哪一片云安全？

陈冰

走在路上，低头族越来越多；坐在车上，身边的人都在“埋头苦干”，云计算、移动化、大数据等新兴技术的发展，改变了人与人的沟通方式，更革新了传统的商业模式。它不仅为企业发展提供了较大的支持，也成为了信息技术进步的标志之一。

云计算发展到今天，很多大企业作为先行者，已经真正尝到了云计算的“甜头”：众多的“宝宝”们已经让传统银行感受了丝丝寒意；京东已经兵临城下，跟苏宁、国美等传统电子零售巨头决战的战场也从城市发展到广大农村市场；腾讯的微信已经将运营商的短信、彩信掀翻在地，短信已沦为只收验证码的工具……

然而随着云计算的迅速发展，越来越多有关云计算安全和隐私的问题逐渐浮出水面，这朵飘在天上的“云”也开始成为黑客或各种恶意组织攻击的目标。比如利用操作系统或者应用服务协议漏洞进行的漏洞攻击，或者针对存放在“云”中的用户隐私信息的恶意攻击、窃取、非法利用等等。事实上，更为严重的安全漏洞，正在一步步侵蚀云计算服务提供商及大型互联网厂商的安全防线。

安全问题成困扰

毫无疑问，隐私是云计算安全问题中最为关键的问题。无论是个人还是企业，隐私遭到泄露都会引起巨大麻烦。轻者遭遇经济损失，重者有可能形成致命打击。

特别是在云计算的概念下，计算机不再是一些独立的机器，而是网络中的一个节点。这种将计算任务交给全球运行的服务器网络，在提供各种便捷服务的同时，不可避免地需要提供更多更详细的个人信息，才能获得更好的服务。另一方面，越来越多的个人信息公之于众，使得人类毫无隐私可言，特别是目前政府机构以及公共服务机构越来越多地发布包含个人信息的数据。所以在云计算的背景下，无论是数据发布中的隐私，还是位置服务中的位置隐私，用户个人信息的保护都显得尤为重要。

除了隐私安全之外，系统运作的安全也是云计算面临的重要问题。如果一个企业的系统被黑客或者其他恶意组织所攻击，导致系统瘫痪，企业某段时间不能正常运营，那么对于企业而言损失不是一般的大。特别是大企业或许就是几分钟都会造成很大的影响，如果是一天，甚至几天不能正常运行，那么造成的损失可想而知。虽然目前厂商和企业都已经意识到这一点，并且在努力研究希望能够早日解决这一问题，但是目前还没有一项较为满意的解决方案，这也是很多企业至今不敢尝试云计算的原因。

由此可见，对于云计算安全而言，主要还是涉及数据安全和服务安全两方面。人们希望更多的数据放在“云”上，这样耗资更少，便利更多。但越多的数据存于“云”中，就意味着有越多的数据被滥用的可能，这种两难在没有法律保护的情况下让很多用户迟疑不决。

一项“您认为云计算模式的挑战和问题是什么？”的调查显示，安全以74.6%的比率位居榜首，可见安全问题是人们对云计算最大的担心。而事实上，现在的云计算服务提供商及大型互联网厂商在安全上做得远远不够，大部分公有云系统都存在安全漏洞，黑客很容易找到并利用这些漏洞。云计算中存在的未知安全风险和漏洞就像一枚随时会引爆的“炸弹”，令企业CIO（首席信息官）忧心忡忡。

仅仅在2011年，全球就发生了数起云计算安全威胁事件——

3月，谷歌邮箱爆发大规模的用户数据泄露事件，约15万Gmail用户发现自己的所有邮件和聊天记录被删除，部分用户发现自己的账户被重置。

4月19日，索尼的PlayStation网络和Qri ocity音乐服务网站遭到黑客攻击。服务中断超过一周， PlayStation网络7700万个注册账户持有人的个人信息失窃。

4月22日，亚马逊云位于弗吉尼亚州的云计算中心宕机，导致回答服务Quora、新闻服务Reddit、Hootsuite和位置跟踪服务FourSquare和为网络出版商提供游戏工具的BigDoor瘫痪。故障持续了4天。被认为是亚马逊史上最为严重的云计算安全事件。

5月13日，微软云计算交换在线（Microsoft Exchange Online）服务出现故障，导致用户邮件信息延迟3-9小时发送。2011年6月，在微软发布Office365前一周，微软BPOS云托管套件服务再次中断3小时，微软在北美的用户都受到了影响。

7月15日，谷歌应用引擎Java服务出现故障，宕机超过1小时。故障原因基于云计算， 把应用程序转到网络上时出现了问题。

8月9日，亚马逊云服务故障约1小时，使Netflix、Foursquare、维珍美国航空公司 （Virgin America）和其他几家网站均受到影响。

……

国外巨头们尚且不能避免如此大面积的云计算安全事故，国内厂商的服务能力就更加堪忧了——携程信用卡泄露安全漏洞、京东、1号店、快递公司数据库漏洞致用户信息泄露，这些事件历历在目。

云计算和大数据很美丽

关于云计算的安全问题，人们存在这样的误区，即放在“云”上的东西容易丢。实际上，在排除服务提供商的诚信出问题的前提下，从云计算的整体技术架构来看，其安全性即使不比其他网络系统好，但也绝不比它们差。云端中央数据服务器数据一般会存储成三份，同时备份到另外一个机房一份，用户数据存储在哪片“云”上，其他人很难知晓，因此增加了盗取的难度。而如黑客窃取数据事件，则不应在云计算安全问题的考虑范围之内——高明的黑客想要偷走的东西，存在哪里都不会安全。

北京红象云腾（RedHadoop）系统有限公司是一家基于云计算提供大数据基础平台服务的创业公司，公司创始人童小军也是中国Hadoop Summit大会联合主席、Hadoop云计算讲师，在他眼中，云计算、大数据技术是颠覆整个商业模式的创新技术，虽然遇到安全问题，但依然有相应的解决方案。

对于个人而言，像百度云、腾讯云一类的公共云依然是个人存储数据的最好选择。“公有云肯定比你存在电脑或者硬盘上强，个人存储最大的问题就是容易数据丢失。这些以提供个人服务起家的公司，云架构的服务能力远远超过目前提供的服务，而且这样的大公司马太效应非常明显，越大的服务商越能够支撑大数据服务，它们的数据都有多份备份，不大容易出现账号被盗、数据丢失的事情。如果不想数据被压缩，可以选择网盘。只要不选择没有实力的小公司，不要把个人账号、密码、私照等敏感信息放在云端就行了。”

“对于使用云计算的企业用户来说，最主要的问题是感觉不受控——安全问题始终让人放心不下，服务提供商是否够诚信，公司的机密资料是否容易泄露，网络运行是否稳定？对于我们这种每天都有大量数据需要传输的企业而言，数据传输的效率问题也不得不考虑。尽管政府对云计算投入了大量的资金和政策支持，但还没有出台云计算运营相关的法律法规。如果数据出了问题，又无法对最终的责任进行追究，给企业造成的损失无法想象。”精锐教育集团IT高级总监沈天豪说。

童小军认为，私有云更利于企业保护和共享核心数字资产。“企业内部自建私有云，可以避免数据大规模迁移过程中发生的丢失问题，而且传输效率也比公网快很多。”

童小军打了一个很形象的比方，以前的数据存储、运算多采用昂贵的大型机，就好像传统的绿皮车，只有一个机车车头作为动力源，是集中式的动力系统；而现在的云计算则好像高铁动车，每节车厢都有发动机，是分布式的动力系统。一个大型网络游戏有几百台服务器，如果一个服务器同步数据库需要2分钟，几百台服务器就要好几个小时。现在采用云计算技术，几十台机器同时同步数据，以前七八个小时才能完成上传的数据现在只要几分钟就搞定了。

“其实银行老早就在提供云服务，我在此地存钱，又在彼地取款。只不过以前银行的机器只能存储核心数据，如扣费、转款等尽可能少运算的数据。现在转换成云计算，可以把每个账户的任何细节都存储下来。阿里金融就是联合几千台服务器存储上百PB级别数据，同时分析几千个变量，靠这种精密的大数据分析通能够做到3分钟里同时给很多人发放小额贷款的。”

对于很多企业而言，“私有云+共有云”的组合拳也许是眼下最靠谱的部署方法。endprint