文 | 本刊記者 姜紅德

云安全：威脅仍存在

文 | 本刊記者 姜紅德

云計(jì)算具有隨時(shí)共享、按需定制、性能高等特點(diǎn)，除了給企業(yè)帶來(lái)效率上的提升，同時(shí)也引入了新的安全威脅，有可能使企業(yè)得不償失。最近一系列調(diào)查報(bào)告都顯示，云服務(wù)的某些特性使得安全漏洞仍廣泛存在，新的安全控制策略必須得到重視。

2016：云仍存在重要威脅

信息技術(shù)研究和顧問(wèn)公司Gartner最近表示，公有云如今具備可擴(kuò)展性、計(jì)算威力、海量存儲(chǔ)和安全性，可打造更好的政府?dāng)?shù)字化平臺(tái)并滿(mǎn)足對(duì)業(yè)績(jī)和價(jià)值不斷增長(zhǎng)的期望值。Gartner預(yù)計(jì)到2018年，提升的安全性將取代成本節(jié)約和敏捷性成為政府部門(mén)在其權(quán)限內(nèi)采用公有云的首要?jiǎng)恿?。Gartner研究總監(jiān)Neville Cannon表示：“諸如亞馬遜云服務(wù)（AWS）、微軟和谷歌等眾多云服務(wù)廠(chǎng)商都注入巨額投資將高級(jí)別安全性融入各自的產(chǎn)品中，以確保它們的數(shù)據(jù)更加安全。許多此類(lèi)廠(chǎng)商都有能力投入巨額資金，這些資金遠(yuǎn)超大多數(shù)國(guó)家可以承擔(dān)的費(fèi)用，更勿論一般政府部門(mén)了?！?/p>

然而，Cannon指出困難依然存在，由于政府部門(mén)深信在其管轄內(nèi)的數(shù)據(jù)才更安全，因此成本節(jié)約和靈活性?xún)H列為次要考慮因素。隨著云服務(wù)日益普及，加之基于對(duì)相關(guān)風(fēng)險(xiǎn)的分析、廠(chǎng)商能力以及所選擇的數(shù)據(jù)保護(hù)技術(shù)，公共部門(mén)的首席信息官應(yīng)該尋求采用公有云來(lái)保存公共的和中低級(jí)別的敏感數(shù)據(jù)。

云計(jì)算是不是真的安全，一些調(diào)查機(jī)構(gòu)得出了一些不同的結(jié)果。云安全聯(lián)盟（CSA）最近的調(diào)查報(bào)告就顯示，云計(jì)算安全仍是2016年最重要的威脅之一。這份報(bào)告羅列出了數(shù)據(jù)泄露、身份被盜、系統(tǒng)漏洞被利用、帳戶(hù)劫持、APT攻擊、內(nèi)部惡意泄密、數(shù)據(jù)永久刪除等12種云計(jì)算威脅。以數(shù)據(jù)永久刪除為例，隨著云服務(wù)的成熟，由于提供商失誤導(dǎo)致的永久數(shù)據(jù)丟失已經(jīng)極少見(jiàn)了。但惡意黑客已經(jīng)會(huì)用永久刪除云端數(shù)據(jù)來(lái)危害企業(yè)了，而且云數(shù)據(jù)中心跟其他任何設(shè)施一樣對(duì)自然災(zāi)害無(wú)能為力。上述機(jī)構(gòu)人士認(rèn)為，預(yù)防數(shù)據(jù)丟失的責(zé)任并非全部壓在云服務(wù)提供商肩頭。如果客戶(hù)在上傳到云端之間先把數(shù)據(jù)加密，那保護(hù)好密鑰的責(zé)任就落在客戶(hù)自己身上了。一旦密鑰丟失，數(shù)據(jù)丟失也就在所難免。

安永全球發(fā)布的《安永第18屆全球信息安全調(diào)查報(bào)告》結(jié)果也顯示，54%的受訪(fǎng)對(duì)象的信息安全職能目前不具備關(guān)注新興技術(shù)比如云計(jì)算、大數(shù)據(jù)等及其影響的角色或部門(mén)；36%的受訪(fǎng)對(duì)象不具備威脅智能感知系統(tǒng)計(jì)劃；認(rèn)為信息安全職能完全符合企業(yè)需求的受訪(fǎng)對(duì)象比例僅占12%；而不具備安全管理平臺(tái)的受訪(fǎng)對(duì)象比例從2014年的42%增長(zhǎng)為47%；另外，不具備身份及訪(fǎng)問(wèn)管理系統(tǒng)的受訪(fǎng)對(duì)象比例從2014年的12%增長(zhǎng)為18%。

報(bào)告顯示，由于網(wǎng)絡(luò)攻擊者戰(zhàn)術(shù)不斷改變，持續(xù)性加劇，能力增強(qiáng)，網(wǎng)絡(luò)威脅的性質(zhì)也發(fā)生了變化。面臨這些威脅，安永指出，許多其之前認(rèn)為是先進(jìn)的舉措現(xiàn)在已經(jīng)變得只屬基礎(chǔ)性。

戰(zhàn)略與戰(zhàn)術(shù)并重

幾乎所有的機(jī)構(gòu)（包括政府部門(mén)、企業(yè)）都認(rèn)為云安全的重要性和數(shù)據(jù)保護(hù)有很大的關(guān)系，這也是他們?cè)谧罱粌赡陙?lái)采購(gòu)安全設(shè)備和加強(qiáng)安全防范措施的主要原因之一。

通過(guò)對(duì)1755家企業(yè)的CIO、CEO、CTO等和信息安全有緊密聯(lián)系的職位進(jìn)行調(diào)查后顯示，數(shù)據(jù)泄密是當(dāng)前新技術(shù)環(huán)境下企業(yè)面臨的主要安全問(wèn)題之一。但是對(duì)企業(yè)安全防護(hù)對(duì)策的調(diào)查結(jié)果顯示，多數(shù)企業(yè)并沒(méi)有全方位的建立起防護(hù)措施。對(duì)此，安永在報(bào)告中建議，企業(yè)應(yīng)繼續(xù)以超前防范網(wǎng)絡(luò)攻擊者為目標(biāo)，建立更為先進(jìn)的安全管理平臺(tái)，并使用網(wǎng)絡(luò)威脅智能感知系統(tǒng)以有效地保持運(yùn)營(yíng)的一致性，幫助開(kāi)展主動(dòng)防御，尋找潛在攻擊者、分析和評(píng)估威脅，并在威脅破壞企業(yè)的關(guān)鍵資產(chǎn)之前將其解除。

安永華北區(qū)信息安全服務(wù)合伙人李睿表示，“主動(dòng)防御不會(huì)代替?zhèn)鹘y(tǒng)安全運(yùn)營(yíng)，而是對(duì)其加以組織和鞏固。網(wǎng)絡(luò)安全不止是一個(gè)技術(shù)性問(wèn)題，也不僅僅局限在IT領(lǐng)域。它既是每一位董事會(huì)成員應(yīng)該承擔(dān)的職責(zé)，還以各種方式，通常是隱秘、不易識(shí)別的方式影響著企業(yè)的各個(gè)層面以及最高管理層的每一位成員?！?/p>

對(duì)于數(shù)據(jù)泄密這樣一個(gè)安全威脅來(lái)說(shuō)，通常我們更多的需要在防護(hù)策略上做出靈活安排。一旦發(fā)生數(shù)據(jù)泄露，公司企業(yè)或許會(huì)招致罰款，又或者將面臨法律訴訟或刑事指控。數(shù)據(jù)泄露調(diào)查和客戶(hù)通知的花費(fèi)也有可能是天文數(shù)字。其他非直接影響，比如品牌形象下跌和業(yè)務(wù)流失，會(huì)持續(xù)影響公司長(zhǎng)達(dá)數(shù)年時(shí)間。云服務(wù)提供商通常都會(huì)部署安全控制措施來(lái)保護(hù)云環(huán)境，但最終，保護(hù)自身云端數(shù)據(jù)的責(zé)任，還是要落在使用云服務(wù)的公司自己身上。CSA建議公司企業(yè)采用多因子身份驗(yàn)證和加密措施來(lái)防護(hù)數(shù)據(jù)泄露。

對(duì)于內(nèi)部惡意泄密，這樣的防護(hù)策略還不夠，還需要在戰(zhàn)略意識(shí)上加以重視。在云環(huán)境下，惡意滿(mǎn)滿(mǎn)的內(nèi)部人員可以破壞掉整個(gè)基礎(chǔ)設(shè)施，或者操作篡改數(shù)據(jù)。安全性完全依賴(lài)于云服務(wù)提供商的系統(tǒng)，比如加密系統(tǒng)，是風(fēng)險(xiǎn)最大的。CSA專(zhuān)家建議：公司企業(yè)自己控制加密過(guò)程和密鑰，分離職責(zé)，最小化用戶(hù)權(quán)限。管理員活動(dòng)的有效日志記錄、監(jiān)測(cè)和審計(jì)也是非常重要。

不過(guò)，一些拙劣的日常操作也很容易被誤解為“惡意”內(nèi)部人員行為。典型的例子就是，管理員不小心把敏感客戶(hù)數(shù)據(jù)庫(kù)拷貝到了可公開(kāi)訪(fǎng)問(wèn)的服務(wù)器上。鑒于潛在的暴露風(fēng)險(xiǎn)更大，云環(huán)境下，合適的培訓(xùn)和管理對(duì)于防止此類(lèi)低級(jí)錯(cuò)誤就顯得更為重要了。