國內(nèi)安全漏洞監(jiān)測平臺烏云(WooYun.org)近日發(fā)布報告��,稱如家�、漢庭等大批酒店的開房記錄被第三方存儲���,并且因為漏洞而泄露����。
想必大家都已經(jīng)看到了這個新聞���,那么我簡單把這個事情的來龍去脈說一下:其實就是眾多酒店委托一家網(wǎng)絡(luò)公司來做自己的信息系統(tǒng)�,其中包括登記�����、身份認(rèn)證以及無線等業(yè)務(wù)����。但是這些系統(tǒng)的認(rèn)證網(wǎng)頁卻存儲在了這個公司的服務(wù)器上面�����,而且更加可怕的是�,從酒店到這個服務(wù)器的通信協(xié)議是http�,提交的信息基本就等于是明文。玩安全或者黑客的人都知道����,用這樣的方法傳輸信息用探嗅器工具很容易獲取信息,而且該服務(wù)器還存在安全漏洞�����,安全公司一掃描�����,就輕易拿到了酒店的房客信息����。
其實類似的事情在業(yè)界是接二連三,過去有著名IT網(wǎng)站CSDN泄露客戶資料��,銀行泄露客戶信息,云計算廠商弄丟客戶的信息�����,今年最轟動的則是棱鏡門事件�����,這些其實都在拷問一個事情����,云計算背景下客戶的云安全誰來保證�,又如何保證!
筆者最近兩年不但采訪過云計算的服務(wù)廠商,也采訪過很多企業(yè)用戶��,F(xiàn)在廠商反映的普遍的情況是��,安全不是問題�����,我們可以做到最好�,因為用戶即便是放在自己的服務(wù)器上,安全問題也是一個問題�,而且用戶的安全工程師其實沒有專業(yè)廠商那么正規(guī)�,自己做花錢雇人做這個其實劃不來�����。不是經(jīng)常有醫(yī)院或者公司找專業(yè)數(shù)據(jù)恢復(fù)公司來做災(zāi)備么�,說明他們自己確實不那么專業(yè)。
但是上面暴露出來的問題是專業(yè)公司也沒那么專業(yè)�,這可就麻煩了。因為現(xiàn)在已經(jīng)有部分用戶想把自己的業(yè)務(wù)轉(zhuǎn)移到云端了���。我在全國與很多用戶交流過���,除了比較敏感的金融與政府機構(gòu)很難將自己的業(yè)務(wù)放上云端,其實很多用戶已經(jīng)開始考慮將自己的業(yè)務(wù)放到云端�,托管給專業(yè)的云計算提供商了。比如在與國家統(tǒng)計局的交流中���,他們已經(jīng)感覺到數(shù)據(jù)大集中帶來的存儲壓力���,而基于這些數(shù)據(jù)做商業(yè)分析,為國家制定更好的決策應(yīng)該是他們的任務(wù)����。他們就在考慮將數(shù)據(jù)存儲業(yè)務(wù)外包給專業(yè)的公司�����。
但是�,如果類似本文最初那樣的事件越來越多��,那么用戶是心有余悸的�。因為非常多的企業(yè)CIO最大的擔(dān)心就是安全問題。
所以���,說一千道一萬,云計算公司和安全公司必須按照傳統(tǒng)和專業(yè)的流程把云存儲和數(shù)據(jù)安全問題規(guī)劃好���,實施好���,落實好,才能真正讓用戶放心�����。像傳輸加密與補漏洞都是最簡單的安全防護手段�,如果連這個都懶得去做,那么真不可能在這云計算的大潮中做成一個長久的公司�����。
當(dāng)然,對于用戶來說���,安全也是有等級的�,筆者在與中金數(shù)據(jù)中心的專家交流時��,他明確提到�,金融公司對自身的數(shù)據(jù)安全保護是非常嚴(yán)格的,我們只是給提供了這些場地和機房��,上面所有的業(yè)務(wù)和數(shù)據(jù)都是客戶自己來管理的�,這里比傳統(tǒng)的IDC機房安全級別要高出很多。所以�����,用戶也要明白一個道理����,就是如何制定自己的數(shù)據(jù)規(guī)劃,什么樣的數(shù)據(jù)適合放在云端�,用什么級別的安全防護,不可能不花錢����,享受最高級別的安全服務(wù)的�����。
最后��,只能說發(fā)生前面的事情我們大家都很驚訝��,希望用戶選擇云計算提供商的時候要多方面考察����,自己在做規(guī)劃的時候�����,也要請專業(yè)的公司來做�����,以保證自己最大的利益�����。
