【IT168评论】“苹果iCloud账户资料会泄露吗?”、“东西放在金山快盘安全吗?”、“百度云网盘安不安全?”……在搜索引擎上输入当下知名公有云服务的信息，总是能在搜索结果中看到这样的问题。在互联网APT攻击愈演愈烈的今天，用户对云服务安全性的信任度似乎还远没有达到云服务商的预期。这些“不安”因素，也在影响公有云服务的大好前景。

　　几年来，公有云服务遭黑客攻击造成海量用户数据泄露的事件接连不断：索尼云服务网站遇黑客攻击导致1亿用户的个人信息被窃，苹果iCloud账户信息泄露遭用户抱怨，谷歌Gmail服务被攻击泄露用户信息……近期，云计算笔记应用Evernote(印象笔记)也遭遇了相同的厄运，导致其5000万用户受到数据泄露风险威胁，Evernote还因此被迫要求其用户重置密码。类似事件的持续爆发，再度引发了人们对公有云服务安全问题的热议，公有云服务确保数据安全的能力也开始受到拷问。

　　因黑客攻击可能导致大量用户名、电子邮件地址和加密密码泄露，云计算笔记应用服务商Evernote近日向5000万用户发出了重置密码的通知。网络攻击正在集中火力锁定公有云，人们对云服务安全性的怀疑情绪再度升温。公有云服务，如何才能安全地走下去?

　　“改密码”能解决问题吗

　　受到数据泄露威胁的用户，主要是Evernote国际版用户。Evernote方面表示，其信息安全团队在Evernote网络上发现了有组织的恶意攻击，疑似企图入侵Evernote Service的安全区域。但在随后展开的调查中，他们还未发现用户存储在Evernote上的任何内容有被非法读取、更改或遗失的迹象。针对用户的支付信息，也没有发现任何非法访问的痕迹。但由于黑客“有可能”访问了一些与账户相关的用户名、电子邮件地址以及Evernote的加密密码，所以Evernote“建议”用户更改密码，以免遭受损失。

　　在事件发生后，Evernote曾在其登录界面上通过“跳出提示”的方法提醒用户重置密码。但很快，这种做法就被一种相对“怀柔”的方法取代了。经记者测试发现，目前只是在自动退出之前的登录状态时，才要求用户重新登录。但重新登录时，原来的密码便会失效，用户不得不点击找回密码链接重设密码。

　　作为知名云服务商，Evernote希望尽快隐蔽地化解此事件的心态可以理解，但用户的抱怨情绪却没有那么容易熄灭。一次黑客攻击便足以影响到全部用户，甚至需要所有用户修改密码，在云服务遭受黑客攻击的案例中，这样的问题总在重复。安全级别看似极高的云服务，为何如此脆弱?

　　“对黑客而言，云服务商最具价值的信息就是用户信息数据库。因为掌握了登录认证信息，就意味着可以掌握用户的全部数据。黑客攻击一个10M的数据库，就足以让其获得T级容量的用户数据，这必然会吸引黑客瞄准存储用户身份认证信息的数据库。”BlueCoat安全专家申强告诉记者，今天大量的公有云服务对用户认证信息的保护，依旧在采取“强加密，弱认证”的安全防护模式，数据的加密做得已经足够好了，但对服务和用户的认证还远远不够。很多面向消费类用户的云服务还是在采取基于用户名、口令的认证模式，一些用户登录信息甚至还在使用明文存储，这等于把最关键的数据暴露给了黑客。一旦黑客获取了用户信息数据库中的数据，数据泄露的风险自然会波及海量用户。

　　“我们的团队在服务过程中发现，云服务商最看重的是自身所能提供的应用服务内容，安全问题往往最后才会去考虑，这种侥幸心态是不可取的，等尝到网络攻击的苦头后才回头补救，对用户而言也是极不负责的。”Radware安全专家姚宏洲指出，除了数据窃取及篡改外，云服务商对保障服务可用性的安全问题也关注不足。例如DoS/DDoS攻击在全球愈演愈烈，众多行业均被波及，这种消耗资源型的网络攻击对云服务也是极大的威胁。

　　多方责任制下的安全杂症

　　根据行业统计，当前被曝光的企业数据泄露事件不足10%。因为数据泄露问题如果发生在企业内部，很多问题可以自我消化。但如果同样的事件发生在公有云服务商的身上，几乎100%被曝光。

　　安全防护的目标永远都是将风险控制到足够小，云服务商同样无法做到100%的安全。申强告诉记者，没有高等级的安全防护措施，公有云服务商很难说服用户去使用其所提供的服务，所以当前公有云服务对数据安全的重视度往往极高。今天可以在企业内部数据中心看到的所有安全措施、安全策略以及安全等级标准，实际在云服务数据中心中至少是被复制和重现的。“可以说，云安全服务商已经做到了企业级安全能够做到的安全级别，甚至还会更高。但是在云中，却很难达到企业级数据安全等级保护的同等效果。”

　　他指出，如果单纯从安全保护策略的角度看，云服务数据中心和企业内部的数据中心并没有本质上的区别。和企业内部的安全问题相比，公有云安全问题的复杂性更多体现在责任的界定上。因为云服务的安全责任已经被不同的组织拆解，各自为政。

　　“云服务数据中心和企业的私有数据中心相比，两者都是从四个层面来实现数据保护的：数据的安全，系统层面的安全，网络传输层面的安全以及用户终端的安全。在企业内部，这四部分的安全规划都是由企业自己完成的。但在公有云环境中，数据、系统的安全问题要由云服务商负责，网络传输部分的安全防护则要由企业和运营商共同承担，用户终端的安全则是由用户个人或企业来管理。这就会形成一种挑战：如何让各部分贯彻统一的安全策略，实现全网的安全。这是和传统企业安全最大的不同。

　　企业安全问题可以去统筹考虑，实现安全策略端到端的贯彻，但云服务却难以实现。所以，不是云服务的安全等级不够，而是难以被各责任方统一贯彻。

　　申强表示：“在发生安全问题时，责任的界定出现了多方关系。这是让云服务安全问题更复杂的根源。当企业开始广泛使用公有云服务的时候，必然会提出一个问题，那就是云服务商数据和系统安全的策略，是否和企业的策略是一致的。反之，云服务商做到了数据高等级安全防护，但数据在被用户所使用的时候遭到攻击，用户的客户端被攻击，黑客同样有可能借助用户端攻击云系统盗取数据。”

　　云服务如何安全地走下去

　　目前，金山、华为、百度等企业都推出了“网盘”、“快盘”类的云存储服务。但只有华为网盘称其能实现类似银行数据安全级别的云服务。

　　据华为网盘技术总监余斌介绍，华为网盘的经验是在整个架构设计上考虑“端到端”的安全设计，包括端(客户端，手机、PC等)、管(传输网络)、云(服务器、存储等安全)的安全。比如客户端的加密存储、重要数据传输采用安全协议(HTTPS)、服务端需要考虑防攻击和有效授权访问等。云服务在安全体系架构设计上则需要满足用户的两个需求：第一是数据不被窃取，第二是即使被窃取了也无法查看。需求一应以多重认证等手段来保障数据只能被有权限的用户查阅;需求二则是通过安全的加密算法对数据进行加密存储，确保无法破解。

　　从面向个人用户的服务转换到面向企业的服务，公有云安全如何做到多责任方最终的统一、协作也是很关键问题。公有云服务商不仅要敲开企业级市场的大门，还要迈过这道门槛。

　　申强认为，让企业广泛接受公有云应用的前提，一定是云服务商所提供的安全服务，能与企业内部原有的端到端的安全策略实现对接。

　　“云服务要与企业内部的安全级别，安全措施，使用习惯保持一致，才能有利于云服务商在不改变企业现有安全架构的基础上，让企业接受云服务。当前，一些云服务商推出的、基于虚拟化技术的、可让企业用户自行配置安全策略的服务方案，就是一种有益的尝试。”他表示。