賽迪獨家評論：從索尼泄密看云計算安全

索尼泄密事件時間表

事件開始于美國當地時間2011年4月17日，索尼旗下Playstation網站遭遇黑客入侵，黑客侵入索尼公司位于美國圣迭戈市的數據服務器，竊取了索尼PS3和音樂、動畫云服務網絡Qriocity用戶登錄的個人信息，包括姓名、住址、生日、登錄名和密碼等，受影響用戶多達7700萬人，涉及57個國家和地區。同時，索尼旗下另一組負責計算機在線游戲服務的索尼網絡娛樂 (Sony Online Entertainment)也傳遭到入侵，可能將有高達2460萬筆用戶數據也遭外泄。

4月19日，索尼宣布關閉網站服務。

4月26日，索尼對外公布網站遭遇黑客入侵，用戶信用卡等個人信息或遭泄漏。當日索尼公司在其官方博客上表示，“我們通知您，您的信用卡號（不包括安全碼）和截止日期可能已經被掌握，請保持高度警惕。我們正在調查事件細節，相信一些非法人士已經掌握您提供的如下信息：姓名，住址（城市、州和郵編）、國家、電子郵件、生日。還可能包括你的個人資料、采購歷史和賬單地址（城市、州和郵編），以及您的Play Station網絡/Qriocity密碼安全答案。”

5月1日，索尼公司高層正式向公眾道歉并承諾盡快恢復網站服務。

5月2日，僅事隔一天，索尼服務器再遭黑客攻擊，該公司的另外一款游戲“Qriocity”服務也有近2500萬用戶被黑客竊取了姓名、地址和密碼。這兩次泄密事件使得索尼數據遭竊案受影響的用戶可能超過1億人，成為迄今規模最大的用戶數據外泄案。

5月9日，據國外媒體報道，索尼第三次遭遇網絡黑客攻擊，一臺存儲了2011年索尼“sweepstakes”比賽選手資料的服務器被黑客攻陷。

從索尼泄密看云計算安全

本次的索尼泄密事件最為直觀的向人們展示了當云計算遭遇攻擊后所將帶來的破壞性損失。此前，普渡大學電腦安全專家吉尼•斯塔福德(Gene Stafford)教授在美國國會作證時稱，索尼使用了過時的Apache Web服務器軟件，同時也沒有安裝防火墻。但索尼方面斷然否認了斯塔福德的說法。

去年，中國云計算聯盟列出了云計算安全七宗罪：數據丟失/泄漏、共享技術漏洞、內奸、不安全的應用程序接口、沒有正確運用云計算、未知的風險。索尼泄密事件的真實原因尚不得而知，但從中我們可以發現一些云計算服務端的安全問題。

云端應用潛藏未知威脅

索尼的PlayStation網絡用于PlayStation3的在線游戲，并向PlayStation等游戲機提供軟件下載服務。Qriocity服務也運行在相同的網絡基礎設施上，給索尼的消費類電子產品提供音頻和視頻服務。可以說，這是索尼向其廣大用戶提供服務的公有云平臺。

從索尼目前公布的資料來看，黑客可能是通過索尼的某臺應用服務器為跳板實施的入侵。可以肯定的是，索尼云平臺存在未能及時發現的安全漏洞才讓黑客尋得入侵的機會。比對云計算安全七宗罪來看，“不安全的應用程序接口”與“共享技術漏洞”很可能是罪魁禍首之一。

現在是一個應用為王的時代，互聯網上存儲著海量的應用程序隨時供人們獲取，而每時每刻又有新的應用程序被不斷上傳到網絡。海量的應用在給人們的生活帶來便利的同時，也帶來了無盡的安全隱患。因為應用程序的編寫者，更多所注重的是用戶的使用體驗，程序自身的安全性很少被人們所關注，而編寫應用程序所使用的語言、連接的數據庫、調用的插件、運行的操作系統等都可能存在著尚未被發現的安全漏洞。這一個個的漏洞疊加使得應用程序成為了惡意攻擊者眼中的誘人蛋糕，應用程序自身的價值，成為了惡意攻擊者選取“蛋糕”的標準。

云計算的服務器端正存儲著這海量的應用，同時服務器自身也是依賴于各類應用才能得以順暢運轉，為用戶隨時提供服務。對于惡意攻擊者而言，他們或者可以通過安全等級更低的用戶終端里的應用程序漏洞，逆向潛伏進入云計算的服務器端；或者直接利用云計算服務器端應用程序的隱藏漏洞直接實施入侵。

可以說，應用安全問題在新互聯網時代里至關重要，特別是對于新互聯網環境下的云計算，提供應用服務是其核心目的。而這個核心地帶，正在成為安全關注的新焦點。索尼通過PSN等公有云平臺為其廣大用戶隨時隨地的提供應用服務，而云端應用所潛藏的各類未知安全威脅，也將索尼公有云平臺置于了危險之中。

全球傳統行業里的一些大型巨頭(如：金融巨頭)就是出于安全問題的考慮，尚不敢采用公有云模式，而是在其內部搭建了私有云系統。借助其現有安全防護體系，確保私有云的安全性。

云端數據需加強防護

惡意攻擊者實現成功地入侵并不是其最終目的，在當今互聯網時代，網絡犯罪集團的本質目的是為了最大化的獲取經濟利益。惡意攻擊者成功入侵后還需要找尋有價值的數據信息，并將這些信息竊取到惡意攻擊者的老巢里。如果這些數據已經被加密保護，那么惡意攻擊者還需要進行反向解密操作，獲取真實的數據。最后將這些數據販賣或者公布出去，惡意攻擊者才最終實現了自己的目的。

如果索尼采取了嚴密的數據丟失防護，那么哪怕惡意攻擊者成功入侵了索尼的云端服務器，也依然難以獲得有效的數據信息。但就在索尼被入侵不久，就有黑客在論壇上掛牌銷售220萬個來自索尼PSN網絡數據泄漏受害者的個人信息，雖然之前索尼曾表示信用卡信息已經得到加密，但事實上數據庫里的內容已經被讀出。目前看來，索尼對其云端數據的安全防護并不嚴密。也正因此，才又一次給惡意攻擊者打開了方便之門。

整個互聯網世界的本質，就是由“0”、“1”所組成的各類數據。可以說，互聯網的安全問題，本質上就是數據的安全問題。如果能夠實現對數據的嚴密防護，那么所有的惡意入侵都將變為無效的攻擊。

要相對云端的數據進行有效的防護，至少要做到三點：對數據的存儲容器數據庫做好嚴密防護；對數據自身進行加密保護；設置嚴謹的操作權限，使得惡意攻擊者找不到數據、拿不走數據、看不到數據。

從本次泄密事件來看，索尼在其云端平臺的數據安全防護方面似乎很薄弱，甚至可能是根本就沒有建立一個嚴謹的數據丟失防護體系。

云端安全管理至關重要

這次的索尼泄密門里最引人注目的一點是，在索尼方面發現遭遇入侵后的半個月時間里，索尼又接連遭遇黑客入侵卻束手無策，只能聽任惡意攻擊者隨意入侵其云端服務器，竊取各類用戶數據信息。這恰恰暴露了索尼對其云計算平臺的安全管理中，存在著致命的缺陷。實際上，正是在入侵事件暴露后，索尼才宣布新設立首席信息安全官一職，負責監管PSN網絡安全。

安全防護中最為重要的一個環節就是安全管理，一個企業即便購買并部署了眾多的安全防護設備，可如果沒有一個有效的安全管理體系，那么一切安全設備就都只是擺設。如果缺少了有效的安全管理，那么就不能實現有效的監督與制衡機制，無法及時發現潛在的安全威脅。

特別是對于云計算，大數據量聚集在云計算服務端，其背后所蘊藏的安全問題也極為驚人，網絡管理、安全管理缺一不可。但現在，云計算平臺的網絡管理已經被深入實施，而安全管理雖然已經被人們所認識，但依然缺乏具體的實施，索尼泄密門就是一件典型的代表事件。云計算平臺里的數據需要管理、云計算平臺里的應用需要管理、云計算平臺里的人員需要管理，安全管理涉及到云計算體系的每個部分。正是由于安全管理的缺失，使得惡意入侵者可以從容的、一次又一次的侵入索尼云端平臺，肆意竊取用戶數據。

云計算的未來要“杞人憂天”不要“因噎廢食”

索尼泄密門事件，折射了新互聯網時代下云計算的諸多安全問題。實際上，本次惡意攻擊者對索尼云平臺發起的入侵及數據的竊取還僅僅算是小試牛刀，惡意攻擊者所能造成的破壞還可以更大。比如：將惡意程序嵌入索尼云端平臺的各類應用程序里，借助索尼云服務平臺，進行更為廣泛的傳播，讓破壞力更加深入。

但是，云計算是未來發展的主流，云計算給人們帶來的便利遠大于其安全問題所帶來的損失，我們不能由于各類云計算安全事件的發生就因噎廢食。索尼泄密事件給了人們很好的警醒，讓人們更加清晰的發現了云計算的安全缺陷。為了保障云計算能更好的服務于人類，我們鼓勵在對待云計算安全問題上持“杞人憂天”的態度，從最壞的角度去思考、去預防，在保證用戶使用體驗的前提下，為云計算提供最為嚴密的安全防護。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]