古代的人们喜欢观天象已测“凶吉”，除了最多人知道的星象外，对于云彩的颜色和大小也是判断吉凶的主要依据。而随着时代的发展和技术的进步，这种“迷信”色彩很重的古代“知识”渐渐被人们所遗忘或者只是作为消遣所用。但是关于“云”这个事物，现代信息技术却给予了不同的阐述，甚至也对于它的“凶吉”给了全新的定义。

由现代信息科技所产生的新名词——云技术，给予了云更多的定义和内容。这个能让网络和现代信息处理、交互、储存技术融合发展出巨大能量的技术无疑成为了信息时代个人、企业甚至是国家最受欢的信息技术。但对于云本身带来的是好是坏，是凶是吉，许多信息安全方面的专家持了不同的意见。到底云的问题在哪里?它和数据、信息安全又有怎样紧密的联系?

云问题大揭秘——多样问题深锁云技术

云计算已经进入落地阶段，发展大家更是有目共睹，很多企业开始考虑或是已经拥抱云计算。云计算给中小企业带来的福利也是多之又多，节省开支，创造新的资源等等。这些都是云计算的功劳，只是在这些优点之中，大部分的人还是在担心它存在的缺点，其中最受关注的就是安全问题。对云计算中的威胁与风险进行分析，有助于认清云计算的利弊，充分利用云计算的优势，同时采取合适的措施避免损失。

1、安全威胁

根据IDC的调查，安全问题一直是云计算中最受关注的方面。国内的报告也有类似的结论，调查的受访对象都有技术安全性方面的担忧，恰恰是这种担忧阻碍其迁移到云计算平台。

事实上，有些云服务提供商会对用户的数据进行加密，同时还会将用户的数据进行备份，一段时间后才会摧毁这些数据，所以企业在走入云端之前务必做好这方面的风险预估以及应急方案。

因此，要让企业和组织大规模应用云计算技术与平台，放心地将自己的数据交付于云服务提供商管理，就必须全面地分析，并着手解决云计算所面临的安全问题。

云计算管理着企业的关键数据，企业和个人是不是会更容易成为黑客的攻击对象呢?这也许不是一个常见的问题，但不是没有发生的可能，鉴于云计算数据安全的问题，如医疗、金融等数据敏感型企业都不被建议应用云技术。

2、数据威胁

数据问题对每位CIO来说都是头等大事。因为泄露带来的最大噩梦就是自己公司敏感的内部数据落入了竞争者之手，这也让高管们寝食难安，云计算则为这一问题增加了新的挑战。

数据丢失对于消费者和企业双方而言，数据丢失都是非常严重的问题。而存储在云中的数据则可能因为其他的原因而造成丢失。云服务供应商的一次删除误操作，或者火灾等自然因素导致的物理性损害，都可能导致用户数据丢失，除非供应商做了非常到位的备份工作。

但数据丢失的责任并非总是只在供应商一方，比如如果用户在上传数据之前加密不妥当，然后自己又弄丢了密钥，那么也可能造成数据丢失。

3、内部操作问题

不论是在企业内部还是云计算服务提供商内部，人员的恶意操作都是非常危险的，同样后果也非常严重。云服务提供商肯定不会透露其雇员在物理服务器和虚拟化方面的水平，更不会告诉你他的分析和报告政策。

恶意的内部人员在安全行业，来自内部恶意人员造成的威胁已经成为一个争议话题。对组织存在威胁的恶意内部人员可能是那些有进入企业组织网络、系统、数据库权限的在任的或曾经的员工，承包商，或者其他业务伙伴，他们滥用权限，导致企业组织的系统和数据的机密性、完整性、可用性受损。

这也就意味着只要有了一定级别的授权，内部人员就可以获得机密数据并控制云服务，听着就恐怖对吧!其实，用户是可以获得这些操作的信息，只要在签订服务级别协议的时候提出来就可以了。

4、服务中断及攻击问题

从这几年的云计算服务经验来看，总是有一些常见的中断故障发生，其中包括数据备份、停机时间和数据中心脱机。庆幸的是这些云计算中断故障是可以预见的。

解决停电故障的最好方法就是防止停电，毕竟没有百分百可靠的服务器。所以笔者建议企业选择一个能够提供众多服务中断解决方案的云计算服务提供商。

除了服务中断问题还有拒绝服务攻击的问题。拒绝服务攻击就是指攻击者阻止正常用户正常访问云服务的一种攻击手段。通常是迫使一些关键性云服务来消耗大量的系统资源，例如处理进程、内存、硬盘空间、网络带宽，导致云服务器反应变得极为缓慢或者完全没有响应。

拒绝服务攻击(DDoS)引起过许多的麻烦，并一直被媒体所关注，他们的攻击可能并无实质性目的。非对称应用程序级别拒绝服务攻击所瞄准的就是Web服务器、数据库或其他云计算资源脆弱的这一点，然后在应用程序上运行一小段恶意程序，有时甚至不足100个字节。

还有一些出于抢占市场或其它目的的考虑，某些云服务提供商对登记流程管理不严格，云服务较容易获得。不法分子能以低成本的利用云计算平台发送大量垃圾邮件、制造或托管恶意代码、大规模的破解密码、DDOS攻击、制造及管理僵尸网络等。

5、调查审计问题

云计算中，计算、存储、带宽服务可在全球范围内跨国获取，而用户提供的账户信息可能是伪造的，加上不同国家和地区对违法行为的取证需求不尽相同，因此对基于云计算平台的网络犯罪行为很难进行追查。当平台中的资源来自多个、多层次的第三方供应商时，溯源更为困难。

另一方面，云计算平台存储有多家客户数据，在调查取证过程中，供应商不一定配合，如果配合，将给其它客户的业务带来风险。例如，谷歌多次向美国政府提交维基解密志愿者的邮箱数据，这意味着Gmail的用户存在隐私被泄露的风险。再者，在资质审计的过程中，服务商未必提供必要的信息，使得第三方机构不一定能对服务商进行准确的、客观的评估。

审查不足降低成本，运营效率，安全提升，这些优点让人们对云计算趋之若鹜，对于那些有资源有能力来合理利用云技术的企业来说，这确实是一个很实在的目标，但有很多企业实际上在一拥而上的大潮里，并未真正的明确的了解这一技术的全貌。

如果对云服务供应商环境、应用程序、运营责任(如事故责任、加密问题、安全监控)等没有充分的了解，企业组织如果贸然采用云计算，就可能面临着认知不足的各种未知的风险，这恐怕比眼下的风险要更加严重。

追本溯源——加密软件或能成云技术“指路人”

虽然云技术面对着复杂而又多变的安全问题，但只要云技术还是信息技术，还是依赖现代网络和数据，那么它的根本问题就是数据安全问题。而现今，面对复杂的信息、数据安全问题，最好的防护之法就是数据加密。这种本源的防护之法，使得数据、信息即使由于各种原因导致了泄漏，其真实内容也不会第一时间丢失(甚至不会丢失)，从而大大提高了安全性。同时如果个人、企业甚至是国家采用国际先进的多模加密技术，就更能掌握自身的安全主动权，甚至可以“预测”云技术的“未来”。

多模加密技术采用对称和非对称算法相结合的技术。在保证了数据加密质量的同时，其多模特性能让用户自主的选择加密模式，从而让用户应对各种安全威胁和安全环境有了更多的选择，而这种灵活性的选择正是企业可以自主应对，预测未来信息安全的基础。

云是变化莫测的，现代的云技术同样如此。古代的云因为其变化让人们演化出了一套“预知未来”的理论，而现代的“云”，其变化来自于安全问题，多样的安全问题正困扰着云技术的快速发展。面对这种问题，我们必须回到云技术的本源，回到数据、信息本源的防护才能更灵活的应对，而如果能配合上灵活且自主的加密软件那就更加的事半功倍了!

(责任编辑：安博涛)