zhuǎn)發(fā)垃圾鏈接，同時都在關(guān)注一個名叫“hellosamy”的人。就這樣一個多小時竟然傳染3萬多微博用戶。這是通過跨站腳本蠕蟲攻擊，來攻擊大型網(wǎng)絡(luò)的最新案例。同樣的攻擊手法，可以應(yīng)用到微博類網(wǎng)站、博客網(wǎng)站、社會化分享網(wǎng)站等，可以以極小的代價，來癱瘓用戶眾多的服務(wù)和應(yīng)用。跨平臺帶來的安全問題除了上述四個風(fēng)險之外，云計算還有另外的安全風(fēng)險，那就是針對跨平臺應(yīng)用帶來的安全問題。例如，Dropbox可以在PC、安卓手機(jī)、iPhone和iPad上使用，即使PC端和服務(wù)器上的安全設(shè)置做的完