九大潜在威胁阻碍云计算产业推广.docxVIP

PAGE 1 PAGE 1 九大潜在威胁阻碍云计算产业推广  2013年被称为云计算产业发展“元年”，从这一年开始云计算在技术完善及应用方面都将得到较广泛的应用。  据IDC预估，到2015年之前，云计算总产值将超过300亿美元。同时专家估计，三年间，云计算市场规模年均复合增长率将达91.5%。2010年，中国云计算的市场规模为167.31亿元，2013年将达1174.12亿元。  目前即使众多专家认为今年为产业元年，但是对于用户来说，对于它的安全性还一直保有疑虑，直接导致发展遇到一困扰。现阶段，云产业的发展还面临九大产业威逼：  威逼1：  数据泄露对于每位CIO来说最大的噩梦就是自己公司敏感的内部数据落入了竞争者之手，这也让高管们寝食难安。云计算则为这一问题增加了新的挑战。2012年11月，北卡莱罗纳州大学和RSA公司的研究者发布的报告就显示了在同一台物理机上，一个虚拟机如何利用侧通道计时信息来提取出另一个虚拟机的私有密钥。但是在很多案例里，攻击者甚至不需要这么复杂的操作。假如一个多租户的云服务数据库设计不妥当，或许就会因为一个漏洞而导致全部客户的数据遭殃。  延伸  不幸的是，虽然数据丢失和数据泄露都是对云计算的严重威逼，你所采取的措施或许能缓解某一方面但却可能让另一方面更加麻烦，或许你可以把全部的数据都加密起来，但假如把密钥丢了那你等于全部数据都丢了。反之，假如你想把全部的数据都进行离线备份来降低灾难性数据丢失的影响，但又增加了你的数据暴露的风险。  威逼2：  数据丢失对于消费者和企业双方而言，数据丢失都是特别严重的问题。而存储在云中的数据则可能因为其他的原因而造成丢失。云服务供应商的一次删除误操作，或者火灾等自然因素导致的物理性损害，都可能导致用户数据丢失，除非供应商做了特别到位的备份工作。但数据丢失的责任并非总是只在供应商一方，比如假如用户在上传数据之前加密不妥当，然后自己又弄丢了密钥，那么也可能造成数据丢失。  延伸  很多承诺性政策里都要求组织对数据安全进行持续的审计记录或其他形式的文档存档。假如组织存储在云中的数据发生了丢失，将会导致组织的承诺陷入逆境。  威逼3：  账户或服务流量劫持黑客通过网络钓鱼、欺诈或利用软件漏洞来劫持无辜的用户。通常黑客依据一个密码就可以窃取用户多个服务中的资料，因为用户不会为每个服务设立一个不一样的密码。对于供应商，假如被盗的密码可以登陆云，那么用户的数据将被窃听、篡改，黑客将向用户返回虚假信息，或重定向用户的服务到欺诈网站。不仅对用户自身造成损失，还将对供应商的声誉造成影响。  延伸  账户和服务劫持及通常伴随的证书盗窃，仍位列威逼前列。窃取证书后攻击者通常都可以进入云服务里的一些关键性领域，破坏其机密性、完整性和可用性。企业组织应当对这种技术手段做必要的防范，以及采取一些深层次的防备手段来保护数据免受外泄危机。同时应当禁止用户和服务之间共享账号证书，必要的话还应采取双重验证机制。  威逼4：  账户或服务流量劫持对于每位CIO来说最大的噩梦就是自己公司敏感的内部数据落入了竞争者之手，这也让高管们寝食难安。云计算则为这一问题增加了新的挑战。2012年11月，北卡莱罗纳州大学和RSA公司的研究者发布的报告就显示了在同一台物理机上，一个虚拟机如何利用侧通道计时信息来提取出另一个虚拟机的私有密钥。但是在很多案例里，攻击者甚至不需要这么复杂的操作。假如一个多租户的云服务数据库设计不妥当，或许就会因为一个漏洞而导致全部客户的数据遭殃。  延伸  大多数供应商都在努力加强他们服务的安全机制，而对于消费者来说他们未必能很好的理解他们在使用、管理和监控云服务过程中可能牵涉到的安全问题。薄弱的接口和API设置会让企业组织陷入很多安全性问题，影响机密性、可用性等。  威逼5：  拒绝服务攻击简洁来说，拒绝服务攻击就是指攻击者阻挡正常用户正常访问云服务的一种攻击手段。通常是迫使一些关键性云服务来消耗大量的系统资源，例如处理进程、内存、硬盘空间、网络带宽，导致云服务器反应变得极为缓慢或者完全没有响应。  拒绝服务攻击(DDoS)引起过很多的麻烦，并一直被媒体所关注，他们的攻击可能并无实质性目的。非对称应用程序级别拒绝服务攻击所瞄准的就是Web服务器、数据库或其他云计算资源脆弱的这一点，然后在应用程序上运行一小段恶意程序，有时甚至不足100个字节。  延伸  流量高峰期遭遇拒绝服务攻击时就像遇到了大堵车一样，无法访问目标服务器，除了等待你什么都做不了。对于消费者，服务中断不仅会挫伤他们对云服务的信念