继个人计算机、互联网变革之后, 云计算被看作第三次IT浪潮,它成为了全球IT战略性新兴产业的重要组成部分。它将带来生活、生产方式和商业模式的根本性改变,是当前全社会关注的热点。
伴随着云计算的发展,越来越多有关其安全性的问题逐渐浮出水面,调查显示,50%以上的企业正在考虑使用云计算服务。其中12%看重的是云计算服务的成本效益。然而,安全问题却成为这些企业选择云计算的主要阻力。在IDC的一次关于“您认为云计算模式的挑战和问题是什么”的调查中,安全以74.6%的比率位居榜首,可见安全问题是人们对云计算最大的担心。
在这些导致云计算“不安全”的环节中,安全漏洞成为最主要、潜伏性最高的威胁隐患。安恒信息总裁范渊表示:“现在的云计算服务提供商及大型互联网厂商在安全上做的远远不够,大部分公有云系统都存在安全漏洞,黑客很容找到并利用这些漏洞。”
正如范渊所说,由于云计算服务提供商没有采取足够的措施解决其服务的安全问题,使得整个云计算系统暴露给黑客的漏洞就更多。如果不能采取有效措施,云计算系统有可能成为未来黑客任务的重点目标。
在2010年国际黑客大会上,45%的受访安全专家(包括黑客)表示他们已经尝试利用云计算系统的安全漏洞进行黑客任务。仅从这一点就可以看到云计算提供商自身安全漏洞问题潜在威胁和影响之大!
安全漏洞成为“云计算“安全最大阻力
云计算的商业价值被迅速证明,其凭借各种供应商提供更高的服务水平和提供给关键业务应用的平台,已经在企业中获得了巨大的动力。与此同时,这些“云”也开始成为黑客或各种恶意组织和个人为某种利益而攻击的目标。比如利用操作系统或者应用服务协议漏洞进行的漏洞攻击,或者针对存放在“云”中的用户隐私信息的恶意攻击、窃取、非法利用等,手段繁多。更为严重的安全漏洞,正在一步步侵蚀云计算服务提供商及大型互联网厂商的安全防线。
安恒信息安全小组专家指出:“云计算存在潜在致命弱点,即一个厂商存在的单点故障(安全漏洞)可以影响其众多客户的安全。”
相关报告称,网络应用程序数量每年以55%的速度增长,但其具有大量的安全漏洞。报告指出,脚本中和其它网络应用程序代码中包含大量的恶意代码,比一年前增加了52%。在很多已经曝露的安全漏洞,有将近50%至今还没有得到更新,产品及服务提供商对于自身所存在的缺陷没有高度重视,从而致使用户遭受攻击与损失。
安恒信息安全小组专家表示,“即使软件与服务提供商仅有一个漏洞,可能是一个Web应用缺陷,也可能是网络安全中的一个疏忽,或物理安全的一个失误,它的客户全部会遭受安全风险。企业安全性强度取决于其最薄弱环节,如果让其它人来为你管理这个环节,在将你的企业与其联姻前必须考虑到安全问题。” 在此之前,业界专家已经多次警告企业“不要将所有鸡蛋放在一个篮子中。
通过专业检测迅速扑灭“安全漏洞”
据统计75%的网络攻击和互联网安全侵害源于应用软件,网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识;应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治,仅仅靠打补丁和安装防火墙是远远不够的。安恒信息安全小组专家表示,随着云计算等技术的运用越来越广泛,更多的安全漏洞将被暴露。据可靠数字显示,现在全球大型互联网公司及云计算服务提供商均出现严重安全漏洞,情况岌岌可危!因此,需要各方共同努力,从根源杜绝安全隐患。
