云數(shù)據(jù)存儲(chǔ)系統(tǒng)的漏洞以及避免漏洞的方法

（文章來源：百家號(hào)）

這些年來，大量的數(shù)據(jù)被轉(zhuǎn)移到云端，包括個(gè)人檔案、照片、文件和受版權(quán)保護(hù)的內(nèi)容。付費(fèi)和免費(fèi)云服務(wù)用戶基數(shù)繼續(xù)增長(zhǎng)。根據(jù)調(diào)查公司Research 和 Markets的數(shù)據(jù)顯示云存儲(chǔ)市場(chǎng)每年將增長(zhǎng)約29.73%,到2020萬年將達(dá)到9250萬美元。像Dropbox、谷歌、微軟、Box、Amazon和蘋果等公司都是領(lǐng)導(dǎo)者;在俄羅斯，Yandex和Mail.ru也是主要的參與者。

然而，集中式云系統(tǒng)存在著弱點(diǎn)。數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)中心中，通常不加密，或者沒有加密到足夠高的水平;更重要的是，大公司更容易受到人為錯(cuò)誤的影響。其結(jié)果是由于技術(shù)錯(cuò)誤或攻擊者們的惡意目的導(dǎo)致信息丟失或泄漏高風(fēng)險(xiǎn)。即使是行業(yè)領(lǐng)導(dǎo)者也不能幸免。個(gè)被廣泛報(bào)道的事件發(fā)生在2011年的Dropbox,當(dāng)訪問控制賬戶出現(xiàn)錯(cuò)誤時(shí)，服務(wù)上的帳戶可以無需密碼即可訪問數(shù)小時(shí)。2014年8月，好萊塢明星的私人照片在iCloud和谷歌硬盤被盜后被放在網(wǎng)上;根據(jù)調(diào)查泄漏的潛在原因是網(wǎng)絡(luò)釣魚。這個(gè)名單還在繼續(xù)。

集中會(huì)產(chǎn)生另一個(gè)問題。用戶依賴于管理組織的操作和策略。例如，當(dāng)亞馬遜在2017年6月取消其無限計(jì)劃時(shí)，許多企業(yè)被迫尋找新的數(shù)據(jù)存儲(chǔ)解決方案。此外，服務(wù)供應(yīng)商可以訪問存儲(chǔ)的所有信息，并可以將其提交給政府部門。

基于區(qū)塊鏈的分散數(shù)據(jù)存儲(chǔ)新產(chǎn)品提供了一種擺脫這種情形的方法。像Storj(2014)、MaidSafe(2014)、Sia(2015)等服務(wù)，以及其他服務(wù)都是基于利用閑余容量的流行趨勢(shì):當(dāng)前，普通PC上空閑磁盤空間大大超過了現(xiàn)有云服務(wù)的資源。分散存儲(chǔ)系統(tǒng)建議用戶將未使用的磁盤空間出租，并接收代幣作為獎(jiǎng)勵(lì)。托管商對(duì)信息的完整性有直接興趣，因?yàn)閬G失數(shù)據(jù)會(huì)產(chǎn)生罰款。

基于分布式賬本技術(shù)的系統(tǒng)不需要外部規(guī)則，所有參與者都是匿名的，擁有平等的權(quán)利。數(shù)據(jù)不再存儲(chǔ)在一個(gè)地方:上載到系統(tǒng)的文件被分割成塊，并使用高級(jí)加密保護(hù)。只有密鑰持有者才能訪問信息。這些數(shù)據(jù)塊分布并有冗余，因此即使有幾臺(tái)計(jì)算機(jī)出現(xiàn)故障，信息也不會(huì)丟失。除了技術(shù)優(yōu)勢(shì)之外，分散的云服務(wù)還有另一個(gè)直接好處:它們比集中式云服務(wù)費(fèi)用便宜10倍以上。

那么，數(shù)據(jù)存儲(chǔ)的新方向有什么問題呢?首先是缺乏對(duì)私人設(shè)備操作的控制，以及無法保證高速信息傳輸。冗余保護(hù)數(shù)據(jù)，但僅限于某一點(diǎn);由于設(shè)備故障，其中一些可能仍會(huì)永久丟失。其次，新的、有前景的分布式賬本技術(shù)不僅吸引了開發(fā)商和投資者的興趣，也吸引了騙子。隨著區(qū)塊鏈的發(fā)展，攻擊也變得越來越復(fù)雜。攻擊者們既使用標(biāo)準(zhǔn)欺詐手段(感染惡意軟件，假冒釣魚網(wǎng)站，發(fā)送服務(wù)信件)也有更多針對(duì)性的攻擊，尋找系統(tǒng)架構(gòu)和智能合約中的漏洞。

通過對(duì)軟件、硬件和用戶級(jí)別的安全性進(jìn)行整體方法，可以顯著降低數(shù)據(jù)丟失或泄漏的潛在風(fēng)險(xiǎn)。首先，系統(tǒng)和智能合約的開發(fā)只能委托給專業(yè)人員。目前所有在使用的智能合同中，只有一小部分通過了審核，而攻擊者們有強(qiáng)烈的動(dòng)機(jī):一些漏洞，如果找到的話，可能會(huì)帶來數(shù)百萬美元加密貨幣的報(bào)酬。只有熟悉各種攻擊類型的加密專家才能創(chuàng)建可靠的產(chǎn)品保護(hù)。

其次，必須監(jiān)測(cè)用于數(shù)據(jù)存儲(chǔ)的設(shè)備。使用專業(yè)的設(shè)備代替普通的個(gè)人電腦將有助于提高系統(tǒng)的穩(wěn)定性和容錯(cuò)性。同時(shí)確保高速連接和24/7小時(shí)數(shù)據(jù)可訪問。

最后，通過以下安全操作可以提高用戶級(jí)別的系統(tǒng)安全性:仔細(xì)檢查瀏覽器中的網(wǎng)頁地址并檢查證書，最好將網(wǎng)站保存到書簽中，因?yàn)榧倜暗木W(wǎng)站地址可能只有一個(gè)字符與真實(shí)網(wǎng)站不同，可能會(huì)在搜索結(jié)果排名水平中比較靠前；注意“From”字段，不要在郵件中點(diǎn)擊可疑鏈接;保持軟件更新，并使用可靠的殺毒軟件。

如何實(shí)現(xiàn)可靠和可訪問云數(shù)據(jù)存儲(chǔ)的問題仍然沒有解決。這一領(lǐng)域的未來在于當(dāng)威脅出現(xiàn)時(shí)能有項(xiàng)目快速應(yīng)對(duì)，并創(chuàng)建靈活的專業(yè)解決方案，將區(qū)塊鏈潛力、高質(zhì)量加密技術(shù)和適基礎(chǔ)設(shè)施結(jié)合起來。
? ? ?（責(zé)任編輯：fqj）