國(guó)內(nèi)安全漏洞監(jiān)測(cè)平臺(tái)烏云(WooYun.org)近日發(fā)布報(bào)告,稱如家���、漢庭等大批酒店的開(kāi)房記錄被第三方存儲(chǔ)��,并且因?yàn)槁┒炊孤丁?/p>
想必大家都已經(jīng)看到了這個(gè)新聞��,那么我簡(jiǎn)單把這個(gè)事情的來(lái)龍去脈說(shuō)一下:其實(shí)就是眾多酒店委托一家網(wǎng)絡(luò)公司來(lái)做自己的信息系統(tǒng)����,其中包括登記����、身份認(rèn)證以及無(wú)線等業(yè)務(wù)。但是這些系統(tǒng)的認(rèn)證網(wǎng)頁(yè)卻存儲(chǔ)在了這個(gè)公司的服務(wù)器上面��,而且更加可怕的是��,從酒店到這個(gè)服務(wù)器的通信協(xié)議是http,提交的信息基本就等于是明文��。玩安全或者黑客的人都知道��,用這樣的方法傳輸信息用探嗅器工具很容易獲取信息����,而且該服務(wù)器還存在安全漏洞���,安全公司一掃描�,就輕易拿到了酒店的房客信息���。
其實(shí)類似的事情在業(yè)界是接二連三����,過(guò)去有著名IT網(wǎng)站CSDN泄露客戶資料��,銀行泄露客戶信息����,云計(jì)算廠商弄丟客戶的信息,今年最轟動(dòng)的則是棱鏡門(mén)事件��,這些其實(shí)都在拷問(wèn)一個(gè)事情,云計(jì)算背景下客戶的云安全誰(shuí)來(lái)保證�����,又如何保證!
筆者最近兩年不但采訪過(guò)云計(jì)算的服務(wù)廠商�����,也采訪過(guò)很多企業(yè)用戶��,F(xiàn)在廠商反映的普遍的情況是�����,安全不是問(wèn)題�����,我們可以做到最好����,因?yàn)橛脩艏幢闶欠旁谧约旱姆⻊?wù)器上,安全問(wèn)題也是一個(gè)問(wèn)題���,而且用戶的安全工程師其實(shí)沒(méi)有專業(yè)廠商那么正規(guī)����,自己做花錢(qián)雇人做這個(gè)其實(shí)劃不來(lái)。不是經(jīng)常有醫(yī)院或者公司找專業(yè)數(shù)據(jù)恢復(fù)公司來(lái)做災(zāi)備么��,說(shuō)明他們自己確實(shí)不那么專業(yè)����。
但是上面暴露出來(lái)的問(wèn)題是專業(yè)公司也沒(méi)那么專業(yè),這可就麻煩了���。因?yàn)楝F(xiàn)在已經(jīng)有部分用戶想把自己的業(yè)務(wù)轉(zhuǎn)移到云端了。我在全國(guó)與很多用戶交流過(guò)��,除了比較敏感的金融與政府機(jī)構(gòu)很難將自己的業(yè)務(wù)放上云端��,其實(shí)很多用戶已經(jīng)開(kāi)始考慮將自己的業(yè)務(wù)放到云端�,托管給專業(yè)的云計(jì)算提供商了。比如在與國(guó)家統(tǒng)計(jì)局的交流中���,他們已經(jīng)感覺(jué)到數(shù)據(jù)大集中帶來(lái)的存儲(chǔ)壓力��,而基于這些數(shù)據(jù)做商業(yè)分析�,為國(guó)家制定更好的決策應(yīng)該是他們的任務(wù)�。他們就在考慮將數(shù)據(jù)存儲(chǔ)業(yè)務(wù)外包給專業(yè)的公司����。
但是����,如果類似本文最初那樣的事件越來(lái)越多,那么用戶是心有余悸的����。因?yàn)榉浅6嗟钠髽I(yè)CIO最大的擔(dān)心就是安全問(wèn)題。
所以����,說(shuō)一千道一萬(wàn),云計(jì)算公司和安全公司必須按照傳統(tǒng)和專業(yè)的流程把云存儲(chǔ)和數(shù)據(jù)安全問(wèn)題規(guī)劃好�,實(shí)施好,落實(shí)好���,才能真正讓用戶放心����。像傳輸加密與補(bǔ)漏洞都是最簡(jiǎn)單的安全防護(hù)手段��,如果連這個(gè)都懶得去做����,那么真不可能在這云計(jì)算的大潮中做成一個(gè)長(zhǎng)久的公司�。
當(dāng)然���,對(duì)于用戶來(lái)說(shuō)����,安全也是有等級(jí)的��,筆者在與中金數(shù)據(jù)中心的專家交流時(shí)��,他明確提到��,金融公司對(duì)自身的數(shù)據(jù)安全保護(hù)是非常嚴(yán)格的����,我們只是給提供了這些場(chǎng)地和機(jī)房�����,上面所有的業(yè)務(wù)和數(shù)據(jù)都是客戶自己來(lái)管理的�,這里比傳統(tǒng)的IDC機(jī)房安全級(jí)別要高出很多。所以��,用戶也要明白一個(gè)道理,就是如何制定自己的數(shù)據(jù)規(guī)劃���,什么樣的數(shù)據(jù)適合放在云端����,用什么級(jí)別的安全防護(hù)�����,不可能不花錢(qián)���,享受最高級(jí)別的安全服務(wù)的����。
最后���,只能說(shuō)發(fā)生前面的事情我們大家都很驚訝����,希望用戶選擇云計(jì)算提供商的時(shí)候要多方面考察���,自己在做規(guī)劃的時(shí)候����,也要請(qǐng)專業(yè)的公司來(lái)做,以保證自己最大的利益���。
