酒店开房信息外泄 服务器漏洞考验云安全

国内安全漏洞监测平台乌云(WooYun.org)近日发布报告,称如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。

想必大家都已经看到了这个新闻,那么我简单把这个事情的来龙去脉说一下:其实就是众多酒店委托一家网络公司来做自己的信息系统,其中包括登记、身份认证以及无线等业务。但是这些系统的认证网页却存储在了这个公司的服务器上面,而且更加可怕的是,从酒店到这个服务器的通信协议是http,提交的信息基本就等于是明文。玩安全或者黑客的人都知道,用这样的方法传输信息用探嗅器工具很容易获取信息,而且该服务器还存在安全漏洞,安全公司一扫描,就轻易拿到了酒店的房客信息。

 

 

其实类似的事情在业界是接二连三,过去有著名IT网站CSDN泄露客户资料,银行泄露客户信息,云计算厂商弄丢客户的信息,今年最轰动的则是棱镜门事件,这些其实都在拷问一个事情,云计算背景下客户的云安全谁来保证,又如何保证!

笔者最近两年不但采访过云计算的服务厂商,也采访过很多企业用户。现在厂商反映的普遍的情况是,安全不是问题,我们可以做到最好,因为用户即便是放在自己的服务器上,安全问题也是一个问题,而且用户的安全工程师其实没有专业厂商那么正规,自己做花钱雇人做这个其实划不来。不是经常有医院或者公司找专业数据恢复公司来做灾备么,说明他们自己确实不那么专业。

但是上面暴露出来的问题是专业公司也没那么专业,这可就麻烦了。因为现在已经有部分用户想把自己的业务转移到云端了。我在全国与很多用户交流过,除了比较敏感的金融与政府机构很难将自己的业务放上云端,其实很多用户已经开始考虑将自己的业务放到云端,托管给专业的云计算提供商了。比如在与国家统计局的交流中,他们已经感觉到数据大集中带来的存储压力,而基于这些数据做商业分析,为国家制定更好的决策应该是他们的任务。他们就在考虑将数据存储业务外包给专业的公司。

但是,如果类似本文最初那样的事件越来越多,那么用户是心有余悸的。因为非常多的企业CIO最大的担心就是安全问题。

所以,说一千道一万,云计算公司和安全公司必须按照传统和专业的流程把云存储和数据安全问题规划好,实施好,落实好,才能真正让用户放心。像传输加密与补漏洞都是最简单的安全防护手段,如果连这个都懒得去做,那么真不可能在这云计算的大潮中做成一个长久的公司。

当然,对于用户来说,安全也是有等级的,笔者在与中金数据中心的专家交流时,他明确提到,金融公司对自身的数据安全保护是非常严格的,我们只是给提供了这些场地和机房,上面所有的业务和数据都是客户自己来管理的,这里比传统的IDC机房安全级别要高出很多。所以,用户也要明白一个道理,就是如何制定自己的数据规划,什么样的数据适合放在云端,用什么级别的安全防护,不可能不花钱,享受最高级别的安全服务的。

最后,只能说发生前面的事情我们大家都很惊讶,希望用户选择云计算提供商的时候要多方面考察,自己在做规划的时候,也要请专业的公司来做,以保证自己最大的利益。