云時代，你安全嗎？

世界知名信息安全廠商賽門鐵克發布報告稱，隨著大數據時代的到來，2013年全球超過5.52億條個人身份信息被泄露，泄露數據的數量是2012年的4倍，全球大規模泄露事件從2012年的1起增加到8起，每一起事件泄露的信息都超過千萬條。

云時代到來，帶來了大數據的爆炸式增長。我們每一個人都是云計算和大數據的受益者，但另一方面，信息泄露的風險又給每一個受益者帶來了隱形的困擾。

云計算安全的幾個核心問題包括身份與權限控制、WEB安全防護、虛擬化的安全等。面對云計算的安全問題，現如今有許多基于云服務提供的安全，包括Web和郵件過濾、網絡流量訪問控制和監控，以及用于支付卡業務的標記化。不同安全服務的一個重要區別是，一些是“在云中”的、一些是“針對云”的，即那些集成到云環境中作為虛擬設備提供給用戶使用和控制的安全服務。

什么是網絡安全

近些年，國內網絡安全概念很熱，國家層面在談、政府在談、各種公司在談，各行各業的從業人員也在談，仿佛網絡安全一下子從圈子內專業人員的小眾化專業詞匯，變成眾人熱捧的時尚名詞，從業人員無論是薪水還是專業地位都得到了前所未有的提高與重視。

從這個詞語本身來看，大概在上世紀90年代末期國內出現了與計算機安全有關的內容與要求，稱為網絡安全，如果對應成英文會更容易理解Network Security，以網絡為核心的安全。

當時的環境，信息化建設較早的公司開始建設企業網絡，國家也在開始部署“某金工程”，即金卡、金關、金盾等，核心內容就是兩個業務系統信息化與跨地域網絡聯通，這種大環境下，安全的重點就不難理解為網絡層面的安全，保護網絡的邊界，確保聯網后不出現重大安全事件。

過了幾年，2005～2006年左右，開始采用信息安全這個詞語，對應的英文變為Information Security，更加重視保護信息，也就是內容與數據，這時的信息安全所指的安全涵蓋范圍更廣泛，內容更多樣，包括了傳統的網絡安全內容，也包括了信息、數據等安全內容。

近幾年，安全的專業詞語又發生了變化，同樣是網絡安全，但這個網絡安全不同于最初的網絡安全，從英文上看，已經演化為Cyber Security，可以理解為網絡空間的安全，這個范圍就更大更廣泛了，甚至不僅僅是商業視角的范疇了

不管稱為網絡安全也好，信息安全也罷，詞語在更新，內容在演化，涵蓋的領域也在不斷完善與豐富。

數據的煩惱

騰訊移動安全實驗室數據顯示，2015年上半年，手機支付木馬病毒新增29762個，感染用戶總數達到1145.5萬，最高峰6月平均每天6.8萬名用戶中毒。

去年12月25日中國鐵路購票網站12306遭遇“撞庫”攻擊轟動一時，超過13萬條用戶隱私數據在互聯網瘋傳，用戶賬號、密碼、身份證號、注冊郵箱等數據被大范圍流傳、買賣，鐵路公安機關抓獲犯罪嫌疑人兩名。“撞庫”是指黑客將得到的數據在其它網站上進行嘗試登錄，因為很多用戶喜歡使用統一的用戶名密碼，“撞庫”也可以使黑客收獲頗豐。

相應的，盜取用戶身份證、銀行卡號、手機號等隱私信息的黑產團伙周邊產業鏈也不斷完善，因網購訂單泄漏、快遞訂單泄漏而導致的詐騙案件頻頻見諸報端，可見當前互聯網黑產的主要危害已經從傳統的賬號安全逐漸轉移至用戶個人信息安全。

手機木馬盜刷網銀已經形成由買賣個人信息、制作植入木馬病毒、盜刷、線下轉移資金等組成的職業化明顯的作案團伙。另外，黑產團伙利用互聯網技術跨平臺進行非法洗錢銷贓，也致使多個互聯網平臺及電商蒙受信譽及實際經濟損失。

互聯網深度數據分析公司TOMsInsight在其最新的分析報告《互聯網黑市分析：社工庫的傳說》中指出，全國流量排名前100的網站有近8成的用戶數據庫已被黑客盜取，變相為網絡黑色產業鏈提供大數據來源。從去年下半年開始，網絡上有數以千計的黑產從業人員從傳統的點卡、盜號詐騙轉移到銀行卡盜刷產業。

目前，企業面臨的威脅最大的安全風險有網站滲透、僵尸網絡、DDoS攻擊。這些威脅給企業帶來的可能危害有：商業機密被竊取、網站被篡改后導致的名譽受損、觸犯國家的法律法規、數據丟失等。

很多企業現在只是把一些非敏感的應用搬到云端，很多真正的IT關鍵應用實際上并沒有向云端遷移，但云計算對很多初創公司卻具有難以抗拒的吸引力。隨著云計算技術的不斷發展，越來越多的企業以及其他社會單位考慮將自己的關鍵業務放在云端運行，這也帶來一個問題——那就是安全，黑客和破壞者們開始將目標瞄向云端了。

云端新挑戰

隨著云計算、移動互聯網技術對企業的一步步“侵蝕”，企業的安全邊界被徹底打破。“面對如今復雜的安全形勢，傳統的安全解決方案早已過時，安全不再是一個產品或者幾個產品的組合，而是一整套思路、方法論以及認知。”網絡安全企業杭州迪普科技有限公司（以下簡稱“迪普科技”）總裁王冰稱，以云計算、物聯網、大數據等技術為代表的下一代互聯網技術對安全提出了新的要求。

服務器虛擬化和數據集中部署顯著地改變了傳統網絡應用模式，飛速增長的數據和業務不僅使網絡架構變得非常復雜，同時也面臨網絡安全、應用體驗、業務持續可用等巨大挑戰。

根據IDC的調查，安全問題一直是云計算中最受關注的方面。國內的報告也有類似的結論，調查的受訪對象都有技術安全性方面的擔憂，恰恰是這種擔憂阻礙其遷移到云計算平臺。

事實上，有些云服務提供商會對用戶的數據進行加密，同時還會將用戶的數據進行備份，一段時間后才會摧毀這些數據，所以企業在走入云端之前務必做好這方面的風險預估以及應急方案。

因此，要讓企業和組織大規模應用云計算技術與平臺，放心地將自己的數據交付于云服務提供商管理，就必須全面地分析，并著手解決云計算所面臨的安全問題。

云計算管理著企業的關鍵數據，企業和個人是不是會更容易成為黑客的攻擊對象呢？這也許不是一個常見的問題，但不是沒有發生的可能。

數據威脅。數據問題對每位CIO來說都是頭等大事。因為泄露帶來的最大噩夢就是自己公司敏感的內部數據落入了競爭者之手，這也讓高管們寢食難安，云計算則為這一問題增加了新的挑戰。

對于消費者和企業雙方而言，數據丟失都是非常嚴重的問題。而存儲在云中的數據則可能因為其他的原因造成丟失。云服務供應商的一次刪除誤操作，或者火災等自然因素導致的物理性損害，都可能導致用戶數據丟失，除非供應商做了非常到位的備份工作。

但數據丟失的責任并非總是只在供應商一方，比如，如果用戶在上傳數據之前加密不妥當，然后自己又弄丟了密鑰，那么也可能造成數據丟失。

內部操作問題。不論是在企業內部還是云計算服務提供商內部，人員的惡意操作都是非常危險的，同樣后果也非常嚴重。云服務提供商肯定不會透露其雇員在物理服務器和虛擬化方面的水平，更不會告訴你他的分析和報告政策。

惡意的內部人員在安全行業。來自內部惡意人員造成的威脅已經成為一個爭議話題。對組織存在威脅的惡意內部人員可能是那些有進入企業組織網絡、系統、數據庫權限的在任的或曾經的員工、承包商，或者其他業務伙伴，他們濫用權限，導致企業組織的系統和數據的機密性、完整性、可用性受損。

這也就意味著只要有了一定級別的授權，內部人員就可以獲得機密數據并控制云服務。其實，用戶是可以獲得這些操作信息的，只要在簽訂服務級別協議的時候提出來就可以了。

云時代的數據中心防火墻與傳統防火墻最大的不同在于，傳統防火墻主要防護的是由數據中心外部來的訪問流量，也就是我們稱的南北向流量；而云數據中心防火墻除了南北向流量之外，還有東西向的流量，即虛擬機之間、租戶之間的互訪也需要通過防火墻進行安全防護。因此對于防火墻的性能要求更高，100G吞吐量以上的防火墻需求將會越來越普遍。

相較于私有云，公有云對于企業安全提出了更高的要求。除了南北向流量以外，還有東西向流量，以往只在網絡邊界、出口部署安全產品的方式已經無法滿足公有云下的安全要求。因此對于企業而言需要更高的安全性能和更強的虛機感知能力。

除了性能之外，防火墻的虛擬化能力也很重要。虛擬化能力包括兩個方面：自身虛擬化能力與虛機感知能力。自身虛擬化指的是防火墻自身的多虛一、一虛多能力，可以滿足多種業務細粒度的管理；虛機感知是要解決以往虛機之間互訪不通過物理交換機和安全設備的問題，虛機之間的互訪也能通過防火墻進行安全隔離和訪問控制。