全球传统行业里的一些大型巨头(如:金融巨头)就是出于安全问题的考虑,尚不敢采用公有云模式,而是在其内部搭建了私有云系统。借助其现有安全防护体系,确保私有云的安全性。
云端数据需严密防护
恶意攻击者实现成功地入侵并不是其最终目的,在当今互联网时代,网络犯罪集团的本质目的是为了最大化的获取经济利益。恶意攻击者成功入侵后还需要找寻有价值的数据信息,并将这些信息窃取到恶意攻击者的老巢里。如果这些数据已经被加密保护,那么恶意攻击者还需要进行反向解密操作,获取真实的数据。最后将这些数据贩卖或者公布出去,恶意攻击者才最终实现了自己的目的。
如果索尼采取了严密的数据丢失防护,那么哪怕恶意攻击者成功入侵了索尼的云端服务器,也依然难以获得有效的数据信息。但就在索尼被入侵不久,就有黑客在论坛上挂牌销售220万个来自索尼PSN网络数据泄漏受害者的个人信息,虽然之前索尼曾表示信用卡信息已经得到加密,但事实上数据库里的内容已经被读出。目前看来,索尼对其云端数据的安全防护并不严密。也正因此,才又一次给恶意攻击者打开了方便之门。
整个互联网世界的本质,就是由“0”、“1”所组成的各类数据。可以说,互联网的安全问题,本质上就是数据的安全问题。如果能够实现对数据的严密防护,那么所有的恶意入侵都将变为无效的攻击。
要相对云端的数据进行有效的防护,至少要做到三点:对数据的存储容器数据库做好严密防护;对数据自身进行加密保护;设置严谨的操作权限,使得恶意攻击者找不到数据、拿不走数据、看不到数据。
从本次泄密事件来看,索尼在其云端平台的数据安全防护方面似乎很薄弱,甚至可能是根本就没有建立一个严谨的数据丢失防护体系。
云端安全管理至关重要
这次的索尼泄密门里最引人注目的一点是,在索尼方面发现遭遇入侵后的半个月时间里,索尼又接连遭遇黑客入侵却束手无策,只能听任恶意攻击者随意入侵其云端服务器,窃取各类用户数据信息。这恰恰暴露了索尼对其云计算平台的安全管理中,存在着致命的缺陷。实际上,正是在入侵事件暴露后,索尼才宣布新设立首席信息安全官一职,负责监管PSN网络安全。
安全防护中最为重要的一个环节就是安全管理,一个企业即便购买并部署了众多的安全防护设备,可如果没有一个有效的安全管理体系,那么一切安全设备就都只是摆设。如果缺少了有效的安全管理,那么就不能实现有效的监督与制衡机制,无法及时发现潜在的安全威胁。
特别是对于云计算,大数据量聚集在云计算服务端,其背后所蕴藏的安全问题也极为惊人,网络管理、安全管理缺一不可。但现在,云计算平台的网络管理已经被深入实施,而安全管理虽然已经被人们所认识,但依然缺乏具体的实施,索尼泄密门就是一件典型的代表事件。云计算平台里的数据需要管理、云计算平台里的应用需要管理、云计算平台里的人员需要管理,安全管理涉及到云计算体系的每个部分。正是由于安全管理的缺失,使得恶意入侵者可以从容的、一次又一次的侵入索尼云端平台,肆意窃取用户数据。
云计算的未来要“杞人忧天”不要“因噎废食”
索尼泄密门事件,折射了新互联网时代下云计算的诸多安全问题。实际上,本次恶意攻击者对索尼云平台发起的入侵及数据的窃取还仅仅算是小试牛刀,恶意攻击者所能造成的破坏还可以更大。比如:将恶意程序嵌入索尼云端平台的各类应用程序里,借助索尼云服务平台,进行更为广泛的传播,让破坏力更加深入。
但是,云计算是未来发展的主流,云计算给人们带来的便利远大于其安全问题所带来的损失,我们不能由于各类云计算安全事件的发生就因噎废食。索尼泄密事件给了人们很好的警醒,让人们更加清晰的发现了云计算的安全缺陷。为了保障云计算能更好的服务于人类,我们鼓励在对待云计算安全问题上持“杞人忧天”的态度,从最坏的角度去思考、去预防,在保证用户使用体验的前提下,为云计算提供最为严密的安全防护。