|
近期最大的安全事件莫過于全球皆知的索尼泄密門�,索尼服務(wù)器接連遭遇黑客攻擊,大量用戶數(shù)據(jù)被盜���。人們真切地感受到了云計算所面臨的安全威脅����。
索尼泄密事件時間表
事件開始于美國當(dāng)?shù)貢r間2011年4月17日�����,索尼旗下Playstation網(wǎng)站遭遇黑客入侵���,黑客侵入索尼公司位于美國圣迭戈市的數(shù)據(jù)服務(wù)器�,竊取了索尼PS3和音樂���、動畫云服務(wù)網(wǎng)絡(luò)Qriocity用戶登錄的個人信息��,包括姓名����、住址�、生日、登錄名和密碼等����,受影響用戶多達(dá)7700萬人,涉及57個國家和地區(qū)�。同時,索尼旗下另一組負(fù)責(zé)計算機在線游戲服務(wù)的索尼網(wǎng)絡(luò)娛樂 (Sony Online Entertainment)也傳遭到入侵����,可能將有高達(dá)2460萬筆用戶數(shù)據(jù)也遭外泄。
4月19日�����,索尼宣布關(guān)閉網(wǎng)站服務(wù)�。
4月26日,索尼對外公布網(wǎng)站遭遇黑客入侵�����,用戶信用卡等個人信息或遭泄漏��。當(dāng)日索尼公司在其官方博客上表示����,“我們通知您,您的信用卡號(不包括安全碼)和截止日期可能已經(jīng)被掌握�,請保持高度警惕。我們正在調(diào)查事件細(xì)節(jié)���,相信一些非法人士已經(jīng)掌握您提供的如下信息:姓名����,住址(城市、州和郵編)�����、國家�、電子郵件、生日��。還可能包括你的個人資料�、采購歷史和賬單地址(城市、州和郵編)�����,以及您的Play Station網(wǎng)絡(luò)/Qriocity密碼安全答案����。”
5月1日,索尼公司高層正式向公眾道歉并承諾盡快恢復(fù)網(wǎng)站服務(wù)��。
5月2日���,僅事隔一天�,索尼服務(wù)器再遭黑客攻擊�,該公司的另外一款游戲“Qriocity”服務(wù)也有近2500萬用戶被黑客竊取了姓名、地址和密碼�����。這兩次泄密事件使得索尼數(shù)據(jù)遭竊案受影響的用戶可能超過1億人���,成為迄今規(guī)模最大的用戶數(shù)據(jù)外泄案��。
5月9日�����,據(jù)國外媒體報道�,索尼第三次遭遇網(wǎng)絡(luò)黑客攻擊����,一臺存儲了2011年索尼“sweepstakes”比賽選手資料的服務(wù)器被黑客攻陷。
從索尼泄密看云計算安全
本次的索尼泄密事件最為直觀的向人們展示了當(dāng)云計算遭遇攻擊后所將帶來的破壞性損失����。此前����,普渡大學(xué)電腦安全專家吉尼•斯塔福德(Gene Stafford)教授在美國國會作證時稱�,索尼使用了過時的Apache Web服務(wù)器軟件,同時也沒有安裝防火墻�����。但索尼方面斷然否認(rèn)了斯塔福德的說法����。
去年,中國云計算聯(lián)盟列出了云計算安全七宗罪:數(shù)據(jù)丟失/泄漏�����、共享技術(shù)漏洞����、內(nèi)奸、不安全的應(yīng)用程序接口����、沒有正確運用云計算、未知的風(fēng)險。索尼泄密事件的真實原因尚不得而知�,但從中我們可以發(fā)現(xiàn)一些云計算服務(wù)端的安全問題。
云端應(yīng)用潛藏未知威脅
索尼的PlayStation網(wǎng)絡(luò)用于PlayStation3的在線游戲�����,并向PlayStation等游戲機提供軟件下載服務(wù)��。Qriocity服務(wù)也運行在相同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上�,給索尼的消費類電子產(chǎn)品提供音頻和視頻服務(wù)�����?梢哉f�,這是索尼向其廣大用戶提供服務(wù)的公有云平臺�����。
從索尼目前公布的資料來看�����,黑客可能是通過索尼的某臺應(yīng)用服務(wù)器為跳板實施的入侵�。可以肯定的是,索尼云平臺存在未能及時發(fā)現(xiàn)的安全漏洞才讓黑客尋得入侵的機會����。比對云計算安全七宗罪來看,“不安全的應(yīng)用程序接口”與“共享技術(shù)漏洞”很可能是罪魁禍?zhǔn)字弧?/p>
現(xiàn)在是一個應(yīng)用為王的時代�����,互聯(lián)網(wǎng)上存儲著海量的應(yīng)用程序隨時供人們獲取�����,而每時每刻又有新的應(yīng)用程序被不斷上傳到網(wǎng)絡(luò)�����。海量的應(yīng)用在給人們的生活帶來便利的同時���,也帶來了無盡的安全隱患���。因為應(yīng)用程序的編寫者,更多所注重的是用戶的使用體驗�,程序自身的安全性很少被人們所關(guān)注,而編寫應(yīng)用程序所使用的語言�、連接的數(shù)據(jù)庫、調(diào)用的插件、運行的操作系統(tǒng)等都可能存在著尚未被發(fā)現(xiàn)的安全漏洞��。這一個個的漏洞疊加使得應(yīng)用程序成為了惡意攻擊者眼中的誘人蛋糕��,應(yīng)用程序自身的價值���,成為了惡意攻擊者選取“蛋糕”的標(biāo)準(zhǔn)����。
云計算的服務(wù)器端正存儲著這海量的應(yīng)用�,同時服務(wù)器自身也是依賴于各類應(yīng)用才能得以順暢運轉(zhuǎn)����,為用戶隨時提供服務(wù)。對于惡意攻擊者而言�����,他們或者可以通過安全等級更低的用戶終端里的應(yīng)用程序漏洞����,逆向潛伏進(jìn)入云計算的服務(wù)器端;或者直接利用云計算服務(wù)器端應(yīng)用程序的隱藏漏洞直接實施入侵��。
可以說,應(yīng)用安全問題在新互聯(lián)網(wǎng)時代里至關(guān)重要���,特別是對于新互聯(lián)網(wǎng)環(huán)境下的云計算���,提供應(yīng)用服務(wù)是其核心目的。而這個核心地帶��,正在成為安全關(guān)注的新焦點����。索尼通過PSN等公有云平臺為其廣大用戶隨時隨地的提供應(yīng)用服務(wù),而云端應(yīng)用所潛藏的各類未知安全威脅�����,也將索尼公有云平臺置于了危險之中�。
全球傳統(tǒng)行業(yè)里的一些大型巨頭(如:金融巨頭)就是出于安全問題的考慮,尚不敢采用公有云模式��,而是在其內(nèi)部搭建了私有云系統(tǒng)����。借助其現(xiàn)有安全防護(hù)體系,確保私有云的安全性�����。
云端數(shù)據(jù)需加強防護(hù)
惡意攻擊者實現(xiàn)成功地入侵并不是其最終目的,在當(dāng)今互聯(lián)網(wǎng)時代�����,網(wǎng)絡(luò)犯罪集團(tuán)的本質(zhì)目的是為了最大化的獲取經(jīng)濟利益����。惡意攻擊者成功入侵后還需要找尋有價值的數(shù)據(jù)信息,并將這些信息竊取到惡意攻擊者的老巢里�。如果這些數(shù)據(jù)已經(jīng)被加密保護(hù),那么惡意攻擊者還需要進(jìn)行反向解密操作�,獲取真實的數(shù)據(jù)。最后將這些數(shù)據(jù)販賣或者公布出去�,惡意攻擊者才最終實現(xiàn)了自己的目的����。
如果索尼采取了嚴(yán)密的數(shù)據(jù)丟失防護(hù),那么哪怕惡意攻擊者成功入侵了索尼的云端服務(wù)器�,也依然難以獲得有效的數(shù)據(jù)信息。但就在索尼被入侵不久�,就有黑客在論壇上掛牌銷售220萬個來自索尼PSN網(wǎng)絡(luò)數(shù)據(jù)泄漏受害者的個人信息,雖然之前索尼曾表示信用卡信息已經(jīng)得到加密��,但事實上數(shù)據(jù)庫里的內(nèi)容已經(jīng)被讀出。目前看來����,索尼對其云端數(shù)據(jù)的安全防護(hù)并不嚴(yán)密。也正因此����,才又一次給惡意攻擊者打開了方便之門。
整個互聯(lián)網(wǎng)世界的本質(zhì)�����,就是由“0”�、“1”所組成的各類數(shù)據(jù)����?梢哉f,互聯(lián)網(wǎng)的安全問題�,本質(zhì)上就是數(shù)據(jù)的安全問題。如果能夠?qū)崿F(xiàn)對數(shù)據(jù)的嚴(yán)密防護(hù)���,那么所有的惡意入侵都將變?yōu)闊o效的攻擊�。
要相對云端的數(shù)據(jù)進(jìn)行有效的防護(hù)�����,至少要做到三點:對數(shù)據(jù)的存儲容器數(shù)據(jù)庫做好嚴(yán)密防護(hù);對數(shù)據(jù)自身進(jìn)行加密保護(hù)�;設(shè)置嚴(yán)謹(jǐn)?shù)牟僮鳈?quán)限,使得惡意攻擊者找不到數(shù)據(jù)�、拿不走數(shù)據(jù)、看不到數(shù)據(jù)���。
從本次泄密事件來看���,索尼在其云端平臺的數(shù)據(jù)安全防護(hù)方面似乎很薄弱,甚至可能是根本就沒有建立一個嚴(yán)謹(jǐn)?shù)臄?shù)據(jù)丟失防護(hù)體系���。
云端安全管理至關(guān)重要
這次的索尼泄密門里最引人注目的一點是����,在索尼方面發(fā)現(xiàn)遭遇入侵后的半個月時間里�����,索尼又接連遭遇黑客入侵卻束手無策����,只能聽任惡意攻擊者隨意入侵其云端服務(wù)器,竊取各類用戶數(shù)據(jù)信息��。這恰恰暴露了索尼對其云計算平臺的安全管理中���,存在著致命的缺陷�����。實際上�,正是在入侵事件暴露后����,索尼才宣布新設(shè)立首席信息安全官一職,負(fù)責(zé)監(jiān)管PSN網(wǎng)絡(luò)安全���。
安全防護(hù)中最為重要的一個環(huán)節(jié)就是安全管理���,一個企業(yè)即便購買并部署了眾多的安全防護(hù)設(shè)備,可如果沒有一個有效的安全管理體系����,那么一切安全設(shè)備就都只是擺設(shè)。如果缺少了有效的安全管理�,那么就不能實現(xiàn)有效的監(jiān)督與制衡機制�,無法及時發(fā)現(xiàn)潛在的安全威脅���。
特別是對于云計算�����,大數(shù)據(jù)量聚集在云計算服務(wù)端����,其背后所蘊藏的安全問題也極為驚人���,網(wǎng)絡(luò)管理���、安全管理缺一不可。但現(xiàn)在��,云計算平臺的網(wǎng)絡(luò)管理已經(jīng)被深入實施�,而安全管理雖然已經(jīng)被人們所認(rèn)識,但依然缺乏具體的實施�,索尼泄密門就是一件典型的代表事件。云計算平臺里的數(shù)據(jù)需要管理�、云計算平臺里的應(yīng)用需要管理、云計算平臺里的人員需要管理�,安全管理涉及到云計算體系的每個部分。正是由于安全管理的缺失����,使得惡意入侵者可以從容的、一次又一次的侵入索尼云端平臺����,肆意竊取用戶數(shù)據(jù)。
云計算的未來要“杞人憂天”不要“因噎廢食”
索尼泄密門事件���,折射了新互聯(lián)網(wǎng)時代下云計算的諸多安全問題�。實際上�����,本次惡意攻擊者對索尼云平臺發(fā)起的入侵及數(shù)據(jù)的竊取還僅僅算是小試牛刀��,惡意攻擊者所能造成的破壞還可以更大�。比如:將惡意程序嵌入索尼云端平臺的各類應(yīng)用程序里,借助索尼云服務(wù)平臺����,進(jìn)行更為廣泛的傳播,讓破壞力更加深入。
但是�����,云計算是未來發(fā)展的主流����,云計算給人們帶來的便利遠(yuǎn)大于其安全問題所帶來的損失,我們不能由于各類云計算安全事件的發(fā)生就因噎廢食����。索尼泄密事件給了人們很好的警醒,讓人們更加清晰的發(fā)現(xiàn)了云計算的安全缺陷��。為了保障云計算能更好的服務(wù)于人類��,我們鼓勵在對待云計算安全問題上持“杞人憂天”的態(tài)度�,從最壞的角度去思考、去預(yù)防���,在保證用戶使用體驗的前提下�,為云計算提供最為嚴(yán)密的安全防護(hù)���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強�!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
