云計算需要怎樣確保數(shù)據(jù)安全和用戶隱私

申請免費試用、咨詢電話：400-8352-114

乍一看，互聯(lián)網(wǎng)應(yīng)用程序似乎是谷歌公司送給世人的禮物。這個網(wǎng)絡(luò)業(yè)巨擘為用戶了免費的應(yīng)用程序，比如電子郵件、文字處理、電子表格和網(wǎng)絡(luò)存儲，并且把這些應(yīng)用程序放在“云計算環(huán)境”——換句話說，放在谷歌自己的機器上，而不是放在你我的機器上。用戶通過互聯(lián)網(wǎng)以一種便于數(shù)據(jù)共享的方式來訪問及使用這些程序。

云計算在安全性和隱私性上前景不明

一旦說到安全性和隱私性，云計算服務(wù)的前景就顯得不那么光明了，微軟及越來越多的其他公司也在提供這種服務(wù)。如果用戶把自己的數(shù)據(jù)連同這些程序放在別人的硬件上，就會對常常很敏感的信息失去一度的控制。

比方說，一家投資銀行的員工使用Google Spreadsheets來組織管理員工社會保障號碼清單。那么，保護這些信息遠(yuǎn)離黑客及內(nèi)部數(shù)據(jù)泄密事件的責(zé)任就落在了谷歌的肩上，而不是銀行的肩上。命令交出信息的政府調(diào)查人員可能會要求谷歌交出那些社會保障號碼，而不通知數(shù)據(jù)的所有者。而有些在線軟件公司（可能不如谷歌那樣有所顧忌）甚至樂意與營銷公司共享用戶的敏感數(shù)據(jù)。

谷歌的隱私政策規(guī)定：如果該公司“善意地理由”必須提供相關(guān)數(shù)據(jù)，以滿足“任何可適用的法律、法規(guī)、法律程序或者強制執(zhí)行的政府要求”，那么它將與政府共享數(shù)據(jù)。

谷歌的產(chǎn)品管理主管Scott Petry說：“我們在對待客戶的數(shù)據(jù)時，投入的審計和監(jiān)管力度比許多顧客自己還要來得大。但如果我們接到傳票，就會按法辦事?！彼a充說，在一些情況下，傳票可以是“保密的”，這意味著谷歌可以按照法律不用告知用戶他們的數(shù)據(jù)提供給了政府。

個人隱私擁護者表示，其他公司對待用戶的數(shù)據(jù)可能不這么慎重。電子邊疆基金會的高級律師兼隱私分析師Lee Tien說：“把自己的數(shù)據(jù)交到別人的手里，這總是會帶來風(fēng)險。一旦你決定了讓別人來保存自己的信息，已經(jīng)越過了第一道安全閘門。下一個重大問題是，你對現(xiàn)在擁有你信息的那家公司有多信任？”

從最近發(fā)生的安全事件來看，互聯(lián)網(wǎng)公司保存的數(shù)據(jù)其安全性成了用戶需要考慮的一個問題。2006年，美國在線（AOL）在公共網(wǎng)頁上向研究人員發(fā)布了65萬名用戶的搜索詞語；微軟和雅虎在去年向調(diào)查一宗兒童色情案的美國司法部披露了一些搜索數(shù)據(jù)。

網(wǎng)絡(luò)犯罪分子入侵以及公司丟失數(shù)據(jù)等事件日益增多，這也給云計算帶來了種種問題。比如去年，零售商TJX丟失了4500萬個信用卡號碼，被一伙黑客偷走；英國政府把2500萬納稅人的記錄弄丟了；在線軟件公司Salesforce.com曾發(fā)函給數(shù)百萬用戶，聲稱有些顧客的電子郵件地址和電話號碼已被網(wǎng)絡(luò)犯罪分子獲??；并且提醒用戶，另一批網(wǎng)絡(luò)釣魚者在企圖向更廣泛的Salesforce.com用戶發(fā)送惡意軟件。

數(shù)據(jù)加密及有償服務(wù)或許確保用戶信息安全

這一切是否意味著用戶為了安全、就非得放棄互聯(lián)網(wǎng)應(yīng)用呢？數(shù)據(jù)隱私研究公司波耐蒙研究所（Ponemon Institute）的總裁Larry Ponemon表示，那倒未必，但使用網(wǎng)絡(luò)工具需要特別的防范。

他表示，確保數(shù)據(jù)在網(wǎng)上的安全性，一個肯定管用的辦法就是使用加密技術(shù)。PGP或者相應(yīng)的開源產(chǎn)品TrueCrypt等程序能夠加密文件，那樣只有密碼才能讀取該文件。把文件保存到網(wǎng)絡(luò)上之前先進行加密，這意味著除了用戶，誰也無法獲取文件里面的敏感信息——不管這個文件最終出現(xiàn)在哪里。

像免費的電子郵件應(yīng)用程序Hushmail這種具有加密功能的網(wǎng)絡(luò)程序則更進一步。Hushmail可對傳輸中的電子郵件進行加密，那樣它們無法被人截獲及讀取。它還能自動對用戶收件箱中的郵件進行加密，那樣保存在Hushmail服務(wù)器上的電子郵件歷史記錄就很安全，不會被不法分子偷窺到。

不過即便采取了這些加密保護措施，有些在線數(shù)據(jù)仍有可能不在用戶的控制范圍之內(nèi)。比方說，在網(wǎng)上編輯而不是僅僅保存在網(wǎng)上的文字處理文檔和電子表格就無法始終進行加密。Ponemon表示，這就意味著，用戶仍得密切關(guān)注自己使用的服務(wù)、這些服務(wù)有多安全。

他認(rèn)為，收費服務(wù)往往比廣告資助的服務(wù)來得安全。Ponemon表示，廣告資助的網(wǎng)站更有可能收集用戶的資料用于發(fā)布針對性廣告；這些資料有可能與營銷商共享，也有可能在數(shù)據(jù)泄密事件中丟失。

不過，信譽良好的公司不大可能任由用戶數(shù)據(jù)離開自己的控制范圍，從而拿自己的品牌來冒險。Ponemon說：“通常要留意網(wǎng)站不大合法的一些跡象。如果你開始看到危險信號，就要相信自己的直覺了?！?/P>

如果有所懷疑，就干脆把敏感數(shù)據(jù)保留在桌面上。電子邊疆基金會的Tien說：“互聯(lián)網(wǎng)對消費者的隱私來說是個危機四伏的世界。最安全的事情是，把你的數(shù)據(jù)置于自己的保護和控制之下?！?/P>

云計算中確保數(shù)據(jù)安全的具體方法

◆對保存文件進行加密

加密技術(shù)可以對文件進行加密，那樣只有密碼才能解密。加密讓你可以保護數(shù)據(jù)，哪怕是數(shù)據(jù)上傳到別人在遠(yuǎn)處的數(shù)據(jù)中心時。PGP或者對應(yīng)的開源產(chǎn)品TrueCrypt等程序都提供了足夠強大的加密功能；只要你使用無法破解的密碼，那么除了你，沒人能訪問你的敏感信息。

◆對電子郵件進行加密

PGP和TrueCrypt都能對文件在離開你的控制范圍之前對它們進行加密，從而起到保護作用。但這樣一來，電子郵件就岌岌可危了，因為它是以一種仍能夠被偷窺者訪問的格式到達你的收件箱。為了確保郵件安全，不妨使用Hushmail或者Mutemail之類的程序，兩者都能在網(wǎng)上使用，可以自動對你收發(fā)的所有郵件進行加密。

◆使用信譽良好的服務(wù)

就算你對文件進行了加密，有些在線活動（尤其是涉及在網(wǎng)上處理文件、而不是僅僅保存文件的活動）仍很難保護。數(shù)據(jù)隱私研究公司波耐蒙研究所的總裁Larry Ponemon表示，這意味著用戶仍需要認(rèn)真考慮自己使用哪些服務(wù)。專家們建議使用名氣大的服務(wù)，它們不大可能拿自己的名牌來冒險，不會任由數(shù)據(jù)泄密事件發(fā)生，也不會與營銷商共享數(shù)據(jù)。

◆考慮商業(yè)模式

在設(shè)法確定哪些互聯(lián)網(wǎng)應(yīng)用值得信任時，應(yīng)當(dāng)考慮它們打算如何盈利。Larry Ponemon表示，收取費用的互聯(lián)網(wǎng)應(yīng)用服務(wù)可能比得到廣告資助的那些服務(wù)來得安全。廣告給互聯(lián)網(wǎng)應(yīng)用提供商帶來了經(jīng)濟上的刺激，從而收集詳細(xì)的用戶資料用于針對性的網(wǎng)上廣告，因而用戶資料有可能落入不法分子的手里。

◆閱讀隱私聲明

幾乎有關(guān)互聯(lián)網(wǎng)應(yīng)用的每項隱私政策里面都有漏洞，以便在某些情況下可以共享數(shù)據(jù)。大多數(shù)互聯(lián)網(wǎng)應(yīng)用提供商在自己的政策條款中承認(rèn)：如果執(zhí)法官員提出要求，自己會交出相關(guān)數(shù)據(jù)。但了解到底哪些信息可能會披露，可以幫你確定把哪些數(shù)據(jù)保存在云計算環(huán)境、哪些數(shù)據(jù)保存在桌面上。

◆使用過濾器

Vontu、Websense和Vericept等公司提供一種系統(tǒng)，目的在于監(jiān)視哪些數(shù)據(jù)離開了你的網(wǎng)絡(luò)，從而自動阻止敏感數(shù)據(jù)。比方說，社會保障號碼具有獨特的數(shù)位排列方式。還可以對這類系統(tǒng)進行配置，以便一家公司里面的不同用戶在導(dǎo)出數(shù)據(jù)方面享有不同程度的自由。（51CTO）