作者:vickie
云计算虚拟环境的安全风险分析
云计算即虚拟化,虚拟化的安全是云计算特有的安全内容,这些体现在虚拟机映像文件的安全风险、虚拟机隔离的安全风险、虚拟机监视器的安全风险、虚拟机软件代码安全风险、硬件安全风险、虚拟化环境管理的安全风险等方面。
映像文件的安全风险
在使用虚拟机的各种目的中,很重要的一类是希望能将虚拟机上的重要信息与宿主操作系统或其他虚拟机隔离。这些信息都存储在虚拟机的存储设备上。例如有很多人愿意在虚拟机中进行他们的网上银行或网上交易操作,另外也有公司或团体希望他们的员工在高安全性的虚拟机中访问他们的安全网络,这样可以保证存储在本地的数据是在虚拟机的虚拟存储器中,而不是直接 在宿主机的文件系统中。但是如果宿主操作系统不安全,那么存储在虚拟存储器中的数据,其安全性并不比存储在宿主计算机硬盘上的数据高多少。
虚拟机的硬盘等存储设备是虚拟机虚拟出来的存储设备,这些虚拟存储设备的安全性是虚拟机安全性的重要组成部分。虚拟存储设备中的数据,最常见的保存方法就是在宿主操作系统上建立一个文件来保存。例如,在Virtualbox中,虚拟机的硬盘是由一个后缀名为VDI的虚拟硬盘文件保存,而Vmware的虚拟机硬盘则是使用后缀名为VMDK的虚拟硬盘文件保存。通常这样的文件被称为映像文件(ImageFile),每个虚拟机的客户操作系统的文件系统都完整的保存在它们各自的映像文件中。
在大部分的虚拟机技术中,映像文件位于宿主操作系统的文件系统中。由于映像文件裸露在宿主操作系统的文件系统中,因此无论宿主操作系统是何种操作系统,宿主操作系统上运行的恶意代码总是能够对映像文件进行读写或其他期望进行的操作。
因此,恶意代码从宿主操作系统中对映像文件进行读写就成为破坏虚拟机或窃取虚拟机信息的一条可能的途径同时也是非常高效、非常直接的途径。由于虚拟机对虚拟存储器的操作最终都会转换成宿主操作系统对映像文件的操作,导致映像文件很难从宿主操作系统的文件系统中完全隔离出来。而在宿主操作系统上检测到已安装的虚拟机以及他们的存储文件位置是很容易的。因此映像文件 在宿主操作系统的文件系统中,容易被恶意代码读写,存放在其中的保密信息有可能因此泄密或被破坏,这成为了映像文件在虚拟机系统安全性上的一个重要弱点。而防止映像文件被宿主操作系统上的恶意代码读写则成为了一个重要的安全防范环节。
以明文方式存储在宿主操作系统中的映像文件提供了足够多的信息供宿主操作系统上运行的软件或恶意代码从其中获取到所有客户操作系统的文件信息和数据,甚至恶意代码可以用病毒或其他文件替换掉映像文件中的文件。
因此,对于将映像文件保存在宿主操作系统中的虚拟机而言,客户操作系统的安全性和隔离性都无从谈起。
映像文件可被读写成为了虚拟存储器乃至虚拟机系统安全性的短板。少数虚拟机技术可以给客户操作系统提供独立的硬盘逻辑分区,从而可以与宿主操作系统进行有效的隔离,但这种方式在存储资源的分配上是低效的,因为每建立一个虚拟机就要分配一块固定大小的硬盘空间给它,而不关心这个虚拟机实际上需要多大的硬盘空间来存储它的映像文件,事实上大部分虚拟机技术都支持动态尺寸的映像文件,可以根据实际需求来增加或缩减映像文件的大小。此外建立独立的硬盘逻辑分区本身也是一件非常麻烦的事情,试想在一台物理服务器上如果要同时运行几百或上千台虚拟机,建立这么多个硬盘逻辑分区是多么痛苦的一件事情。建立独立的硬盘逻辑分区也不能像建立映像文件那样随时可以根据需要创建或删除,在管理上是非常麻烦的。最后也很难实现虚拟机在多个物理服务器上的高效迁移,而虚拟机在物理服务器上的迁移是虚拟机技术在服务器领域的重要应用之一。
虚拟机隔离的安全风险
虚拟层能否真正地把虚拟机和主机操作系统安全地分隔开来,虚拟机中的恶意程序会否通过某种方式比如利用虚拟机管理软件系统本身的漏洞突破虚拟机的限制范围,入侵到物理主机或者同一台物理主机上的其他虚拟机?事实上,这一可能性是存在的,前不久,安全研究人员就在虚拟化软件VMware的Mac版本Fusion中发现一个严重安全漏洞,利用该漏洞可以在主机操作系统上读取和写入内存,也就是可以通过Windows虚拟机在Mac主机上执行恶意代码。实际上目前已经出现了虚拟机感知式恶意软件(如RedPill)以及rootkits软件(如BluePill),甚至黑客还可以利用虚拟化技术来隐藏病毒、特洛伊木马及其他各种恶意软件的踪迹。
虚拟机系统通过虚拟全部的硬件,把上层的计算机系统隔离开,从而降低了安全缺陷可能的影响。然而,虚拟机技术仍旧面临隔离不完善的问题,这包括:
(1)许多虚拟机必须运行在一个宿主操作系统上,而这个宿主操作系统的问题就会影响到整个虚拟机的运行。由于虚拟机的配置和管理在其宿主操作系统上,所以,宿主操作系统的问题就有可能传播到其他操作系统上去。
(2)虚拟机系统实现对硬件的虚拟,但多个操作系统仍旧通过虚拟机系统操作同一个硬件,这使得这种隔离完全依赖于虚拟机系统的正确性。部分虚拟机允许直接共享硬盘,部分虚拟机允许直接共享其他外设。这样的共享仍旧会带来病毒的传播和系统间间接的相互影响。
(3)对于类似的Xen虚拟机系统来说,其存在一个功能较其他Domain强的管理Domain0,如果此Domain瘫痪或者被敌手攻破,那么将破坏整个虚拟机系统。
(4)由于系统虚拟机中有共享资源分配等操作,这就带来了隐通道的问题。例如,一个应用可以通过不停的申请消耗特定资源的方式来传递信息给其他Domain中的应用。
早在2008年2月,核心安全技术公司(Core Security Technologies)就宣布发现了VMWare虚拟机的一个安全漏洞。公告中称,VMWare的这个漏洞,可以使得攻击者在下层的宿主操作系统中修改以及增加文件。
2009年7月末在美国举行的BlackHat黑客大会上,Immunity提供了一个叫做Cloudburst的工具的详细介绍,该工具是由高级安全研究院Kostya Kortchinsky开发的,它可以利用VMWare6.5.1或者更早版本(比如VmwarePlayer,Server,Fusion,ESXi和ESX)中显示函数的漏洞来对实现对宿主操作系统的攻击。Cloudburst利用了上层虚拟机和物理设备(比如视频适配器、软盘控制器、IDE控制器、键盘控制器或者网络适配器)之间的依赖关系来获取主机权限。在黑客大会上,Kostya Kortchinsky演示了如何利用主机内存泄露来进入其他虚拟机,以及从虚拟机上对主机的内存的任何位置进行任意的写操作。
尽管在Cloudburst公布的四天之后,VMWare公司就对这些漏洞打了补丁,但是这个说明了,虚拟机虽然通过虚拟技术把上层虚拟机进行隔离,但是宿主操作系统中仍会有漏洞被攻击者利用,攻击者可以获得主机权限,对宿主操作系统进行读写操作,或进入到其他虚拟机中。
虚拟机监视器的安全风险
VMM就是虚拟机监视器(又称为Hypervisor),是虚拟机的管理工具,并提供底层机器硬件的虚拟化服务。它可以在一个系统上管理多个虚拟机,如果被控制或篡改,可以对其上层的操作系统和应用进行攻击。
VMM主要面临着两种安全威胁,其一是VMM可能泄露宿主操作系统或计算机的敏感信息或者向敌对进程提供了访问接口。其二是VMM执行了宿主操作系统上的恶意代码。
虚拟机软件代码安全风险
作为复杂的软件系统,虚拟机技术的实现必然伴随着为数不少的软件代码漏洞。在WMWare Work Station and Server、Bochs以及XEN等几款常见的虚拟机的客户操作系统中运行测试软件IOFuzz后,所有的虚拟机系统都出现了非正常的错误。这表明,目前人们使用的虚拟机软件的代码并非无懈可击的,与其他大型的软件一样,虚拟机软件也会存在漏洞。
潜在的硬件安全风险
由于多台虚拟机共用一台物理计算机,从而带来额外的风险。由于多台虚拟机实际上都运行在同一个宿主操作系统中,同时也是运行同一套物理设备上,那么他们共用的这些设备以及这些设备的驱动就成为了一个安全弱点。例如所有的虚拟机实际上都是真实的那块网卡进行通讯的,而显示器和键盘也是共用的I/O设备,并且接受所有虚拟机的控制。也就是说,某个虚拟机或宿主操作系统上的恶意代码只要控制这些公共设备,就可以获得超过它所应有权限的访问和控制能力。
虚拟化环境管理的安全风险
维护一台启动了多个虚拟机的服务器并保证它的安全性要比维护一台普通的服务器难得多。虚拟技术可以在一台物理计算机上虚拟出多台系统,可用于服务器、存储阵列等;这虽然节省了企业成本,但给服务器管理部门的管理维护提出了更高的要求,而且多台服务器放在一台物理计算机上会增加不安全因素。
首先,那些对真实的服务器会造成威胁的手段,通常对虚拟服务器也是有效的;并且,当一台物理服务器存在安全漏洞时,运行在这台物理服务器上的所有虚拟服务器以及虚拟服务器中的应用就都会出现危险。因此虚拟服务器比传统的物理服务器甚至要多面临一份风险。
其次,由于虚拟服务器的管理是交给虚拟服务器用户的,物理服务器的管理方通常没有权限或能力去对虚拟服务器进行管理,所以当虚拟服务器上出现安全漏洞时,只能期望虚拟服务器的用户能够意识到并解决这些漏洞。同时随着虚拟服务器的数量增多,在一台物理服务器上会累积很多的虚拟服务器以及运行在这些虚拟服务器上的应用,一旦爆发安全问题,大量的集中运行的虚拟服务器和应用就会放大这些安全问题的破坏力。因此必须要重视虚拟服务器的管理,在宿主操作系统中要安装专门的虚拟服务器管理工具,并制定严格的策略,控制虚拟机的数量和安全漏洞。而且,服务器管理员应该深入了解每个虚拟应用的业务依赖关系,理清头绪;并建立单独的针对虚拟机的补丁操作和管理策略。
最后虚拟环境还会对网络访问控制造成一定影响;因此服务器管理员要制定网络访问控制策略,来控制每一台虚拟机的访问。
虚拟机管理方面的安全风险还包括:
(1)虚拟化环境补丁派发麻烦
当虚拟化环境安装补丁后,系统可能须要重启,将造成运行于该评台上之虚拟机的服务中断。最好的办法是,做好补丁派发计划,在安装补丁前,将运行中的虚拟机事前先迁移至其它虚拟化平台后,再行安装补丁。
(2)安全防护机制资源冲突与防护间隙
当每一虚拟化服务器都安装相同的安全防护机制时,有可能造成资源冲突;例如,所有的虚拟机都同时进行扫毒,将造成同时大量抢占CPU、内存及存储资源,而导致该虚拟化平台上所有虚拟机都无法正常运行。此外,若采用基于主机的安全防护方案,有可能在虚拟机启动时,产生防护间隙,而成为整个虚拟化平台中最薄弱的环节。对传统的安全方案,可采用限定某一时间段,随机进行病毒扫描或其它安全检查,避免资源的冲突;最佳的方法,是迁移至新一代云安全防护解决方案,透过统一的安全虚拟机进行安全防护,避免资源冲突与防护间隙。
(3)不易对虚拟机执行与套用安全策略
由于云具有动态调度的特性,虚拟机通常不会固定运行于同一虚拟化平台,亦有可能随需求临时启动新的虚拟机,不易将安全策略套用到传统的安全防护机制。解决方式是在各虚拟化平台建立安全监控虚拟机,负责虚拟化平台的安全防护,并结合资源调度系统,动态派发安全策略。
(4)容易出现非法的虚拟机
传统的数据中心,所有设备进出均须获得审批,并由不同人员负责管控;在虚拟化环境中,建立或启动一虚拟机相当容易,管理员极为容易添加或启动一个非法的虚拟机。这需要建立虚拟机安全管控流程,所有虚拟机的添加、启动与管理,均须依循该流程,并定期进行安全审计。
(5)虚拟机映射容易到处散播
虚拟机镜像是以文件的形式存在,可随意复制与散播,不但更易于泄密,攻击者或竞争对手更可轻易地复制一个完全相同的运行环境。解决对策是,建立虚拟机的管控流程,并建立数据防泄漏监控机制。
(6)数据彻底销毁不易
云端的数据存放于一共享的虚拟化资源池,服务供应商为确保服务的持续运行,会对整个存储资源池进行备份;但当某个租户决定退租时,要求将所有数据删除,由于数据散播在多个备份媒体中,服务供应商不易完全删除所有备份中该客户的数据。那么对所有敏感数据均应进行加密,避免因备份数据未删除,导致敏感数据外泄。
由云计算带来的信息安全问题有以下几个方面:
(1)特权用户的接入:在公司外的场所处理敏感信息可能会带来风险,因为这将绕过企业IT部门对这些信息“物理、逻辑和人工的控制”。企业需要对处理这些信息的管理员进行充分了解,并要求服务提供商提供详尽的管理员信息。
(2)可审查性:用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审查。面对这样的提供商,用户只能用他们的服务做一些琐碎的工作。
(3)数据位置:在使用云计算服务时,用户并不清楚自己的数据储存在哪里,用户甚至都不知道数据位于哪个国家。用户应当询问服务提供商数据是否存储在专门管辖的位置,以及他们是否遵循当地的隐私协议。
(4)数据隔离:在云计算的体系下,所有用户的数据都位于共享环境之中。加密能够起一定作用,但是仍然不够。用户应当了解云计算提供商是否将一些数据与另一些隔离开,以及加密服务是否是由专家设计并测试的。如果加密系统出现问题,那么所有数据都将不能再使用。
(5)数据恢复:就算用户不知道数据存储的位置,云计算提供商也应当告诉用户在发生灾难时,用户数据和服务将会面临什么样的情况。任何没有经过备份的数据和应用程序都将出现问题。用户需要询问服务提供商是否有能力恢复数据,以及需要多长时间。
(6)调查支持:在云计算环境下,调查不恰当的或是非法的活动将难以实现,因为来自多个用户的数据可能会存放在一起,并且有可能会在多台主机或数据中心之间转移。如果服务提供商没有这方面的措施,那么在有违法行为发生时,用户将难以调查。
(7)长期生存性:理想情况下,云计算提供商将不会破产或是被大公司收购。但是用户仍需要确认,在发生这类问题的情况下,自己的数据会不会受到影响。用户需要询问服务提供商如何拿回自己的数据,以及拿回的数据是否能够被导入到替代的应用程序中。
尽管存在这样那样的疑虑,但云计算确实极具发展潜力,云计算可以帮助企业大幅降低IT成本,显著提高工作效率和灵活性。一旦业界找到一些完善的安全保障解决方案,云计算就能得到大规模推广。
云计算时代的国家安全
云计算是一种崭新的互联网应用模式,具有超大规模、虚拟化、高可靠性、通用性和成本低廉等特点,它的出现彻底改变了旧有的互联网应用模式,被称为科学技术领域里的又一次革命。与此同时,由于极高的技术和资金门槛,“云计算”正日渐被美国等少数国家高度集中和垄断,给众多发展中国家的政治、经济、科技,甚至国家安全带来了新的冲击和挑战。
时下,“云计算”这一互联网领域的新概念,正越来越快地走进人们的现实生活。国际各大IT巨头已围绕“云计算”技术纷纷布局,大肆“圈地”,在信息应用领域展开了一场没有硝烟的战略博弈。“云计算”在颠覆原有互联网应用模式的同时,也给国家安全带来了新的挑战,如果不能积极采取措施,建设自有的“云计算”设施,那么我们得到的恐不是便捷的“云”服务,而是一个国家安全受到严重威胁的黑云时代!
新安全问题凸显
众所周知,在全球化时代,在科技力量塑造着经济关系新逻辑的今天,跨国企业将越来越拥有超越国家的影响力,甚至在政治方面亦如此。同时,专家还指出,未来国家的综合实力,很大程度上将取决于互联网建设和管理能力,而“云计算”则将成为互联网应用的核心和依托。因此,“云计算”的这种垄断发展趋势,将使众多国家,特别是发展中国家的安全面临着严峻挑战。
国家发展壮大新增长点的争夺加剧。当今世界,高性能计算已成为理论和试验之外的第三种科学研究手段,计算能力因而成为衡量一个国家综合国力和科学研究能力的指标,成为一种重要的战略资源,其重要性不亚于石油和其他战略物资。在实体的超级计算机研发耗资巨大且性能突破受到物理制约的条件下,相当于虚拟超级计算机的“云计算”则可无限扩充,并以更低成本、更高的计算能力和更方便的应用环境为国家重要战略领域的高端研究提供支撑。据报道,美国有多家科研机构都在尝试通过“云计算”来提供大量科研数据和超级计算机的运算能力,以便推动科研平民化的进程,动员更多的研究力量,促进科研在更大规模、更高层次上开展。这是一个非常重要的信号。许多发展中国家包括我国科研领域一直寄期望在信息网络时代,通过借助信息化的手段来缩短科研水平同发达国家的差距,甚至超越他们。但是随着“云计算”时代的到来,如果我们不能在“云计算”方面获得长足发展,就很有可能将加大同发达国家的差距,丧失占据发展壮大新制高点的有利时机。
国家信息安全和主流文化传播问题凸显。网络作为信息承载体,已成为继领土、领海、领空之后的第四维空间,并对现实空间有直接制约作用,其战略地位不亚于领土、领海和领空。这是因为,信息除了与国家政治、经济等方面密切相关之外,更直接融入普通民众的日常生活,对民众的心理和意志影响重大。胡锦涛主席曾指出:“互联网已成为思想文化信息的集散地和社会舆论的放大器,我们要充分认识以互联网为代表的新兴媒体的社会影响力”,“必须加强主流媒体建设和新兴媒体建设,形成舆论引导新格局”。奥巴马政府将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产”。目前,互联网基础设施大部分掌握在美国手中,从域名的根服务器到诸如谷歌、微软等公司提供的各类网络与个人应用。虽然人们期望互联网成为一种“全球公共产品”,然而,在1991年海湾战争时期,美国将所有伊拉克国家域名的网站全部封锁,并激活预先安装在伊拉克军队打印机中的所有病毒;不久前,微软公司主动切断了古巴、朝鲜、叙利亚、伊朗和苏丹等5国服务,导致5个国家的用户都无法登陆MSN;谷歌禁止苏丹网民下载谷歌即时通信(IM)和地图服务软件,而雅虎、AOL等互联网服务商亦有可能针对上述国家采取类似措施……联想到这些互联网垄断设施造成的安全隐患,令人如坐针毡。如果未来国家的全民数据都高度集中在国际公司的“云计算”中心,那么,国家信息更存在“去国家化”的风险,大量的信息聚合后若被进行别有用心的分析、挖掘,国家信息安全将受到严峻考验。
国家面临的网络战争威胁加大。未来战争,制信息权即制胜权,因而制网权已成为各国继制海权、制空权、制天权之后的又一重要争夺焦点。早在2003年,美国总统布什就颁布了《美国保护网络空间国家战略》和相关政策;奥巴马政府也于2009年5月29日公布了名为《网络空间政策评估--保障可信和强健的信息和通信基础设施》的报告,强调美国21世纪的经济繁荣将依赖于网络空间安全;2009年6月23日,美国防部长盖茨正式下令组建网络战司令部,正式引发各国间的“网络军备竞赛”。英国于近期出台了首个国家网络安全战略,计划征召包括黑客在内的网络精英护卫网络安全。日本已经组建一支由计算机专家组成的约5000人的网络战部队,专门从事网络系统的攻防。俄罗斯、法国、德国、新加坡等国也赋予网络战极高的地位,都在加强网络战的研究与建设,相继成立了网络战机构或部队。2008年,北约成员国已经商定,其条约规定的“集体防御”同样适用于网络空间,即某成员国遭遇网络袭击时,其他国家应给予政治、经济甚至是军事支持。而“云计算”剥去其华丽外表,在本质上就是互联网的中枢神经系统。因此,它的发展,不仅是商业行为,不仅是一种信息技术应用模式的更新,亦是涉及互联网中枢神经控制与争夺的较量。
是挑战也是机遇
有鉴于此,一些发达国家政府开始积极部署、主导国家“云计算”发展。美国为了巩固其信息霸权,一方面积极在军事领域部署“云计算”架构,另一方面也大力支持其IT公司的全球“云计算”发展战略。美国目前实际上控制着全球互联网,但互联网发展和应用到今天,越来越多的专家认为,应该将其置于国际组织而不是美国的管理之下。欧盟官员已明确提出,希望美国将互联网管理权尽快移交给国际组织。“云计算”的提出,正好为美国提供了新的机会:一旦全球信息的流动、存储和处理都要通过美国IT巨头在互联网构建的“云”来进行,那么美国就牢牢掌握了对全球信息的绝对控制权。
同时,“云计算”还被视为可助美国早日摆脱金融危机困扰的新一轮信息技术变革,是美国提高信息实力战略的关键,是美国在21世纪夺取和保持竞争优势的重要方式。2009年3月,美国总统奥巴马任命了新的联邦政府首席信息官,负责监管高新技术的推广和应用,其核心就是“云计算”。英国在最近发布的“数字英国报告”中,呼吁加强政府的“云计算”部署。韩国政府2009年12月决定,在2014年之前向“云计算”领域投入巨资,争取使韩国“云计算”市场的规模扩大为目前的4倍,并将韩国相关企业的全球“云计算”市场占有率提高至10%。
毋庸置疑,跨国企业在“云计算”领域的咄咄逼人和各国政府对“云计算”发展的深远谋划,对我国政治、经济、科技和国家安全都形成了严峻挑战。如果我们不具备自有“云计算”实力,那么绝大多数企业和个人为了满足应用需要,将别无选择地通过如上所述的“云计算”中心存储和处理各类数据。同时,国家和军队信息化建设的发展将越来越受制于国际IT巨头制定的信息化标准和规则。当然,“云计算”的发展也为我国带来了新的发展机遇。一方面,它的智能管理算法为解决我国信息化建设中的综合集成问题,提供了一种崭新的思路。另一方面,经过多年信息化建设,我国信息化基础设施已经达到了相当的规模和水平,而且拥有全球最庞大的需求市场,如果充分发挥集中力量办大事的制度优势,就完全有可能构建国家主导的自有“云计算”设施。
“云计算”的战争刚刚拉开序幕,不同的竞争对手尚处在同一个起跑线上。抓住机遇,我们就能在新一轮的变革中赢得更多主动,否则,就有可能被“云计算”主导的新信息化时代所抛弃,甚至置身于新的国家和军事安全危机之中。
云计算时代下的制网权
专家指出,未来国家的综合实力,很大程度上将取决于互联网建设和管理能力,而“云计算”则将成为互联网应用的场合依托。因此,“云计算”的这种垄断发展趋势,将使众多国家,特别是发展中国家的安全面临着严峻挑战。国家发展壮大新增长点的争夺加剧。美国有多家科研机构都在尝试通过“云计算”来提供大量科研数据和超级计算机的运算能力,以便推动科研平民化的进程,动员更多的研究力量。促进科研在更大规模、更高层次上开展。这是一个非常重要的信号,许多发展中国家包括我国科研领域一直寄期望在信息网络时代,通过借助信息化的手段来缩短科研水平同发达国家的差距,甚至超越他们。
国家信息安全和主流文化传播问题凸显。网络作为信息承载体,已成为继领土、领海、领空之后的第四维空间,并对现实空间有直接制约作用,其战略地位不亚于领土、领海和领空。奥巴马政府将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产”。目前,互联网基础设施大部分掌握在美国手中。虽然人们期望互联网成为一种“全球公共产品”,然而,在1991年海湾战争时期,美国将所有伊拉克国家域名的网站全部封锁,并激活预先安装在伊拉克军队打印机中的所有病毒;不久前,微软公司主动切断了古巴、朝鲜、叙利亚、伊朗和苏丹等5国服务,导致5个国家的用户都无法登陆MSN⋯⋯联想到这些互联网垄断设施造成的安全隐患,令人如坐针毡。
国家面临的网络战争威胁加大。未来战争,制信息权即制胜权,因而制网权已成为各国继制海权、制空权、制天权之后的又一重要争夺焦点。2009年6月23日,美国国防部长盖茨下令组建网络战司令部,正式引发各国间的“网络军备竞赛”。英国于近期出台了首个国家网络安全战略,计划征召包括黑客在内的网络精英护卫网络安全。日本已经组建一支由计算机专家组成的约5000人的网络战部队,专门从事网络系统的攻防。2008年,北约成员国已经商定,其条约规定的“集体防御”同样适用于网络空间,即某成员国遭遇网络袭击时,其他国家应给予政治、经济甚至是军事支持。而“云计算”剥去其华丽外表。在本质上就是互联网的中枢神经系统。因此,它的发展,不仅是商业行为,不仅是一种信息技术应用模式的更新,亦是涉及互联网中枢神经控制与争夺的较量。
云计算与商业秘密保护
Gartner咨询公司副总裁兼分析家David Cearley表示使用云计算的局限是企业必须认真对待的敏感问题,企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量,其中所说的风险就包括了企业的“商业秘密”保护风险。
云计算时代存在商业秘密被窃取的风险
用户使用谷歌云计算功能在线存储的文档、影像等文件涉及商业秘密、个人隐私等多重权利,一旦这些文件被存储于云端也就是服务器端,其最终保护者实际系于一个密码。如果用户的密码被盗,则可能发生商业秘密失窃,隐私曝光等大量问题。在目前的网络新闻中,因密码被破解或窃取引发的案件时有所闻,在云计算时代,可能发生类似问题的概率将大大增加。
云计算时代存在商业秘密被破坏的风险
云计算模式下,所有的业务处理都将在服务器端完成,服务器一旦出现问题,就导致所有用户的应用无法正常运行,数据无法访问。由于网络工程师的及时修复,解决故障的时间并不太长,然而足以作为对云计算的一个警示。毕竟这些运营应用的规模十分庞大,在出现问题之后,很容易导致用户对云计算的怀疑,动摇用户对云服务的信心。
2009年7月,被认为将要取代微软OFFICE等传统应用程序的GOOGLEAPPS(在线办公应用软件)中断服务,用户的文件只能“呆在”“云中”;8月谷歌的云计算服务出现严重问题,BLOGGER和SPREADSHEET等服务均长时间待机,GMAIL服务两周内停摆,用户纷纷到TWITTER网站发出抱怨,经谷歌调查,这主要是因为GMAIL所用的联系人系统存在储运损耗问题,从而导致邮箱无法正常下载数据。
云计算时代的商业秘密保护缺乏政府立法
企业通过减少对某些数据的控制,来节约经济成本,意味着可能要把企业信息、客户信息等商业数据存储到云计算服务器提供商的手中,对于信息管理者而言,他们必须对这种交易是否值得做出选择。
以谷歌的云计算服务为例,对于谷歌而言,其向用户提供免费的云计算服务,其实是以用户相关文件被谷歌分析用于投放 为代价的。如果用户是谷歌的竞争对手,肯定不敢把这个服务使用于商业文档。此外,谷歌可以在多大程度上知晓用户的秘密,这个可能在谷歌的用户协议中有界定,但是如果仅由谷歌方面确定似乎有违公平,政府也要立法对其加以管制。
云计算与个人隐私
目前的云计算有其“先天性”不足,对于广大网民来说,首当其冲的就是隐私保护问题。正如美国军事安全专家格雷格·康蒂(GregConti)所担心的:云计算在给人们带来巨大便利的同时,该服务中所存在的不足也将危及企业用户和普通网民的隐私安全。据世界隐私IT运维管理社区近日发布的一份报告声称,如果企业期望通过利用云计算服务来降低IT成本和复杂性,那么首先应保证这个过程中不会带来任何潜在的隐私问题。IDC对CIO和IT主管的调查也显示,安全仍是云计算主要关注的问题,大约75%的人表示他们担心云计算安全问题(包括隐私安全)。由此可见,隐私安全问题是云计算发展的最主要障碍之一。
云计算环境下的隐私
隐私的定义,最早是由美国法学家沃伦(SamuelD·Warren)和布兰德斯(LouisD·Brandeis)于1890年在《哈佛法律评论》发表的一篇文章《论隐私权》中提出的,后来逐渐得到全世界各国的普遍认同[3]。它是指自然人自身所享有的与公众利益无关并不愿他人知悉的私人信息。
(1)网络隐私权
关于网络隐私权,法学界至今没有形成统一的看法。有的学者认为网络隐私权是指公民在网络上的个人数据信息、隐私空间和网络生活安宁受法律保护,禁止他人非法知悉、侵扰、传播或利用的权利。随着科学技术的飞速发展,人们的日常生活对网络的依赖越来越强。但是,网络为人们的生活带来巨大的便利同时,也为隐私权保护带来了挑战。网络环境的开放性、虚拟性、交互性、匿名性等特点,使得通常的隐私权保护手段在网络环境中无能为力。
当前,通过互联网来披露、公开或传播他人隐私的行为越来越多(如引起广泛关注或曰“严重关切”的“人肉搜索”就直接探测个人隐私)。这些行为的原因是多方面,有的是为了公众利益,也有的是由于经济利益的驱动而获取网络隐私的商业价值,还有的是为了个人精神的自我满足,等等。相对于普通的隐私权,侵犯网络隐私权的方式多种多样,包括过度收集个人信息;非法获取网络私人信息;非法使用网络私人数据;非法泄漏私人数据;非法交易等。由于互联网的诸多特点,侵犯网络隐私权有其独特之处,可以概括为:侵权形式的多样化;侵权主体多元化;客体的扩大化和数据化;侵权对象性质的双重化;侵权行为手段的智能化、隐蔽化;侵权后果的严重化、复杂化。据调查显示,我国用户对自身各类隐私信息的关心程度存在较大差异,且对各类隐私信息中的各项具体信息的关心程度随着用户年龄、性别、学历的差异而有所不同。用户普遍对网络隐私信息的关心程度不高,仅对身份证号码和银行卡比较关心。这种情况下,侵犯网络隐私的行为有时候并不认为是严重的问题。
(2)云计算环境下隐私权的特点
云计算环境下的隐私权面临的问题具有网络隐私权问题的一切特征,并增加了由于云计算环境所带来的新的特点。
从资源管理的角度看,云计算的特点可以概括为动态、智能、随需,即对资源合理的掌控与分配。这种“智慧化”资源管理模式(云计算模式)的重要核心之一是:数据的存储和安全完全由云计算提供商负责。对于提高服务质量的角度来说,这是云计算所表现出来的优点,因为云计算提供商负责可以降低企业的成本,包括一些设备费用、办公场所、人力资源等,对于一些 业来说,降低总成本利于企业的发展。而且,在服务器端,有专门的技术人员负责数据的存储、备份等工作,可以较好的保证数据信息的安全。
但是,云计算提供商完全负责数据的存储和安全,对于隐私权保护来说却存在更大的风险。如果数据存储在内网中,进行物理隔离或其他手段,是可以较好地避免隐私外泄的。而若把数据存储在“云”中并由云计算提供商管理,对隐私权保护的担忧就是理所当然的。这是因为,数字资料并不像纸质文档可以封口,电子设备也不像保险柜那样上锁后钥匙由多人保管。由于数据封装及传输协议的开放性,数字资料对于某些特权的技术人员来说可能是透明的。另外,对于涉及客户隐私的数据,有些企业并不像经济数据那样重视其安全性。
云计算环境下隐私安全隐患分析
云计算的核心目标是提供安全可靠的数据存储和网络服务。但在这种新的模式下,用户的数据不是存储在本地计算机上,而是存储在防火墙之外的远程服务器中,这增加了数据保密性的隐忧。
(1)客户端隐私安全问题
云计算是以现有的分布式网络为基础的,网络上的每一台计算机都可以被认为是一个节点。当计算机联网以后,就成为互联网的一部分,如果没有有效的安全保护,“云”中的每一台计算机都可以通过一定的手段访问到其他节点。比如一些商业性的公司利用cookies窥探用户上网的活动、浏览过的网页;利用僵尸程序(bot程序)实现对别的电脑的控制;掌握用户在云中使用了哪些服务等。可以说用户的任何操作都会在自己的电脑上留下痕迹,并可以通过一定的途径获得。
在云计算模式下数据异地集中存储,对客户来说,信任问题可以说是实现云计算的关键问题。华中科技大学金海教授认为,云计算要普及很不容易。他提到,人们会信赖地把自己的钱放到银行里,这是因为银行是国有的。“银行背后有政府的法律保证,但云计算运营厂商数据中心的数据安全却没有任何有公信力的第三方在制度上的保证,因此用户不敢把数据放进运营商的数据中心里。”
(2)网络传输的隐私安全问题
英国电信认为云计算是这样一种设施和能力,即通过搭建一个融合的网络和系统平台,将所有的应用,无论是自己开发的还是第三方合作伙伴开发的,都放在上面,然后以服务的形式提供给用户。目前,云计算主要提供以下四种服务:Servers(基于网络的服务);IaaS(基础设施作为服务);PaaS(平台作为服务);SaaS(软件作为服务)。
当用户使用云计算服务时,可以直接像调用本地资源一样方便,而网络传输的过程是必不可少的,如果由于技术原因导致服务中断,几乎所有的数据都存放在云中,用户也只能束手无策。有相关报道披露了2008年10个最糟糕的Web2.0网络故障事件,其中有多项就是当今的云计算应用或者与云计算有关,例如亚马逊S3服务的中断、GoogleApps的中断服务、Gmail服务中断等。网络传输过程中面临的隐私问题主要包括数据包被非法窃取,非法攻击,非法修改、破坏等。可见,网络传输的稳定和安全是云计算普及要关注的重要问题。
(3)服务器端隐私安全问题
据科技博客TechCrunch报道,近日谷歌曾向部分在线文档和电子表格服务用户发送通知称,曾在未经用户许可的情况下,误将用户的部分文档进行共享。虽然受此安全事件影响的用户文档不足0.05%,但却为云计算的安全问题敲响了警钟。目前,云计算的标准尚未统一,国外研究机构Gartner发布的一篇名为《云计算安全风险评估》的报告中,列出了云计算技术存在的七大风险,即:特权用户的接入;可审查性;数据位置;数据隔离;数据恢复;调查支持;长期生存性。从这七大风险中可以清楚地看出,云计算的隐私安全问题大部分在服务器端。云计算模式下数据集中存储,物理资源共享带来了新的数据安全和隐私危机,安全很难再依靠机器或网络的物理边界得到保障,增加了服务器端数据和用户管理的困难。服务器端隐私权存在问题,可以从以下几个方面说明。
1)用户管理。这里的用户指所有可以登录云计算平台的人,包括云计算提供商、运维人员、客户。首先,对于众多云计算提供商来说,如何保证客户的数据不被其他云计算提供商非法窃取与利用是一项重大问题;其次,运维人员要负责数据的存储和备份,并根据不同数据的安全级别,对数据进行分类管理。在这一过程中,运维人员需要登录客户的系统,并对数据进行分析,而如何保证这些“特权用户”被客户识别,并安全的登录,是云计算提供商要重视的问题;最后,云计算的客户是位于世界各地的,并且同一时间,在线用户的数量,注册用户的数量是不断变化的,对用户认证、权限控制、访问审计、攻击防护等进行控制,保证用户的登录权限,并正确访问自己的资源也是云计算普及需要解决的一大问题。
2)存储安全。云计算的存储安全主要涉及数据隔离、数据的存储位置、数据恢复、数据的长期生存性等等问题。一旦将数据存储在云中,对数据的控制权就转移到了云计算提供商手中,某些不法商业机构有可能强迫(或以不正当手段换取)云计算提供商检查用户记录,以获取客户的隐私资料,这比从客户或其他途径获得数据会相对容易;其次,云计算提供商有可能将客户数据从这个服务器转到另一个服务器,数据的存储位置客户并不明确。此外,客户端还存在数据无法访问的风险,如果云计算设施故障,数据是否还存在,能否保证数据的长期生存性,这些对客户来说都是模糊的。
3)提供商的监管和审计。云计算环境下,所有数据的存储和操作都要涉及到“云端”的资源,安全由云计算提供商负责,对他们的监管和审计显得尤为重要。首先,云计算为客户提供的服务难以达到完全的透明,客户对云内部的处理过程、数据的存储位置等信息并不了解,如果发生意外,客户也不清楚数据将面临什么样的情况;其次,云计算服务法律保障有待完善。因此,为了充分保证客户数据的安全,客户应该具有对云计算服务的监管和审计的权利。客户在选择云计算服务时,要充分考虑服务的质量,同时,云计算服务提供商也要根据各地隐私法律的不同,提供权限不同的隐私保护。
云计算环境下隐私权保护的对策分析
从上述的有关网络隐私的安全隐患分析来看,隐私权保护问题是云计算发展的一个极大的挑战。实际上,对于隐私权的保护,通过单一的手段是远远不够的,需要有一个完备的体系,涉及多个层面。以下,我们仅从法律、技术、监管三个层面进行初步地分析。
(1)完善立法及相关的法律制度
从法律角度讲,云计算环境下的隐私权属于网络隐私权。因而保护网络隐私权的法规适合于云计算环境下的隐私权,不须另行规定。由于历史原因,我国现行法律对隐私权的保护还比较滞后,目前还没有专门的隐私权保护的法律,主要通过名誉权间接保护。如2008年4月1日生效的最高人民法院的《民事案件案由规定》首次将“隐私权纠纷”设为独立民事案由。我国宪法、民法、刑法、诉讼法及《未成年人保护法》、《统计法》、《银行管理暂行条例》等法律、法规中有关于隐私权保护的零散规定。
虽然互联网早已走进了人们的生活,但我国关于网络隐私权保护的法律依然没有明确的规定和说明,仅在一些相关的法律中涉及到了这一问题,即关于网络隐私保护的法律只是零星的分布在其他法律中。如信息产业部发布施行的《互联网电子公告服务管理规定》第十二条规定:“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄漏,但法律另有规定的除外。”《全国人大常委关于维护互联网安全的决定》规定:“利用互联网侮辱他人或捏造事实诽谤他人及非法截取、修改、删除他人的电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密的,可以构成犯罪,依法追究刑事责任。”上述法律法规分别对用户的网络隐私和自由进行了说明,这些规定为网络隐私权的保护提供了依据。
为了适应时代发展的需要,更好的保护网络隐私权,立法机关应尽快加强隐私权方面的相关立法,明确隐私权的法律地位,建立一套完善的网络隐私权保护体系。加强执法力度,做到违法必究,而在隐私的公开方面,应该遵循“不公开是原则,公开是例外”。
(2)运用隐私增强技术
至今还没有关于隐私增强技术(Privacy EnhancingTechnologies,PETs)的统一的定义,目前学界认可的说法是,PETs是指任何可以用来保护或加强个人隐私的技术,包括在1998数据保护法的条件下用户方便使用自己的数据,主要包括隐私管理工具、安全在线访问机制,匿名工具等。
许多IT企业正致力于研究如何依靠技术手段实现安全的云计算。IBM公司近日宣布推出Proventia和Tivoli,旨在提高云计算环境的安全性,确保数据的保密性。
Proventia虚拟化网络安全平台可以帮助保护公司有形资产和云资产的安全,客户能够通过前所未有的规模获得虚拟化的强大功能,进而向虚拟网络提供X-Force支持的网络保护,而这种保护是实现安全云服务的重要组成部分。Tivoli软件提供了智能基础设施管理解决方案,有助于客户在随需应变世界中洞悉和主动管理IT系统的商业价值。
传统的技术也可以在一定程度上保障云环境用户网络隐私权,这些技术主要包括加密机制;安全认证机制;访问控制策略。加密机制的可靠性主要取决于解密的难度,包括对称密钥加密体制和非对称密钥加密体制,非对称密钥的安全性较高,但加密解密的速度较慢;安全认证机制目前已经有一套完整的技术解决方案可以应用,采用国际通用的PKI技术、X.509证书标准和X.500信息发布标准等技术标准可以安全发放证书,进行安全认证;访问控制策略是保证网络资源不被非法使用和非常访问的基础,主要包括入网访问控制、网络权限控制、目录级安全控制。
目前研究的隐私保障的主要技术还有数据挖掘、数据加密、数据扰乱技术、数据恢复技术等。另外,云计算与可信计算结合,也是一项保证云安全的有效措施。
(3)设立监管机构
要实现对云计算服务的有效监管,可设立以政府为主导的可信的第三方监管机构。政府的主导与管理是为了保证第三方监管机构的可靠性与权威性。第三方监管机构除了进行监督与管理外,还可对云服务提供商进行审计、评估等等。
监管机构可对云计算的可用性,安全性进行监督和管理,以保证云计算提供商提供的服务的质量。服务等级协议(SLA,Service Level Agreement)是一个明确各方权利与责任的较好机制。一方面SLA可以较好的保证服务的质量;另一方面,SLA确定了双方的经济关系和赔偿机制。监管机构应该根据SLA的要求,对云服务进行各方面的监督,以保证用户和服务提供商的权利和利益。一旦出现违反SLA的行为,监管机构可以为其要求合法的赔偿。
当前,云计算的发展可谓异军突起,展现出良好的应用前景与巨大潜力,几乎涉及了信息管理与服务的各个领域。由于云计算环境下的数据对网络和服务器的依赖,隐私问题尤其是服务器端隐私的问题比网络环境下更加突出。客户对云计算的安全性和隐私保密性存在质疑,企业数据无法安全方便的转移到云计算环境等一系列问题,导致云计算的普及难以实现。
为了有效的解决这些问题,业界需要从多方面、多角度考虑,不仅要在法律层面完善立法和相关的法律制度,还要注重技术的创新和管理的作用。目前,各个IT公司都在潜心研究云计算,并把安全和隐私的问题置于比较重要的位置。2008年底,谷歌宣布其应用程序通过了SAS70TypeII的安全流程审查,IBM也在管理和技术上研究解决云安全的问题。
隐私权保护问题虽是云计算普及过程中需要解决的一大难题,但随着云计算的发展及相关标准的成熟,相信隐私权会得到更好地保护,云计算也将像互联网上的其他应用环境一样,深刻地影响我们的生活方式。
|