云計(jì)算需要怎樣確保數(shù)據(jù)安全和用戶隱私

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

乍一看，互聯(lián)網(wǎng)應(yīng)用程序似乎是谷歌公司送給世人的禮物。這個(gè)網(wǎng)絡(luò)業(yè)巨擘為用戶了免費(fèi)的應(yīng)用程序，比如電子郵件、文字處理、電子表格和網(wǎng)絡(luò)存儲(chǔ)，并且把這些應(yīng)用程序放在“云計(jì)算環(huán)境”——換句話說(shuō)，放在谷歌自己的機(jī)器上，而不是放在你我的機(jī)器上。用戶通過(guò)互聯(lián)網(wǎng)以一種便于數(shù)據(jù)共享的方式來(lái)訪問(wèn)及使用這些程序。

云計(jì)算在安全性和隱私性上前景不明

一旦說(shuō)到安全性和隱私性，云計(jì)算服務(wù)的前景就顯得不那么光明了，微軟及越來(lái)越多的其他公司也在提供這種服務(wù)。如果用戶把自己的數(shù)據(jù)連同這些程序放在別人的硬件上，就會(huì)對(duì)常常很敏感的信息失去一度的控制。

比方說(shuō)，一家投資銀行的員工使用Google Spreadsheets來(lái)組織管理員工社會(huì)保障號(hào)碼清單。那么，保護(hù)這些信息遠(yuǎn)離黑客及內(nèi)部數(shù)據(jù)泄密事件的責(zé)任就落在了谷歌的肩上，而不是銀行的肩上。命令交出信息的政府調(diào)查人員可能會(huì)要求谷歌交出那些社會(huì)保障號(hào)碼，而不通知數(shù)據(jù)的所有者。而有些在線軟件公司（可能不如谷歌那樣有所顧忌）甚至樂(lè)意與營(yíng)銷(xiāo)公司共享用戶的敏感數(shù)據(jù)。

谷歌的隱私政策規(guī)定：如果該公司“善意地理由”必須提供相關(guān)數(shù)據(jù)，以滿足“任何可適用的法律、法規(guī)、法律程序或者強(qiáng)制執(zhí)行的政府要求”，那么它將與政府共享數(shù)據(jù)。

谷歌的產(chǎn)品管理主管Scott Petry說(shuō)：“我們?cè)趯?duì)待客戶的數(shù)據(jù)時(shí)，投入的審計(jì)和監(jiān)管力度比許多顧客自己還要來(lái)得大。但如果我們接到傳票，就會(huì)按法辦事?！彼a(bǔ)充說(shuō)，在一些情況下，傳票可以是“保密的”，這意味著谷歌可以按照法律不用告知用戶他們的數(shù)據(jù)提供給了政府。

個(gè)人隱私擁護(hù)者表示，其他公司對(duì)待用戶的數(shù)據(jù)可能不這么慎重。電子邊疆基金會(huì)的高級(jí)律師兼隱私分析師Lee Tien說(shuō)：“把自己的數(shù)據(jù)交到別人的手里，這總是會(huì)帶來(lái)風(fēng)險(xiǎn)。一旦你決定了讓別人來(lái)保存自己的信息，已經(jīng)越過(guò)了第一道安全閘門(mén)。下一個(gè)重大問(wèn)題是，你對(duì)現(xiàn)在擁有你信息的那家公司有多信任？”

從最近發(fā)生的安全事件來(lái)看，互聯(lián)網(wǎng)公司保存的數(shù)據(jù)其安全性成了用戶需要考慮的一個(gè)問(wèn)題。2006年，美國(guó)在線（AOL）在公共網(wǎng)頁(yè)上向研究人員發(fā)布了65萬(wàn)名用戶的搜索詞語(yǔ)；微軟和雅虎在去年向調(diào)查一宗兒童色情案的美國(guó)司法部披露了一些搜索數(shù)據(jù)。

網(wǎng)絡(luò)犯罪分子入侵以及公司丟失數(shù)據(jù)等事件日益增多，這也給云計(jì)算帶來(lái)了種種問(wèn)題。比如去年，零售商TJX丟失了4500萬(wàn)個(gè)信用卡號(hào)碼，被一伙黑客偷走；英國(guó)政府把2500萬(wàn)納稅人的記錄弄丟了；在線軟件公司Salesforce.com曾發(fā)函給數(shù)百萬(wàn)用戶，聲稱有些顧客的電子郵件地址和電話號(hào)碼已被網(wǎng)絡(luò)犯罪分子獲取；并且提醒用戶，另一批網(wǎng)絡(luò)釣魚(yú)者在企圖向更廣泛的Salesforce.com用戶發(fā)送惡意軟件。

數(shù)據(jù)加密及有償服務(wù)或許確保用戶信息安全

這一切是否意味著用戶為了安全、就非得放棄互聯(lián)網(wǎng)應(yīng)用呢？數(shù)據(jù)隱私研究公司波耐蒙研究所（Ponemon Institute）的總裁Larry Ponemon表示，那倒未必，但使用網(wǎng)絡(luò)工具需要特別的防范。

他表示，確保數(shù)據(jù)在網(wǎng)上的安全性，一個(gè)肯定管用的辦法就是使用加密技術(shù)。PGP或者相應(yīng)的開(kāi)源產(chǎn)品TrueCrypt等程序能夠加密文件，那樣只有密碼才能讀取該文件。把文件保存到網(wǎng)絡(luò)上之前先進(jìn)行加密，這意味著除了用戶，誰(shuí)也無(wú)法獲取文件里面的敏感信息——不管這個(gè)文件最終出現(xiàn)在哪里。

像免費(fèi)的電子郵件應(yīng)用程序Hushmail這種具有加密功能的網(wǎng)絡(luò)程序則更進(jìn)一步。Hushmail可對(duì)傳輸中的電子郵件進(jìn)行加密，那樣它們無(wú)法被人截獲及讀取。它還能自動(dòng)對(duì)用戶收件箱中的郵件進(jìn)行加密，那樣保存在Hushmail服務(wù)器上的電子郵件歷史記錄就很安全，不會(huì)被不法分子偷窺到。

不過(guò)即便采取了這些加密保護(hù)措施，有些在線數(shù)據(jù)仍有可能不在用戶的控制范圍之內(nèi)。比方說(shuō)，在網(wǎng)上編輯而不是僅僅保存在網(wǎng)上的文字處理文檔和電子表格就無(wú)法始終進(jìn)行加密。Ponemon表示，這就意味著，用戶仍得密切關(guān)注自己使用的服務(wù)、這些服務(wù)有多安全。

他認(rèn)為，收費(fèi)服務(wù)往往比廣告資助的服務(wù)來(lái)得安全。Ponemon表示，廣告資助的網(wǎng)站更有可能收集用戶的資料用于發(fā)布針對(duì)性廣告；這些資料有可能與營(yíng)銷(xiāo)商共享，也有可能在數(shù)據(jù)泄密事件中丟失。

不過(guò)，信譽(yù)良好的公司不大可能任由用戶數(shù)據(jù)離開(kāi)自己的控制范圍，從而拿自己的品牌來(lái)冒險(xiǎn)。Ponemon說(shuō)：“通常要留意網(wǎng)站不大合法的一些跡象。如果你開(kāi)始看到危險(xiǎn)信號(hào)，就要相信自己的直覺(jué)了?！?/P>

如果有所懷疑，就干脆把敏感數(shù)據(jù)保留在桌面上。電子邊疆基金會(huì)的Tien說(shuō)：“互聯(lián)網(wǎng)對(duì)消費(fèi)者的隱私來(lái)說(shuō)是個(gè)危機(jī)四伏的世界。最安全的事情是，把你的數(shù)據(jù)置于自己的保護(hù)和控制之下?！?/P>

云計(jì)算中確保數(shù)據(jù)安全的具體方法

◆對(duì)保存文件進(jìn)行加密

加密技術(shù)可以對(duì)文件進(jìn)行加密，那樣只有密碼才能解密。加密讓你可以保護(hù)數(shù)據(jù)，哪怕是數(shù)據(jù)上傳到別人在遠(yuǎn)處的數(shù)據(jù)中心時(shí)。PGP或者對(duì)應(yīng)的開(kāi)源產(chǎn)品TrueCrypt等程序都提供了足夠強(qiáng)大的加密功能；只要你使用無(wú)法破解的密碼，那么除了你，沒(méi)人能訪問(wèn)你的敏感信息。

◆對(duì)電子郵件進(jìn)行加密

PGP和TrueCrypt都能對(duì)文件在離開(kāi)你的控制范圍之前對(duì)它們進(jìn)行加密，從而起到保護(hù)作用。但這樣一來(lái)，電子郵件就岌岌可危了，因?yàn)樗且砸环N仍能夠被偷窺者訪問(wèn)的格式到達(dá)你的收件箱。為了確保郵件安全，不妨使用Hushmail或者M(jìn)utemail之類(lèi)的程序，兩者都能在網(wǎng)上使用，可以自動(dòng)對(duì)你收發(fā)的所有郵件進(jìn)行加密。

◆使用信譽(yù)良好的服務(wù)

就算你對(duì)文件進(jìn)行了加密，有些在線活動(dòng)（尤其是涉及在網(wǎng)上處理文件、而不是僅僅保存文件的活動(dòng)）仍很難保護(hù)。數(shù)據(jù)隱私研究公司波耐蒙研究所的總裁Larry Ponemon表示，這意味著用戶仍需要認(rèn)真考慮自己使用哪些服務(wù)。專(zhuān)家們建議使用名氣大的服務(wù)，它們不大可能拿自己的名牌來(lái)冒險(xiǎn)，不會(huì)任由數(shù)據(jù)泄密事件發(fā)生，也不會(huì)與營(yíng)銷(xiāo)商共享數(shù)據(jù)。

◆考慮商業(yè)模式

在設(shè)法確定哪些互聯(lián)網(wǎng)應(yīng)用值得信任時(shí)，應(yīng)當(dāng)考慮它們打算如何盈利。Larry Ponemon表示，收取費(fèi)用的互聯(lián)網(wǎng)應(yīng)用服務(wù)可能比得到廣告資助的那些服務(wù)來(lái)得安全。廣告給互聯(lián)網(wǎng)應(yīng)用提供商帶來(lái)了經(jīng)濟(jì)上的刺激，從而收集詳細(xì)的用戶資料用于針對(duì)性的網(wǎng)上廣告，因而用戶資料有可能落入不法分子的手里。

◆閱讀隱私聲明

幾乎有關(guān)互聯(lián)網(wǎng)應(yīng)用的每項(xiàng)隱私政策里面都有漏洞，以便在某些情況下可以共享數(shù)據(jù)。大多數(shù)互聯(lián)網(wǎng)應(yīng)用提供商在自己的政策條款中承認(rèn)：如果執(zhí)法官員提出要求，自己會(huì)交出相關(guān)數(shù)據(jù)。但了解到底哪些信息可能會(huì)披露，可以幫你確定把哪些數(shù)據(jù)保存在云計(jì)算環(huán)境、哪些數(shù)據(jù)保存在桌面上。

◆使用過(guò)濾器

Vontu、Websense和Vericept等公司提供一種系統(tǒng)，目的在于監(jiān)視哪些數(shù)據(jù)離開(kāi)了你的網(wǎng)絡(luò)，從而自動(dòng)阻止敏感數(shù)據(jù)。比方說(shuō)，社會(huì)保障號(hào)碼具有獨(dú)特的數(shù)位排列方式。還可以對(duì)這類(lèi)系統(tǒng)進(jìn)行配置，以便一家公司里面的不同用戶在導(dǎo)出數(shù)據(jù)方面享有不同程度的自由。（51CTO）