【51CTO.com綜合報(bào)道】從2006年8月，Google開始提出云計(jì)算（Cloud Computing）概念的時(shí)候開始算，“云”的概念已經(jīng)熱了整整五年，已經(jīng)在多個(gè)領(lǐng)域深入人心，尤其受到了IT業(yè)界、媒體和用戶的熱捧。無論軟件廠商、硬件廠商、手機(jī)廠商還是互聯(lián)網(wǎng)廠商，都紛紛拋出自己的“云計(jì)算”計(jì)劃。

但大家說來說去，通常都是說“云”的優(yōu)點(diǎn)，包括隨時(shí)獲取，按需使用，隨時(shí)擴(kuò)展，按使用付費(fèi)等等優(yōu)點(diǎn)被一再提起。但是在安全性上，就說的不是那么多，畢竟在行業(yè)內(nèi)，“可用性”的權(quán)重要遠(yuǎn)高于安全性。而且安全這個(gè)東西，在事故未發(fā)生之前，通常是被放在最后考慮的。

云計(jì)算服務(wù)自身的安全隱患隨著應(yīng)用的不斷深入逐漸暴露出來。Gartner咨詢公司首席安全分析師John Pescatore表示，云計(jì)算的方法最初沒有考慮安全性的設(shè)計(jì)。那么，云計(jì)算的安全性到底如何，應(yīng)該如何提高云計(jì)算的安全性，在使用云計(jì)算的過程中，用戶應(yīng)該注意什么呢？

在討論問題之前，先明確一下“云計(jì)算”的定義：“狹義云計(jì)算指IT基礎(chǔ)設(shè)施的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需資源；廣義云計(jì)算指服務(wù)的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需服務(wù)。-——百度百科”

??

[[37694]]

（Google設(shè)立在比利時(shí)的數(shù)據(jù)中心）

Google所說的“云計(jì)算”，就是把自己的服務(wù)器集群看作“云”，普通網(wǎng)民可以通過瀏覽器來享受Google docs、Google music、Gmail等服務(wù)，這些就是最簡單的云計(jì)算的典型場景。事實(shí)上，無論是利用亞馬遜S3來提供服務(wù)的Dropbox，微軟推出的在線文檔服務(wù)live office，還是蘋果最新發(fā)布的云端服務(wù)iCloud，都屬于面向普通網(wǎng)民的“云端服務(wù)”。

??

[[37695]]

（喬布斯在發(fā)布會(huì)上做關(guān)于iCloud的演講）

仔細(xì)看看這些應(yīng)用，你就會(huì)發(fā)現(xiàn)，無論音樂分享、網(wǎng)絡(luò)通訊錄同步還是網(wǎng)絡(luò)文件存儲(chǔ)，你的文件、資料、密碼等等等一切東西，都開始從本地硬盤向服務(wù)器“云端”轉(zhuǎn)移，“云端”在網(wǎng)民們整個(gè)的活動(dòng)中變得越來越有價(jià)值。以前，本地硬盤上的文件丟了，你會(huì)抓耳撓腮恨不得拿腦袋撞墻，現(xiàn)在最先作出的舉動(dòng)是：趕緊去翻翻郵件記錄，看看當(dāng)初的附件還在不在。

如上所說，“云”滲入生活，確實(shí)給用戶帶來了不少方便。但同時(shí)，如此多有價(jià)值的東西儲(chǔ)存到云端，也帶來了大量安全問題：

1、法律和侵權(quán)風(fēng)險(xiǎn)。

因?yàn)椤霸贫耍ǚ?wù)器）”所在的地域不同，使用期間可能面臨的法律風(fēng)險(xiǎn)也會(huì)大不相同。比如，外國人在某些保留皇帝的國家的服務(wù)器上存儲(chǔ)了冒犯皇室的文件，將可能面臨刑事指控；在我國的香港特別行政區(qū)，在商業(yè)業(yè)務(wù)中安裝盜版軟件，最高刑期將高達(dá)4年。

雖然網(wǎng)絡(luò)無邊界，但用于進(jìn)行“云計(jì)算”業(yè)務(wù)的服務(wù)器畢竟真實(shí)的處于各國法律的管轄之下，因此，對于“云計(jì)算”的不當(dāng)應(yīng)用，將可能面臨極其嚴(yán)重的法律風(fēng)險(xiǎn)和侵權(quán)風(fēng)險(xiǎn)。

2、隱私泄露風(fēng)險(xiǎn)。

無論在線office軟件、電子郵箱還是SNS帳號(hào)，通常都可以根據(jù)其資料來了解使用者的一些私密信息。例如，網(wǎng)民通過在線office處理公司文檔，如果服務(wù)提供商不對其進(jìn)行嚴(yán)格的安全保護(hù)，就可能通過內(nèi)部人員泄漏、其他用戶的非授權(quán)查看等途徑泄漏隱私，給公司的正常運(yùn)作帶來嚴(yán)重影響。

2011年6月初，谷歌宣布有人入侵了數(shù)百個(gè)Gmail用戶的個(gè)人賬戶。這些賬戶屬于具有一定知名度的重要人士，包括美國高級(jí)政府官員、韓國及其他亞洲國家的官員，以及軍隊(duì)相關(guān)人士和新聞?dòng)浾叩取?/p>

在國內(nèi)，這樣的事情更是屢見不鮮，某些網(wǎng)站會(huì)把用戶資料出售進(jìn)行牟利，也有的因?yàn)楣竟芾碇贫炔粐?yán)格，導(dǎo)致公司內(nèi)部員工獲取了本來不該獲取的信息，利用這些信息來謀取利益。例如，2011年6月，香港私隱專員公署發(fā)表調(diào)查報(bào)告透露，有五間銀行于2008至2009年期間，轉(zhuǎn)移客戶的個(gè)人數(shù)據(jù)提供予第三者，包括永亨、富邦、花旗和工銀亞洲。

3、非授權(quán)訪問風(fēng)險(xiǎn)。

并非所有的“云計(jì)算”提供商都有嚴(yán)格的安全管理流程，有時(shí)候心懷叵測者可以通過技術(shù)手段或其它手段，來獲取到用戶的機(jī)密信息。

2005年12月，《紐約時(shí)報(bào)》援引一些前任和現(xiàn)任美國政府官員的話說，美國國家安全局獲得了美國各電信運(yùn)營商的合作，獲得了接入國內(nèi)和國際通信網(wǎng)的“后門”通道，秘密收集了大量電信數(shù)據(jù)和很多電話交談信息，包括監(jiān)聽國際長途和與“基地”組織有關(guān)的嫌疑人的國際電子郵件。

美國司法部曾向Twitter發(fā)出一份法庭命令，要求Twitter提供與維基解密關(guān)系密切的幾名激進(jìn)分子的帳戶信息。主要注意的是，司法部發(fā)出并非傳統(tǒng)的法庭傳票，而是直接的“命令”——2703（d）命令。這種法庭命令允許警方從某網(wǎng)站或網(wǎng)絡(luò)服務(wù)供應(yīng)商處強(qiáng)制提取與正在進(jìn)行的刑事調(diào)查有關(guān)的特定記錄。

（利用tag標(biāo)簽，F(xiàn)BI企圖挖掘恐怖分子的更多信息）

4、病毒和黑客攻擊

通常情況下，“云端”為數(shù)百萬、數(shù)千萬甚至上億用戶提供不間斷的服務(wù)，一旦作為服務(wù)中心的節(jié)點(diǎn)出現(xiàn)安全問題，則會(huì)極大影響到網(wǎng)民的正常生活。

2010年1月，國內(nèi)最大的搜索引擎百度遭遇域名劫持攻擊，服務(wù)幾近癱瘓，使得已經(jīng)習(xí)慣“有了問題百度一下”的網(wǎng)民束手無策，焦慮萬分。而追究事情的起因，則是因?yàn)槠溆蛎泄苌坦芾聿簧疲诳兔俺浒俣鹊墓芾碚甙l(fā)送郵件，從而對baidu.com域名進(jìn)行了劫持。

除了域名劫持之外，分布式拒絕服務(wù)攻擊 (DDOS，Distributed Denial of Service)、網(wǎng)站統(tǒng)計(jì)系統(tǒng)攻擊、跨站腳本攻擊等，也是攻擊云計(jì)算提供商及其用戶的常見手段。

6月28日晚間，新浪遭遇大規(guī)模的蠕蟲病毒入侵，眾多名人草根莫名地發(fā)送垃圾私信，許多微博開始不斷刷屏，轉(zhuǎn)發(fā)垃圾鏈接，同時(shí)都在關(guān)注一個(gè)名叫“hellosamy” 的人。就這樣一個(gè)多小時(shí)竟然傳染3萬多微博用戶。

這是通過跨站腳本蠕蟲攻擊，來攻擊大型網(wǎng)絡(luò)的最新案例。同樣的攻擊手法，可以應(yīng)用到微博類網(wǎng)站、博客網(wǎng)站、社會(huì)化分享網(wǎng)站等，可以以極小的代價(jià)，來癱瘓用戶眾多的服務(wù)和應(yīng)用。

5、跨平臺(tái)帶來的安全問題

除了上述四個(gè)風(fēng)險(xiǎn)之外，云計(jì)算還有另外的安全風(fēng)險(xiǎn)，那就是針對跨平臺(tái)應(yīng)用帶來的安全問題。例如，Dropbox可以在PC、安卓手機(jī)、iPhone和iPad上使用，即使PC端和服務(wù)器上的安全設(shè)置做的完美無缺，那么黑客可以利用安卓系統(tǒng)漏洞、手機(jī)木馬等方法遠(yuǎn)程竊取資料、操縱用戶的手機(jī)。

而隨著智能手機(jī)和平板電腦的普及，利用移動(dòng)網(wǎng)絡(luò)進(jìn)行電子支付、網(wǎng)絡(luò)購物、網(wǎng)絡(luò)音樂存儲(chǔ)和分享等應(yīng)用在呈現(xiàn)爆發(fā)式增長，移動(dòng)設(shè)備的安全瓶頸，已經(jīng)成為“云計(jì)算”整個(gè)鏈條上最為薄弱的環(huán)節(jié)。

綜上，既然“云”已經(jīng)成了人們網(wǎng)絡(luò)生活中不可或缺的部分，在享受他帶來的便利的同時(shí)，如何盡量降低其帶來的安全風(fēng)險(xiǎn)，已經(jīng)成為擺在所有網(wǎng)民、廠商、相關(guān)部門和機(jī)構(gòu)面前的重要課題。