安全,是否是影响当今新兴产业发展的核心问题之一?
答案毋庸置疑。无论移动互联网、云计算抑或是物联网,尽管其发展仍在初期,快速抬头的安全问题却已成为人们最为担心的挑战之一。事实上,今年以来,影响甚广的相关安全问题已多有出现。
因此,尽管对于运营者而言现阶段更严峻、更主要的安全威胁仍是在传统系统和传统业务上,但是由于寄望新兴产业为自身带来新的增长点和转型路径,运营业者不可能不关注新兴的业务安全。
攻击面愈广
“随着智能移动终端使用的日渐广泛,针对其漏洞的攻击、植入恶意代码等行为也越来越多,移动互联网正在伴生出新兴安全问题。”赛门铁克中国区解决方案顾问林育民向记者介绍说。
这些行为带来的不良后果很多,比如它会通过替用户拨打电话、发送短信等方式恶意消耗用户话费;它也会远程监听用户,盗取用户资料;它也给网络运营商带来更大的新兴挑战。
“传统僵尸网络都是基于PC上,目前这种攻击形式的目标正在转向智能手机,众多智能手机被利用为僵尸网络的节点,对移动互联网的网络运作会造成相当大的影响。”林育民指出,“比如这些智能手机受控制对外大量发送垃圾邮件,将大量占用3G带宽,使得运营商服务品质极大下降。”
多方信任
云计算上的安全威胁似乎更复杂。用户数据、应用等都集中在云上,一方面往往会成为黑客关注的焦点,另一方面对于运营者系统的可用性也将造成新的压力。
尽管云计算初兴,但相关安全问题正向业界发出警示。就在近期,索尼在线服务屡遭黑客入侵,涉及过亿网民信息可能被盗,其中包括信用卡信息。而就在几乎同期,亚马逊则发生云服务中断3天的事件,造成舆论哗然。
“用户非常信任你,但你却并不能保障服务的随时可用。”林育民说:“不管是被入侵还是系统可用性问题,事后运营商虽然可以修复安全问题,但更深远的影响却是其自身信誉受到严重打击,进而可能造成用户大量流失。”
如果说这样的问题还算是传统问题范畴,只是在云时代被加大了筹码的话,那么下面将涉及的则绝对是云时代新兴的巨大挑战—双向审计与多方信任。
“对于运营者而言,如何防止用户滥用云端资源?”林育民指出,“先前亚马逊就被人利用做大量发送垃圾邮件的跳板;还有些企图租亚马逊空间来放置恶意代码,使亚马逊服务器成为僵尸网络的其中一个节点。”
对于用户而言,他们则需要担心如何保障自己在云端的资料不会外泄。更重要的是,许多云服务可能涉及多个服务供应商,比如A厂商提供PaaS服务,但这一服务的基础却是B厂商的IaaS层,多个点都有数据外泄的风险和可能,则需要确保任何一方都不会违反协议。在必要时,用户可以进行审计,但这一审计是由用户自己执行,或是由独立第三方执行,又是一个新问题。
“目前业界整体的云计算安全框架尚不成熟,未来随着技术和框架的成熟,多方运营者的责任厘清、追查会更加简单,或者说从根本上能够预防。不过就现阶段而言,用户还需自己多思考一些风险点、管理和技术手段以及相关机制,将风险降低到自己可以承受的范围。”林育民表示。
