云計算—人是企業(yè)安全最大的漏洞

云計算最典型的大眾應用無疑是社交網(wǎng)絡，當今最火爆的網(wǎng)絡服務如國外有Youtube、Facebook、Twitter、Flickr等，國內(nèi)有微博、開心網(wǎng)、優(yōu)酷等。由于社交網(wǎng)絡以人際關系為紐帶，以實時共享和互動為核心，徹底改變了傳統(tǒng)互聯(lián)網(wǎng)信息廣播的單向結構，為黑客實施社會工程學犯罪、乃至商業(yè)機構之間的網(wǎng)絡諜戰(zhàn)提供了絕佳環(huán)境。例如，前不久奧巴馬在白宮安全顧問的一再督促下，被迫宣布關閉其Youtube賬戶，奧巴馬稱Youtube對其隱私構成威脅。

如今，大型企業(yè)的員工也大多是社交網(wǎng)絡的使用者，這為黑客“人肉”特定企業(yè)的員工提供了新的渠道。RSA2011大會上，反黑客專家一致認為黑客已經(jīng)開始把目光轉(zhuǎn)向大型企業(yè)員工，與會專家稱之為高級持續(xù)性攻擊模式，黑客通過企業(yè)員工進入企業(yè)內(nèi)部網(wǎng)絡，即使企業(yè)有再多的防護也沒有用。例如黑客曾經(jīng)給歐盟網(wǎng)絡的一名員工的電腦中植入木馬，順利攻陷歐盟27個國家的碳排放交易網(wǎng)絡，黑客從中竊取了兩千多萬歐元交易額，其中捷克損失1870萬歐元，奧地利損失700多萬歐元。

可以看到，信息安全的成功，對終端用戶的依賴越來越大。信息安全管理也需要比以往任何時候更加關注終端用戶的安全意識和安全行為。云計算的滔天大浪從未像今天這般迫近，那些呆在海邊日光浴的企業(yè)必須采取有效行動來自我救贖。

云計算本身的安全更多要依靠大型的云計算提供商以及技術合作商，即使大型組織和行業(yè)企業(yè)開始擁有私有云，但核心的安全技術還是依賴于平臺提供商（自從2011年微軟的云計算爆出安全漏洞以來，云安全本身也并非萬無一失。）

對于企業(yè)來說，云安全和終端安全方案的保護傘只能避免“天災”，但是“人禍”依然是阿喀琉斯之踵。沒有布拉德利-曼寧的里應外合，就沒有WikiLeaks的“輝煌”；沒有針對特定工廠員工的“社會工程學”行動，就不會有“震網(wǎng)蠕蟲病毒”（Stunext）的輝煌戰(zhàn)果。

云計算服務—隨處可見的“裸體公司”

云通訊、云郵件、云存儲、云程序等云計算服務，將伴隨移動設備的蜂擁而至如狂濤駭浪般沖擊企業(yè)IT信息安全管理系統(tǒng)，企業(yè)內(nèi)網(wǎng)的“馬其頓防線”正在被推倒，傳統(tǒng)的重點依靠網(wǎng)絡安全技術控制手段來保護公司的關鍵信息資產(chǎn)的方法面臨挑戰(zhàn)。每一位CIO和企業(yè)信息安全專家，無論所在企業(yè)是否主動擁抱云計算，都將面臨前所未有的考驗：企業(yè)圍墻已經(jīng)被推倒，單純依賴信息安全技術的傳統(tǒng)思路不再適用。

索尼公司不久前經(jīng)歷了一次非常嚴重的黑客事件，其次世代主機PS3的核心密鑰被黑客攻破，直接威脅到其每年上億張正版游戲的銷售。21歲的新澤西黑客George Hotz，首次完整破解了PS3主機，他在網(wǎng)站上公布了代碼，并在YouTube上演示了越獄。索尼隨后采取了全面封殺的做法，該公司律師據(jù)稱向轉(zhuǎn)貼越獄方法的網(wǎng)站發(fā)出了大量DMCA刪除通知。

但是非常戲劇性的是，索尼公司主管PS3業(yè)務的一位高管在黑客“博友”的誘騙下，在自己的twitter賬戶上“銳推”了這串要命的代碼。事后該高管雖然火速刪掉了該微博，但早已經(jīng)被新聞媒體拷屏傳播，淪為業(yè)界笑談。在黑客的社交工程伎倆下，即使是信息技術行業(yè)的資深人士，也會不經(jīng)意間犯下大錯：輕則泄露商業(yè)隱私，重則威脅公司生存。

移動互聯(lián)網(wǎng)+社交網(wǎng)絡的普及，將過去碎片化的人際關系晶體粘合在一起，變成一塊塊通透的棱鏡，大多數(shù)的企業(yè)、甚至政府機構都即將或者已經(jīng)成為“赤裸公司”。在實時的，無所不在的信息共享模式下，越來越多的企業(yè)發(fā)現(xiàn)，花錢購置并部署昂貴的安全系統(tǒng)并不能在云時代換來安全保障，社會化媒體以及公共云計算的使用者——每一位員工，才是如今信息安全治理的問題核心。

越來越多的企業(yè)發(fā)現(xiàn)，防火墻、入侵檢測及防御或者安全加密并不能確保他們的關鍵系統(tǒng)和數(shù)據(jù)，他們中有些人甚至會認為，這些技術控制純粹是在浪費金錢。

云計算時代網(wǎng)絡接入點無處不在，只要有進入系統(tǒng)的權限，人們可以在任何時間，任何地方自由地獲取、處理和分享各類機密的商業(yè)數(shù)據(jù)。

【編輯推薦】

1. 淺析云計算的安全性
2. 云計算的風險大于其收益
3. 現(xiàn)代云計算安全企業(yè)應更看重什么