黑客觊觎，云计算乌云罩顶（图）

发表：2010-03-19 03:08

在互连网发达的时代，资讯的自由流通，成为推动科技进步的强大动力。利用网络的云计算(Cloud Computing)，或称作云端运算，最近成为媒体关注的焦点。美国之音采访了两位网络安全专家，谈谈云计算及其潜在的安全威胁。

除了言论遭到审查的国家和地区之外，网络真正突破了国界，能够集合世界各地的人才，共同解决问题或创造发明。最近媒体经常提到的“云计算”，或称“云端运算”，就是基于这样的架构，并非新的观念。

网络安全防护公司趋势科技(Trend Micro Inc.)的资深技术顾问戴燊，向美国之音解释云计算的道理：“我们讲 Cloud Computing，它其实是一种技术，就是说，我今天可以用很多的机器，或者是很多的伺服器，来协同运算、储存，然后彼此可以做back up(备份)，让你可以很有效率地运用这样的技术，来取得你该使用到的计算能力，或者是它的服务。这我们就称它为云端运算。你可以把它当作就是一朵云，这些伺服器集合起来，做同样的一件事。”

戴燊进一步具体说明，其实我们在日常生活当中，就已经是“身在云端”了。他说：“你现在用的很多因特网服务，广义来讲它算是云端运算(云计算)的服务，比方说你可能用Google，用Yahoo，或者用Amazon这样子的东西，你家里的电脑不需要很强的CPU或者运算的能力，但因为它可以连上网络，可以输入一些关键字，或者去搜寻，或者去使用，这个back end，就是后端，云端的那一头，可以很快的给你一些答案，这样其实也是一种云端的服务，云端运算的方式。”

戴燊说，上述这种一般民众使用的，是公开的云，也有企业或组织建立自己私有的云，仅供内部人士使用。

不过云计算是架构在网络之上，而网上有病毒、恶意软件、黑客等，都会对云计算的用户造成威胁。

美国信息安全公司“安全工程”“SecureWorks”的首席技术长乔恩.拉姆齐(Jon Ramsey)谈到使用云计算可能遭遇的风险。他对美国之音说：“我想，对云计算最大的威胁就是系统性风险的概念。举例来说，我经常受到攻击，黑客经常想来突破我的安全防护，而没有人知道你，所以你很安全、清清白白。接着我加入云计算，将所有黑客的注意力也一起带进来了，接着你也决定进入到跟我同一个云计算当中，而因为我在和你共处的同一个基础设施当中，所以你也一起被攻击了。”

拉姆齐并且以最近谷歌遭到攻击为例，进一步说明系统性风险的概念。

他说：“有一个系统性风险的好例子。在谷歌事件当中，根据报导，Gmail的源代码(source code)被偷了，所以现在每一个Gmail的用户都很脆弱，因为Gmail的源代码被偷了。不只那样，所有Gmail用户的整个基础设施都在同一个地方，所以很合理的，想要得到、知道某些信息的黑客，就会针对这种集中的目标。”

今年年初，中国黑客攻击了谷歌公司的Gmail，尤其是针对中国维权人士的Gmail帐号。谷歌公司对此提出严正抗议。

现代人几乎每天都会徜徉在网络这朵“云”当中，享受里头几乎取之不绝、用之不尽的丰富资讯。美国之音采访了两位安全专家，介绍在使用云计算服务、或称云端运算服务时，需要注意的安全事项。

使用云计算服务的用户，面对的是深不可测的广大网络，到底这朵“云”安不安全，每个用户心中都有疑虑。

趋势科技的资深技术顾问戴燊向美国之音说明，在使用云计算服务时，有两种必须考虑的风险：“因为使用了云计算，你可能有一些资料会丢到因特网上面去，或者丢到这些服务的厂商去，让它们去做服务的内容，然后提供给你。第一就是我们使用者，你信不信任这家公司，或者是说你在使用这个因特网的连结的时候，本身是不是有加密。我们现在使用者用云端的资讯，接触变化大，黑客攻击的机会会变多，这是我们自己要注意的。另一个就是这些云端服务的业者，它怎样保护它的云计算，这是另一个课题。”

网络安全专家戴燊

美国信息安全公司“安全工程”“SecureWorks”的首席技术长乔恩.拉姆齐向美国之音解释说，云计算的复杂架构，增加了维护安全的难度，并使问题更难解决。

拉姆齐说：“传统上，对于安全威胁的反应会是，如果我认为这台机器的安全防护被突破，已经被黑客给控制住了，传统的做法是把这台机器从网络上拔掉，然后对它作科学鉴定分析，看看安全是如何被突破的，以及被人动了什么手脚，就像谷歌事件。在云计算的环境里，你大概根本不知道有问题的机器是哪一台，而就算你知道了，机器的供应者也不太可能让你就把机器搬走，因为那台机器不只对你提供服务，也同时对其他云计算用户提供服务。”

第三个威胁是因为云计算服务还很新，所以还没有一个很明确的规范和组织，对于整体架构是否健全、连线是否能达到99.9%的稳定度、以及一旦死机能否保存或修复资料等问题，都是潜在的威胁。

微软公司在1月20号于布鲁金斯研究所的座谈会上，呼吁国会与科技业界携手合作，确保云计算的安全性。3月1号，美国网络软件公司Novell与云端安全联盟 CSA（Cloud Security Alliance）共同宣布了第一个云计算的安全性认证、教育和推广计划。该联盟成员包括微软、戴尔、英特尔等大科技公司，以及来自全球前2000的大企业与世界各国政府组织。

之前谷歌遭到攻击事件，黑客是利用微软浏览器 Internet Explorer 6 程式当中的漏洞而突破安全防护的。之后谷歌表示将逐步减少其支援 IE6 的服务，并且从3月1号起，如 Google Docs、Google Sites 等服务都将无法与 IE6 妥善运作。

这是否代表某些浏览器比其他浏览器要来的安全？趋势科技资深技术顾问戴燊认为，理论上来说可能某些浏览器比较安全，但原因不是由于其技术较为先进，反而是因为它的功能少。

戴燊向美国之音解释说：“浏览器每次开某一些网页的时候，网页的内容要呈现，基本上在电脑上面来讲，就是你允许电脑去打开你连结到网址上的所有东西。因为这些黑客写的这些程式，知道浏览器本身的一些弱点，在开启的时候，就取得你浏览器的控制权，甚至取得你系统的控制权。严格来讲，每个浏览器都有它的风险存在，你拿一些功能比较少的浏览器来看网页，理论上会比较安全，因为有一些东西它没有能力打开，可是这会造成你浏览的使用不便。”

戴燊表示，坊间有些安全程式以及防毒软件都可以为使用者进行资料加密，这样即使资料被窃取，黑客也必须要能够解码，才能获得其中资讯。

苹果公司一向标榜该公司电脑的安全性比PC以及微软系统要高，这是否表示若用户使用苹果电脑来进行云计算，会比较安全？拉姆齐认为，在目前的确是如此，但要完全保证安全，还是要培养良好的使用习惯。他对美国之音说：“在恶意软件和病毒这方面，比较起来，显然针对苹果电脑的病毒，比针对微软的要少。事实的确如此。但只要一个病毒，就能瘫痪掉电脑，所以就跟哪个网络浏览器比较好的问题一样，它们都是科技产品，它们都有弱点。重要的是，你有安全的使用电脑习惯。最重要的是，让操作系统和软件都保持最新的版本。”

拉姆齐指出，其实我们一般在网络上利用YouTube网站观赏影片，或使用Facebook等社交网站，都暴露在危险之下，因为可能在影片播放的同时，一些恶意软件或木马程式便悄悄的植入到我们的电脑当中了。所以他建议最保险的方式，就是家中准备两台电脑，一台供上网，另一台不上网，用来储存个人重要与机密的资料，以确保资料安全。

云计算能够结合世界各地网络使用者的聪明才智，让互不认识的人也可以享受到他们的智慧果实。但也要注意保持良好网络使用习惯，让网络上的这一朵朵“云”保持多采多姿，而不要被黑客入侵，变成了一朵朵的乌云。

来源:美国之音

【诚征荣誉会员】溪流能够汇成大海，小善可以成就大爱。我们向全球华人诚意征集万名荣誉会员：每位荣誉会员每年只需支付一份订阅费用，成为《看中国》网站的荣誉会员，就可以助力我们突破审查与封锁，向至少10000位中国大陆同胞奉上独立真实的关键资讯，在危难时刻向他们发出预警，救他们于大瘟疫与其它社会危难之中。