一、云计算的发展对信息安全是新的挑战
据美国国家标准与技术研究院(NIST)对云计算的定义:一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池,这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。
然而随着云计算时代的发展,面对信息安全又发起了新的一轮挑战。
挑战一:传统信息安全技术不能满足云计算信息安全需求。云计算信息安全是云计算与信息安全的深度融合的产物,传统的信息安全技术和产品也被用于防范云计算中的安全威胁。
挑战二:恶意软件、保密和访问认证等问题威胁移动云计算信息安全。随着移动互联网的迅速普及,各类针对移动终端的病毒层出不穷。手机病毒已经从原先简单的系统破坏、恶意扣费扩展到隐私窃取、金融盗号和窃听监控等,对用户的威胁性进一步加大。
挑战三:用户数据泄露或丢失使云计算信息安全面临的巨大的信息安全风险。用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄露或丢失。
挑战四:云计算面临用户身份认证的安全风险。云计算服务商对外提供云服务的过程中,需要引入严格的身份认证机制,如果运营商的身份认证管理系统存在安全漏洞或管理机制存在缺陷,则可能引起用户的账号被仿冒,特别是企业用户的数据被"非法"窃取。
二、亚马逊的Kindle电子书店存安全漏洞
德国安全问题研究人员本杰明·丹尼尔·穆斯勒在一篇博文中披露了亚马逊网站出现的一个漏洞。他表示,对于隐藏在Kindle电子书里的恶意计算机脚本,亚马逊的Kindle电子图书馆几乎没有招架之力。黑客只需要在电子书的元数据中插入JavaScript代码,便能够在亚马逊网站创建弹窗,并联入用户电脑中的亚马逊网站存储本地文件。潜入电子书的恶意脚本能够改变Kindle电子书图书馆页面的显示方式。
穆斯勒在博文中表示,"从供应商的角度来讲,这样的网站漏洞让活跃亚马逊账户的准入权唾手可得。"据穆斯勒表示,亚马逊已在2013年11月被告知网站存有安全问题,但该漏洞至今仍未被修复。要知道,当安全研究人员告知开源电子书项目Calibre,其存在类似安全问题时,仅数小时,该漏洞便被修复。 不过,穆斯勒表示,好消息是,通过亚马逊商店购买的Kindle电子书应该不会受到袭击。用户Kindle书库中存储的盗版电子书则更容易遭受到黑客袭击。所以,又是一个铁一般的事实告诉我们,不要在问题网站下载电子书。此前一天,FBI就曾发文指出,亚马逊旗下有声电子书零售商Audible网站存在漏洞,借助该漏洞,任何人都能够无限免费下载有声电子书内容。 三、加强对互联网上网行为监管 1、网络安全隐患 病毒木马扩散,黑客入侵,数据丢失,机密信息泄露,服务器瘫痪……网络安全问题是防不胜防的,即便安装了坚固的防火墙和强大的杀毒软件,黑客高手还是能轻而易举攻入核心服务器,偷窃、篡改、破坏重要数据信息,使企事业单位蒙受巨大损失。 还有的上网单位因为某些员工无意中浏览了挂马网页,或不慎下载了不明插件,导致病毒木马爆发,轻则影响业务处理进程,重则还会造成大范围数据丢失、系统瘫痪。对于移动性较强的业务人员,有的单位专门配置了无线上网设备,其网络信息安全系数更低,重要数据和机密信息极易被别有用心的个人或组织偷窃、破坏或删除。 2、传统应对方式 为应对日益突出的网络安全问题,企事业单位网络管理人员首选以技术手段进行事前预防和事后处理,如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等,这些技术通常都是依托相关的软硬件设备和终端才得以发挥其功能。在网络安全产品中,防火墙和杀毒软件更是公认的网络安全皇家卫士,提到网络安全人们首先想到的就是这两种软件。 一般而言,内网安全存在漏洞或网络安全技术不到位的企事业单位相对更容易受到攻击,网络安全隐患也相对更突出。传统的解决方式通常就是采用技术更先进、版本更高的防火墙、杀毒软件以及与之相适应的其他网络安全产品和技术,以抵御来自外部的入侵和攻击。然而信息系统中软硬件产品如果都采用同一版本的操作系统、同一版本的数据库软件等,攻击者就可能通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事故的发生。倘若采用不同版本的产品,又会造成多协议、多系统、多应用、多用户组成的网络环境,复杂性高,安全漏洞的存在更是难以避免。
|