师“云”长计以制安全.docVIP

师“云”长计以制安全 　　人无信不立，云同样如此。 　　不久之前发生的支付宝故障和携程官网瘫痪等事件再次将信息安全推至风口浪尖。技术从来都是把双刃剑，在提高生产力的同时，也使得安全更为脆弱。 　　这一点在云计算领域表现的尤其明显。云计算将资源集中在一起，可以想象，一旦发生安全问题，那么所有的服务将不可用。全球首屈一指的云服务提供商亚马逊，曾经在一年半的时间内发生过5次云服务器宕机的事件，导致许多网站无法正常访问。 　　而随着越来越多的云落地，针对云服务的攻击越来越多。在国家互联网应急中心（CNCERT）4月底发布的《2014中国互联网安全报告》中指出，云服务日益成为网络攻击的重点目标。 　　报告指出，2014年先后发生了多起因电力、机房线路和网络故障导致的云服务宕机事件，针对云平台的攻击事件也逐年增多，仅由CNCERT协助处置的大规模攻击事件就达十余起，涉及UCloud公司、浙江宁波某IDC机房等国内云平台。 　　师夷长技以制夷。国内诸多互联网厂商提出“云安全”的概念，借云之力保护云服务的安全。他们的计划是，通过大量客户端对网络中软件行为进行监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。 　　“将整个互联网，变成了一个超级大的杀毒软件，这就是云安全计划的宏伟目标。”在百度百科中给出了这样的解释。 　　传统的安全厂商则是通过传统安全产品虚拟化的方式，为云服务提供商和云用户提供灵活的、可扩展的安全防护。 　　“坦白来说，和传统IDC安全不同，云安全还处于起步阶段，市面上没有十分完善和成熟的解决方案。不过，随着越来越多厂商加入云安全的生态圈，相信云服务的安全方案也会渐趋成熟。”来自中国联通云计算公司的一位专家向《通信产业报》（网）记者表示。 　　攻击升温 　　事实上，自云计算诞生以来，云服务的安全问题就伴随其左右，并成为其走向规模商用的最大掣肘。早在2010年5月，埃森哲与中国电子学会共同发布的一份名为《中国云计算发展的务实之路》的报告指出，“安全问题是全球对云计算最大的质疑。而这种担忧在中国尤为突出，以至于首席信息官们如履薄冰，特别是面对公有云服务时。” 　　阿里巴巴集团安全部资深专家魏兴国表示，当前云计算面临着非常恶劣的网络环境。报告显示，在国外的主流云服务提供商中，他们的云主机很大比例都是被入侵过的云主机，而且很多用户对入侵完全不知情。 　　魏兴国说，事实上，阿里云遭遇攻击的频率也非常之高。就DDoS攻击来说，每周就有2000次左右的攻击，而且每次攻击流量都很高；密码破解类的攻击则每周发生上亿次。 　　就在6月18日，阿里云安全在微博上透露，当天阿里云用户遭受多次超大流量DDoS攻击，攻击峰值接近300Gbps，此次被攻击的阿里云用户多属于电商行业。 　　尽管通过流量清洗等技术手段成功化解了攻击，但是可以看到，未来云服务遭受攻击次数将逐步上升，可能一天之内就会发生多次攻击。 　　“针对云服务的攻击将会越来越多。而且DDoS和APT攻击将成为主要的攻击手段。”IDC安全领域分析师王培接受记者采访时表示。 　　安全狗给出的分析报告显示，针对云服务器的攻击类型主要包括三种。一是针对云服务器上应用系统的攻击，这类攻击也是在所有攻击中占比最高的；二是针对云服务器远程登录密码的暴力破解攻击；三是针对云服务器的DDoS攻击。 　　2014年，全球范围内的云服务出现了大量的DDOS攻击事件。12月中旬，某大型互联网服务商的云平台上一家知名游戏公司遭受DDoS攻击，攻击峰值流量超过450Gbps。 　　与此同时，《2014中国互联网安全报告》指出，除了DDoS攻击之外，钓鱼站点逐渐向云平台迁移。云服务申请和使用方便、成本低廉、安全审核不严，且云平台同时承载多种不同类型的业务，传统基于IP地址的追踪处置手段难以适用，日益成为钓鱼网站栖息的“温床”。 　　《2014中国互联网安全报告》针对2014年处置的银行类钓鱼网站分析，按所承载的钓鱼网站数据排序，排名前十的IP地址有4个属于云服务提供商。报告认为，云平台的逐步普及，将加大数据泄露和网络攻击风险，防护措施和管理机制有待完善。云计算技术的发展推动数据的集中化，在大数据时代，海量数据既是企业和用户的核心资产，也成为网络攻击瞄准的目标。以窃取数据为主要目的的攻击事件将越来越多，云平台自身的网络安全防护特别是对海量数据安全的防护将面临挑战。 　　值得一提的是，云安全事件频发和企业云平台缺乏安全审核和管理机制也有着很大的关系。专家指出，目前大多数云服务商的安全审核机制并不完善，用户租用后作何用途，云服务商并不清楚知晓，也未作严格审核或周期性检查，因此出现黑客在云平台部署钓鱼网站、传播