無論音樂分享、網絡通訊錄同步還是網絡文件存儲，你的文件、資料、密碼等等等一切東西，都開始從本地硬盤向服務器"云端"轉移，"云端"在網民們整個的活動中變得越來越有價值。《瑞星2011上半年安全報告》中，闡述了"云端"遇到的問題，瑞星專家對這些問題進行了深入解析。

從2006年8月，Google開始提出云計算（Cloud Computing）概念的時候開始算，"云"的概念已經熱了整整五年，已經在多個領域深入人心，尤其受到了IT業界、媒體和用戶的熱捧。無論軟件廠商、硬件廠商、手機廠商還是互聯網廠商，都紛紛拋出自己的"云計算"計劃。

但大家說來說去，通常都是說"云"的優點，包括隨時獲取，按需使用，隨時擴展，按使用付費等等優點被一再提起。但是在安全性上，就說的不是那么多，畢竟在行業內，"可用性"的權重要遠高于安全性。而且安全這個東西，在事故未發生之前，通常是被放在最后考慮的。

云計算服務自身的安全隱患隨著應用的不斷深入逐漸暴露出來。Gartner咨詢公司首席安全分析師John Pescatore表示，云計算的方法最初沒有考慮安全性的設計。那么，云計算的安全性到底如何，應該如何提高云計算的安全性，在使用云計算的過程中，用戶應該注意什么呢？

在討論問題之前，先明確一下"云計算"的定義："狹義云計算指IT基礎設施的交付和使用模式，指通過網絡以按需、易擴展的方式獲得所需資源；廣義云計算指服務的交付和使用模式，指通過網絡以按需、易擴展的方式獲得所需服務。---百度百科"

??

[[38105]]

（Google設立在比利時的數據中心）

Google所說的"云計算"，就是把自己的服務器集群看作"云"，普通網民可以通過瀏覽器來享受Google docs、Google music、Gmail等服務，這些就是最簡單的云計算的典型場景。事實上，無論是利用亞馬遜S3來提供服務的Dropbox，微軟推出的在線文檔服務live office，還是蘋果最新發布的云端服務iCloud，都屬于面向普通網民的"云端服務"。

??

[[38106]]

（喬布斯在發布會上做關于iCloud的演講）

仔細看看這些應用，你就會發現，無論音樂分享、網絡通訊錄同步還是網絡文件存儲，你的文件、資料、密碼等等等一切東西，都開始從本地硬盤向服務器"云端"轉移，"云端"在網民們整個的活動中變得越來越有價值。以前，本地硬盤上的文件丟了，你會抓耳撓腮恨不得拿腦袋撞墻，現在最先作出的舉動是：趕緊去翻翻郵件記錄，看看當初的附件還在不在。#p#

如上所說，"云"滲入生活，確實給用戶帶來了不少方便。但同時，如此多有價值的東西儲存到云端，也帶來了大量安全問題：

1、法律和侵權風險。

因為"云端（服務器）"所在的地域不同，使用期間可能面臨的法律風險也會大不相同。比如，外國人在某些保留皇帝的國家的服務器上存儲了冒犯皇室的文件，將可能面臨刑事指控；在我國的香港特別行政區，在商業業務中安裝盜版軟件，最高刑期將高達4年。

雖然網絡無邊界，但用于進行"云計算"業務的服務器畢竟真實的處于各國法律的管轄之下，因此，對于"云計算"的不當應用，將可能面臨極其嚴重的法律風險和侵權風險。

2、隱私泄露風險。

無論在線office軟件、電子郵箱還是SNS帳號，通常都可以根據其資料來了解使用者的一些私密信息。例如，網民通過在線office處理公司文檔，如果服務提供商不對其進行嚴格的安全保護，就可能通過內部人員泄漏、其他用戶的非授權查看等途徑泄漏隱私，給公司的正常運作帶來嚴重影響。

2011年6月初，谷歌宣布有人入侵了數百個Gmail用戶的個人賬戶。這些賬戶屬于具有一定知名度的重要人士，包括美國高級政府官員、韓國及其他亞洲國家的官員，以及軍隊相關人士和新聞記者等。

在國內，這樣的事情更是屢見不鮮，某些網站會把用戶資料出售進行牟利，也有的因為公司管理制度不嚴格，導致公司內部員工獲取了本來不該獲取的信息，利用這些信息來謀取利益。例如，2011年6月，香港私隱專員公署發表調查報告透露，有五間銀行于2008至2009年期間，轉移客戶的個人數據提供予第三者，包括永亨、富邦、花旗和工銀亞洲。

3、非授權訪問風險。

并非所有的"云計算"提供商都有嚴格的安全管理流程，有時候心懷叵測者可以通過技術手段或其它手段，來獲取到用戶的機密信息。

2005年12月，《紐約時報》援引一些前任和現任美國政府官員的話說，美國國家安全局獲得了美國各電信運營商的合作，獲得了接入國內和國際通信網的"后門"通道，秘密收集了大量電信數據和很多電話交談信息，包括監聽國際長途和與"基地"組織有關的嫌疑人的國際電子郵件。

美國司法部曾向Twitter發出一份法庭命令，要求Twitter提供與維基解密關系密切的幾名激進分子的帳戶信息。主要注意的是，司法部發出并非傳統的法庭傳票，而是直接的"命令"--2703（d）命令。這種法庭命令允許警方從某網站或網絡服務供應商處強制提取與正在進行的刑事調查有關的特定記錄。

（利用tag標簽，FBI企圖挖掘恐怖分子的更多信息）#p#

4、病毒和黑客攻擊

通常情況下，"云端"為數百萬、數千萬甚至上億用戶提供不間斷的服務，一旦作為服務中心的節點出現安全問題，則會極大影響到網民的正常生活。

2010年1月，國內最大的搜索引擎百度遭遇域名劫持攻擊，服務幾近癱瘓，使得已經習慣"有了問題百度一下"的網民束手無策，焦慮萬分。而追究事情的起因，則是因為其域名托管商管理不善，黑客冒充百度的管理者發送郵件，從而對baidu.com域名進行了劫持。

除了域名劫持之外，分布式拒絕服務攻擊 (DDOS，Distributed Denial of Service)、網站統計系統攻擊、跨站腳本攻擊等，也是攻擊云計算提供商及其用戶的常見手段。

6月28日晚間，新浪遭遇大規模的蠕蟲病毒入侵，眾多名人草根莫名地發送垃圾私信，許多微博開始不斷刷屏，轉發垃圾鏈接，同時都在關注一個名叫"hellosamy" 的人。就這樣一個多小時竟然傳染3萬多微博用戶。

這是通過跨站腳本蠕蟲攻擊，來攻擊大型網絡的最新案例。同樣的攻擊手法，可以應用到微博類網站、博客網站、社會化分享網站等，可以以極小的代價，來癱瘓用戶眾多的服務和應用。

5、跨平臺帶來的安全問題

除了上述四個風險之外，云計算還有另外的安全風險，那就是針對跨平臺應用帶來的安全問題。例如，Dropbox可以在PC、安卓手機、iPhone和iPad上使用，即使PC端和服務器上的安全設置做的完美無缺，那么黑客可以利用安卓系統漏洞、手機木馬等方法遠程竊取資料、操縱用戶的手機。

而隨著智能手機和平板電腦的普及，利用移動網絡進行電子支付、網絡購物、網絡音樂存儲和分享等應用在呈現爆發式增長，移動設備的安全瓶頸，已經成為"云計算"整個鏈條上最為薄弱的環節。

綜上，既然"云"已經成了人們網絡生活中不可或缺的部分，在享受他帶來的便利的同時，如何盡量降低其帶來的安全風險，已經成為擺在所有網民、廠商、相關部門和機構面前的重要課題。