云计算时代更难“抓住”黑客
专栏
我的研究有两个方向,一个是网络安全防护,一个是计算机网络取证。2005年在中国电子学会下由北京人民警察学院牵头成立了一个取证委员会,今年CCFC中国计算机取证会议的主题就是云计算取证、物联网取证,讨论中我们都意识到在云计算中更难发现黑客的行径,过去成名的黑客在云计算时代他们觉得更好用了,用黑客的话说,他们可以轻易掌控云计算。
上个月在上海有一次黑客大会,我和一些知名黑客交流,他们说很简单,申请一个账户交钱,就可以用云计算。
目前用于商业的云计算服务,主要是按照俱乐部会员制收费,申请账号就可以用。我问过IBM、阿里巴巴,这些推行云计算的商业公司,对安全如何保障。一般是两项措施:一是用户接入严格把关,二是对数据加密。但是,对用户提交的作业,没有检查,就像缺少登机前的安检一样,这就麻烦了。如果有人提供一些恶性作业,破坏性太大,这些作业可以发作,也可以不发作,有些作业潜伏到哪里,很难查找。
我的一个博士生一晚上在一个云计算节点上就可以送出100多个作业,在全球众多节点发送的作业中,一旦有恶性程序发作,运行调度被控制、被破坏,这个后果不堪设想。
虽然云计算的商业部门应该非常严格把关会员,但还存在这样一些情况:总会有朋友托人帮忙代送一些作业,这样的情况不可避免。所以云计算的安全不容乐观。
中科院高能所是大陆唯一一个24小时用于科学计算的全球网格节点,也就是云计算的一个节点,有4700多个CPU,参与全球的科学计算。我们通过大屏幕可以看到全球每隔三分钟刷新一次的机器调用情况,我们有一套运行调度程序,还建设了一套云计算作业检查安全系统,运行十年来,情况良好,没有出现过外来的作业无法调用的情况。我对云计算节点有一个比喻:就是要像机场一样,保证所有飞机正常起飞,外来的飞机安全着陆。重庆邮电大学校长对我的这个比喻深表赞同。他认为,我们所用的安全检查机制也可用到更多的商业云计算中。安全问题刻不容缓,我们会在云计算安全建设上继续更深入的研究。