云計算作為全世界都在著力發(fā)展的領(lǐng)域，其安全也越來越受到重視。中培偉業(yè)《信息安全技術(shù)與信息安全管理體系ISO27001》培訓(xùn)專家張老師在這里就確保云計算安全方面的問題發(fā)表了自己的看法。他認(rèn)為，要確保云安全，管理人員應(yīng)該堅持以下8個原則。

一、不要忘給密碼加鹽

加密鹽是在用單項函數(shù)加密前，將一根字符串加到密碼上。這是一個非常重要的元素，可以保護(hù)密碼。今年6月，LinkedIn非常吃驚地發(fā)現(xiàn)，有650萬用戶的密碼公布在一個俄羅斯用戶論壇上。這些密碼都沒有加鹽，使用簡單的詞典式攻擊或類似技術(shù)就能馬上侵入60%的密碼。在實施和操作方面，給密碼加鹽是件小事，人們常常忽略給現(xiàn)代系統(tǒng)的密碼加鹽。

二、不要使用MD5散列算法給密碼加密

芯片制造商恩威迪亞(NVIDIA)承認(rèn)，7月初其論壇上有400,000用戶的密碼被竊取，這些密碼都沒有加鹽，用MD5散列算法給密碼加密。早在7年前，著名計算機安全專家BruceSchneier就宣布了MD5失效，目前人們普遍認(rèn)為MD5“成事不足，敗事有余”。最好的做法是要求使用更為復(fù)雜的bcrypt之類的跨平臺文件加密工具進(jìn)行加密。

三、不良設(shè)計方案也會暴露敏感數(shù)據(jù)

新式用戶界面架構(gòu)松散，可能會變成無意識的信息泄露平臺。隨著AJAX技術(shù)使用量的增加，網(wǎng)絡(luò)和移動應(yīng)用程序常常能把大量數(shù)據(jù)“推到”終端用戶設(shè)備上，用來支持多個視圖和操作，而無需發(fā)出新的請求。如此一來，就能帶來更佳的用戶體驗和更快的應(yīng)用程序響應(yīng)速度。

然而，這些技術(shù)的不當(dāng)使用可能導(dǎo)致敏感信息的泄露，讓看起來有效保護(hù)的系統(tǒng)更加脆弱。

四、不要使用通用密鑰給多用戶數(shù)據(jù)加密

如果辦公樓中的每個房間都使用同一把鎖，每個租戶領(lǐng)的鑰匙也一樣，這樣的辦公室沒有人會租用。同理，在給云計算中的敏感數(shù)據(jù)加密時，應(yīng)該堅持用其自己特定的密鑰進(jìn)行加密。因多用戶的數(shù)據(jù)而使用通用加密密鑰使所有這些用戶遭受額外的泄露風(fēng)險。如果有一個用通用密鑰加密的對象成功遭到襲擊的話，那么每一個使用同一個通用密鑰加密的其它對象都會成為潛在的受害者。

在多租戶平臺上，這一點尤為重要，因為很有可能一名或多名用戶或租戶故意泄露通用密鑰，并由此獲取其它租戶的數(shù)據(jù)。

五、不要無限期地使用重置令牌

每一項與個人用戶和密碼有關(guān)的服務(wù)都需要某種形式的密碼重置。密碼重置一般采用“重置鏈接”或向提出重設(shè)密碼申請的用戶的電子郵箱發(fā)送“臨時密碼”等方法。最佳做法是在一段時間后使臨時憑證國企，但大多數(shù)服務(wù)不能堅持遵循這種原則。

本月雅虎的泄露事件表明，電子郵件賬戶是病毒和惡意軟件傳播、身份信息盜竊的主要目標(biāo)。設(shè)計科學(xué)的云服務(wù)應(yīng)該避免將有效密碼保存在電子郵件中的時間超過必要的密碼重設(shè)時間。15分鐘后密碼失效是一個很好的方法。

　　六、不要將用戶密碼保存在移動設(shè)備或共享工作站

在安全與可用性孰輕孰重問題上，安全的問題常常讓步于終端用戶對可用性的要求。當(dāng)云計算服務(wù)安裝在共享工作臺或移動設(shè)備的應(yīng)用程序上，用戶常常希望只需一次就能登錄到云服務(wù)上。然而，如果應(yīng)用程序能讓用戶無限期地獲得驗證，就必須用一種不安全的方法存留用戶密碼，使得服務(wù)的安全性依賴于設(shè)備的安全性。

如果在重啟或退出登錄后，應(yīng)用程序可以保存和讀出密碼，那么訪問設(shè)備的攻擊者也能這么做。諸多證據(jù)證明不應(yīng)該將設(shè)備的實際占有等同于授權(quán)服務(wù)。

　　七、不要存留身份認(rèn)證令牌

最后一條戒律解決了用戶密碼保存問題，確保密碼不會因為惡意用戶訪問同一個工作站而被竊取。這條戒律與最后一條類似，但是提醒我們在保護(hù)密碼的同時通過其它持續(xù)方法允許驗證，這兩種方法都可能“貽誤時機”。

Dropbox網(wǎng)站也由于無法堅持這個做法，而遭到媒體負(fù)面的報道。Dropbox網(wǎng)站用戶發(fā)現(xiàn)，僅僅復(fù)制受害人電腦的一個文件就可以秘密獲得任何人賬戶中的所有文件。

八、一定支持與最新流程的整合

有一句安全方面的老格言這樣說道;“你讓某事變得更安全，它就會變得更不安全。”原因何在?因為如果安全礙事的話，善意的用戶也會想出變通的方法破壞安全。因此，粘在監(jiān)視器前面的密碼和回收站會造成一發(fā)不可收拾的結(jié)局。