無論音樂分享、網(wǎng)絡通訊錄同步還是網(wǎng)絡文件存儲，你的文件、資料、密碼等等等一切東西，都開始從本地硬盤向服務器"云端"轉移，"云端"在網(wǎng)民們整個的活動中變得越來越有價值?！度鹦?011上半年安全報告》中，闡述了"云端"遇到的問題，瑞星專家對這些問題進行了深入解析。

從2006年8月，Google開始提出云計算（Cloud Computing）概念的時候開始算，"云"的概念已經(jīng)熱了整整五年，已經(jīng)在多個領域深入人心，尤其受到了IT業(yè)界、媒體和用戶的熱捧。無論軟件廠商、硬件廠商、手機廠商還是互聯(lián)網(wǎng)廠商，都紛紛拋出自己的"云計算"計劃。

但大家說來說去，通常都是說"云"的優(yōu)點，包括隨時獲取，按需使用，隨時擴展，按使用付費等等優(yōu)點被一再提起。但是在安全性上，就說的不是那么多，畢竟在行業(yè)內，"可用性"的權重要遠高于安全性。而且安全這個東西，在事故未發(fā)生之前，通常是被放在最后考慮的。

云計算服務自身的安全隱患隨著應用的不斷深入逐漸暴露出來。Gartner咨詢公司首席安全分析師John Pescatore表示，云計算的方法最初沒有考慮安全性的設計。那么，云計算的安全性到底如何，應該如何提高云計算的安全性，在使用云計算的過程中，用戶應該注意什么呢？

在討論問題之前，先明確一下"云計算"的定義："狹義云計算指IT基礎設施的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需資源；廣義云計算指服務的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需服務。---百度百科"

??

[[38105]]

（Google設立在比利時的數(shù)據(jù)中心）

Google所說的"云計算"，就是把自己的服務器集群看作"云"，普通網(wǎng)民可以通過瀏覽器來享受Google docs、Google music、Gmail等服務，這些就是最簡單的云計算的典型場景。事實上，無論是利用亞馬遜S3來提供服務的Dropbox，微軟推出的在線文檔服務live office，還是蘋果最新發(fā)布的云端服務iCloud，都屬于面向普通網(wǎng)民的"云端服務"。

??

[[38106]]

（喬布斯在發(fā)布會上做關于iCloud的演講）

仔細看看這些應用，你就會發(fā)現(xiàn)，無論音樂分享、網(wǎng)絡通訊錄同步還是網(wǎng)絡文件存儲，你的文件、資料、密碼等等等一切東西，都開始從本地硬盤向服務器"云端"轉移，"云端"在網(wǎng)民們整個的活動中變得越來越有價值。以前，本地硬盤上的文件丟了，你會抓耳撓腮恨不得拿腦袋撞墻，現(xiàn)在最先作出的舉動是：趕緊去翻翻郵件記錄，看看當初的附件還在不在。#p#

如上所說，"云"滲入生活，確實給用戶帶來了不少方便。但同時，如此多有價值的東西儲存到云端，也帶來了大量安全問題：

1、法律和侵權風險。

因為"云端（服務器）"所在的地域不同，使用期間可能面臨的法律風險也會大不相同。比如，外國人在某些保留皇帝的國家的服務器上存儲了冒犯皇室的文件，將可能面臨刑事指控；在我國的香港特別行政區(qū)，在商業(yè)業(yè)務中安裝盜版軟件，最高刑期將高達4年。

雖然網(wǎng)絡無邊界，但用于進行"云計算"業(yè)務的服務器畢竟真實的處于各國法律的管轄之下，因此，對于"云計算"的不當應用，將可能面臨極其嚴重的法律風險和侵權風險。

2、隱私泄露風險。

無論在線office軟件、電子郵箱還是SNS帳號，通常都可以根據(jù)其資料來了解使用者的一些私密信息。例如，網(wǎng)民通過在線office處理公司文檔，如果服務提供商不對其進行嚴格的安全保護，就可能通過內部人員泄漏、其他用戶的非授權查看等途徑泄漏隱私，給公司的正常運作帶來嚴重影響。

2011年6月初，谷歌宣布有人入侵了數(shù)百個Gmail用戶的個人賬戶。這些賬戶屬于具有一定知名度的重要人士，包括美國高級政府官員、韓國及其他亞洲國家的官員，以及軍隊相關人士和新聞記者等。

在國內，這樣的事情更是屢見不鮮，某些網(wǎng)站會把用戶資料出售進行牟利，也有的因為公司管理制度不嚴格，導致公司內部員工獲取了本來不該獲取的信息，利用這些信息來謀取利益。例如，2011年6月，香港私隱專員公署發(fā)表調查報告透露，有五間銀行于2008至2009年期間，轉移客戶的個人數(shù)據(jù)提供予第三者，包括永亨、富邦、花旗和工銀亞洲。

3、非授權訪問風險。

并非所有的"云計算"提供商都有嚴格的安全管理流程，有時候心懷叵測者可以通過技術手段或其它手段，來獲取到用戶的機密信息。

2005年12月，《紐約時報》援引一些前任和現(xiàn)任美國政府官員的話說，美國國家安全局獲得了美國各電信運營商的合作，獲得了接入國內和國際通信網(wǎng)的"后門"通道，秘密收集了大量電信數(shù)據(jù)和很多電話交談信息，包括監(jiān)聽國際長途和與"基地"組織有關的嫌疑人的國際電子郵件。

美國司法部曾向Twitter發(fā)出一份法庭命令，要求Twitter提供與維基解密關系密切的幾名激進分子的帳戶信息。主要注意的是，司法部發(fā)出并非傳統(tǒng)的法庭傳票，而是直接的"命令"--2703（d）命令。這種法庭命令允許警方從某網(wǎng)站或網(wǎng)絡服務供應商處強制提取與正在進行的刑事調查有關的特定記錄。

（利用tag標簽，F(xiàn)BI企圖挖掘恐怖分子的更多信息）#p#

4、病毒和黑客攻擊

通常情況下，"云端"為數(shù)百萬、數(shù)千萬甚至上億用戶提供不間斷的服務，一旦作為服務中心的節(jié)點出現(xiàn)安全問題，則會極大影響到網(wǎng)民的正常生活。

2010年1月，國內最大的搜索引擎百度遭遇域名劫持攻擊，服務幾近癱瘓，使得已經(jīng)習慣"有了問題百度一下"的網(wǎng)民束手無策，焦慮萬分。而追究事情的起因，則是因為其域名托管商管理不善，黑客冒充百度的管理者發(fā)送郵件，從而對baidu.com域名進行了劫持。

除了域名劫持之外，分布式拒絕服務攻擊 (DDOS，Distributed Denial of Service)、網(wǎng)站統(tǒng)計系統(tǒng)攻擊、跨站腳本攻擊等，也是攻擊云計算提供商及其用戶的常見手段。

6月28日晚間，新浪遭遇大規(guī)模的蠕蟲病毒入侵，眾多名人草根莫名地發(fā)送垃圾私信，許多微博開始不斷刷屏，轉發(fā)垃圾鏈接，同時都在關注一個名叫"hellosamy" 的人。就這樣一個多小時竟然傳染3萬多微博用戶。

這是通過跨站腳本蠕蟲攻擊，來攻擊大型網(wǎng)絡的最新案例。同樣的攻擊手法，可以應用到微博類網(wǎng)站、博客網(wǎng)站、社會化分享網(wǎng)站等，可以以極小的代價，來癱瘓用戶眾多的服務和應用。

5、跨平臺帶來的安全問題

除了上述四個風險之外，云計算還有另外的安全風險，那就是針對跨平臺應用帶來的安全問題。例如，Dropbox可以在PC、安卓手機、iPhone和iPad上使用，即使PC端和服務器上的安全設置做的完美無缺，那么黑客可以利用安卓系統(tǒng)漏洞、手機木馬等方法遠程竊取資料、操縱用戶的手機。

而隨著智能手機和平板電腦的普及，利用移動網(wǎng)絡進行電子支付、網(wǎng)絡購物、網(wǎng)絡音樂存儲和分享等應用在呈現(xiàn)爆發(fā)式增長，移動設備的安全瓶頸，已經(jīng)成為"云計算"整個鏈條上最為薄弱的環(huán)節(jié)。

綜上，既然"云"已經(jīng)成了人們網(wǎng)絡生活中不可或缺的部分，在享受他帶來的便利的同時，如何盡量降低其帶來的安全風險，已經(jīng)成為擺在所有網(wǎng)民、廠商、相關部門和機構面前的重要課題。