在5月初,國(guó)內(nèi)首個(gè)基于大數(shù)據(jù)的網(wǎng)絡(luò)犯罪研究報(bào)告正式發(fā)布。報(bào)告顯示,中國(guó)公民已經(jīng)泄漏的個(gè)人信息多達(dá)11.27億條,數(shù)目大的驚人。那么讓我們回顧一下過去的2014年,信息泄露事件也是連連不斷,從去年年初的韓國(guó)三大信用卡公司信息泄露事件,到鬧得沸沸揚(yáng)揚(yáng)的iCloud云端系統(tǒng)漏洞風(fēng)波,再到年底亞馬遜沃爾瑪?shù)染W(wǎng)站1.3萬信用卡號(hào)遭曝光事件,使得不少企業(yè)不敢將數(shù)據(jù)遷移到云端。
但仔細(xì)追蹤這些事件不難發(fā)現(xiàn),所有的泄露事件都是因?yàn)楹诳陀嗅槍?duì)性的入侵造成的。黑客對(duì)具體的用戶進(jìn)行了入侵,但并未對(duì)云平臺(tái)造成威脅。
由于云計(jì)算是近年來才興起的數(shù)據(jù)中心模式,大多數(shù)主要的云供應(yīng)商都把安全標(biāo)準(zhǔn)定的很高,需要通過ISO 27001、SSAE-16、PCI、HIPAA、FedRAMP等安全認(rèn)證標(biāo)準(zhǔn)。
要通過此類安全標(biāo)準(zhǔn)云服務(wù)供應(yīng)商必須證明其安全策略達(dá)到或超過了這些協(xié)議所述的控制和策略標(biāo)準(zhǔn)。所以可以說云端存儲(chǔ)相對(duì)傳統(tǒng)的數(shù)據(jù)中心更安全。
企業(yè)對(duì)于云服務(wù)安全的誤區(qū)
相比在安全性能上更專業(yè)的云平臺(tái),一些企業(yè)更相信本地系統(tǒng)的物理可見性以及可掌控性要比云計(jì)算平臺(tái)的更可靠,這是一種概念上的混淆,所以我們要清楚,云服務(wù)平臺(tái)和用戶在數(shù)據(jù)保護(hù)工作中各自扮演怎樣的角色。
Elastica公司CEO Rehan Jalil說:“必須認(rèn)識(shí)到,企業(yè)需要在保護(hù)自身數(shù)據(jù)安全的工作當(dāng)中扮演至關(guān)重要的角色。而了解數(shù)據(jù)的具體訪問方式——即使是在有云服務(wù)供應(yīng)商介入的前提下——對(duì)于風(fēng)險(xiǎn)管理工作仍然非常關(guān)鍵。大部分云服務(wù)供應(yīng)商會(huì)要求將相關(guān)責(zé)任與安全部門進(jìn)行分擔(dān),而企業(yè)客戶也不能想當(dāng)然地假定一切數(shù)據(jù)泄露問題都該由服務(wù)供應(yīng)商負(fù)責(zé)。”
不可否認(rèn),雖然企業(yè)都知道安全性至關(guān)重要,但在出現(xiàn)問題前很少有企業(yè)會(huì)將足夠的資金和資源放在安全性能維護(hù)上,通常是臨時(shí)抱佛腳,出現(xiàn)安全問題后再想對(duì)策,這樣往往會(huì)損失更多的資金。
而云服務(wù)供應(yīng)商則會(huì)提供足夠的資金和資源來放到安全性上。因?yàn)樵品?wù)是它們的產(chǎn)品,如果云服務(wù)提供商出現(xiàn)安全漏洞,他們的核心產(chǎn)品的可信賴度則會(huì)遭受巨大打擊。這種信任很難恢復(fù)。
企業(yè)自身在安全方面需提升
企業(yè)應(yīng)明確,云服務(wù)的安全標(biāo)準(zhǔn)并不是通用的,在選擇服務(wù)商的時(shí)候應(yīng)審核該云服務(wù)商的安全策略是否符合自身安全需求。
作為企業(yè)也應(yīng)該明確,企業(yè)與云服務(wù)商之間的安全責(zé)任,“安全性的實(shí)際水平取決于體系中最薄弱的那一環(huán)。盡管客戶與服務(wù)供應(yīng)商之間利用加密機(jī)制保護(hù)數(shù)據(jù)流量、從而確保數(shù)據(jù)完整性及保密性的作法已經(jīng)相當(dāng)普遍,但目前仍沒有多少服務(wù)供應(yīng)商會(huì)在企業(yè)自有環(huán)境內(nèi)部對(duì)服務(wù)器之間的通信內(nèi)容進(jìn)行加密。有這種情況下,一旦整個(gè)體系出現(xiàn)突破口、攻擊者往往能夠抓緊機(jī)會(huì)將其作為惡意活動(dòng)的契機(jī)。”SystemExperts公司高級(jí)顧問Paul Hill說。
因此,又回到我們前文所說的,企業(yè)對(duì)于自己本地系統(tǒng)的安全性應(yīng)投入足夠的資金和資源上的支持,不給黑客提供可乘之機(jī),否則,即使使用再安全穩(wěn)定的云服務(wù)也是徒勞。