后棱鏡時(shí)代對云端數(shù)據(jù)安全的思考

由于非美國公司對“棱鏡”項(xiàng)目的顧慮，美國云計(jì)算產(chǎn)業(yè)在未來三年內(nèi)將虧損215億美元至350億美元。

8月初，美國華盛頓的獨(dú)立政策智囊團(tuán)“信息技術(shù)與創(chuàng)新基金會(huì)”（Information Technology Innovation Foundation）發(fā)布報(bào)告稱，由于非美國公司對“棱鏡”項(xiàng)目的顧慮，美國云計(jì)算產(chǎn)業(yè)在未來三年內(nèi)將虧損215億美元至350億美元。——這是在“棱鏡門”淡出人們視線之后，分析機(jī)構(gòu)第一次對其后續(xù)影響進(jìn)行剖析。

所謂美國“棱鏡”項(xiàng)目，是美國國家安全局（NSA）實(shí)施的電子監(jiān)控項(xiàng)目，今年6月被前中情局員工愛德華·斯諾登公之于眾。美國《華盛頓郵報(bào)》刊出的9張項(xiàng)目ppt顯示，美國政府通過微軟、谷歌、雅虎、Facebook、PalTaIk、YouTube、Skype、AOL、蘋果九大互聯(lián)網(wǎng)公司獲取網(wǎng)民的信息，這些信息包括電子郵件、數(shù)據(jù)、音視頻記錄、文件、視頻會(huì)議、連接日志和社交網(wǎng)絡(luò)資料等等。由于這九大互聯(lián)網(wǎng)公司的服務(wù)覆蓋世界每一個(gè)角落，相當(dāng)于全球絕大多數(shù)網(wǎng)民都在美國政府的監(jiān)視之下，毫無隱私可言。

“棱鏡”項(xiàng)目被曝光后，美國政府在對外的聲明中不斷強(qiáng)調(diào)它的合法性，聲稱該項(xiàng)目以“監(jiān)控恐怖分子”為目的，并且主要針對外國公民。這一解釋獲得了很好的效果——據(jù)《華盛頓郵報(bào)》與Pew Research的調(diào)查，半數(shù)以上（56%）的美國人理解美國國家安全局的監(jiān)控行為。然而這一“利好”的結(jié)果卻引起外國云計(jì)算用戶對數(shù)據(jù)安全的擔(dān)憂，美國的云計(jì)算服務(wù)商只能眼睜睜看著潛在用戶轉(zhuǎn)投他處。

云端數(shù)據(jù)安全問題緣何如此敏感？

在互聯(lián)網(wǎng)行業(yè)，圍繞安全在進(jìn)行著一場持久的攻防戰(zhàn)，即使是互聯(lián)網(wǎng)服務(wù)巨頭，也常常遭黑客攻擊而導(dǎo)致用戶數(shù)據(jù)泄露。2001年，亞馬遜10萬名圖書用戶資料被黑客竊取，包括姓名、地址及信用卡號碼等信息遭曝光；2010年，F(xiàn)acebook 1億多用戶資料泄露，被公布在BT網(wǎng)站；同年，11.4萬iPad用戶資料被ATT網(wǎng)站泄露，包括姓名、郵箱、信用卡號；2011年，索尼7700萬用戶信息泄露，包括部分用戶的信用卡信息……層出不窮的安全事件頻頻觸動(dòng)用戶的神經(jīng)。

由于云計(jì)算用戶的數(shù)據(jù)全部放在云端，所以數(shù)據(jù)安全顯得更加重要。尤其對公司用戶來說，數(shù)據(jù)往往涉及商業(yè)機(jī)密，任何第三方對數(shù)據(jù)的采集和使用都可能導(dǎo)致信息泄露，甚至造成經(jīng)濟(jì)損失。除此之外，云計(jì)算自身的一些因素也對數(shù)據(jù)安全構(gòu)成威脅，例如技術(shù)漏洞、內(nèi)部管理問題等等。這些因素加在一起，使用戶如驚弓之鳥，對云端數(shù)據(jù)安全異常敏感。

所以說，這次非美國公司對“棱鏡”項(xiàng)目的反應(yīng)在情理之中。

“棱鏡”給云計(jì)算行業(yè)造成巨大損失

事實(shí)上，在“棱鏡”項(xiàng)目被曝光之初，有人便對云計(jì)算服務(wù)的未來表示了擔(dān)憂。長期以來，安全問題一直是云計(jì)算實(shí)現(xiàn)落地的最大障礙，而“棱鏡”項(xiàng)目的曝光讓這一情況雪上加霜。盡管半數(shù)美國民眾對政府的監(jiān)控行為表示理解，但這種理解是建立在有限度的“維護(hù)社會(huì)安全”的基礎(chǔ)上。政府行為的不透明可能導(dǎo)致數(shù)據(jù)被濫用，而且產(chǎn)生的風(fēng)險(xiǎn)主要由美國之外的用戶承擔(dān)。

“棱鏡”事件是全球云計(jì)算行業(yè)一場噩夢。雖然“棱鏡”的主角是美國政府，但人們絕不會(huì)高估其他政府的操守，所以這種影響會(huì)擴(kuò)散到全球。用戶準(zhǔn)備使用云服務(wù)時(shí)，會(huì)對“棱鏡”一類的數(shù)據(jù)監(jiān)控項(xiàng)目心存芥蒂。因此，“棱鏡”給全球云計(jì)算行業(yè)帶來的最大損失是信任危機(jī)，而且美國云服務(wù)商首當(dāng)其沖！美國一直是全球云計(jì)算服務(wù)的領(lǐng)軍者，現(xiàn)在不僅自己要面對海外市場持續(xù)萎縮的狀況，還給全球的云服務(wù)行業(yè)制造了障礙。信息技術(shù)與創(chuàng)新基金會(huì)對云安全聯(lián)盟（Cloud Security Alliance）的成員進(jìn)行了調(diào)查。在受調(diào)查的非美國公司當(dāng)中，10%表示已經(jīng)取消了與美國云計(jì)算服務(wù)提供商的合作項(xiàng)目；56%則表示不大可能使用美國的云計(jì)算服務(wù)。36%的受調(diào)查美國公司則表示，美國國家安全局電子監(jiān)控項(xiàng)目的曝光，讓他們在海外市場舉步維艱。事實(shí)上，所有的云服務(wù)商都要重新取得用戶的信任。

如何解決云端數(shù)據(jù)安全問題？

我們不能否認(rèn)云計(jì)算時(shí)代的來臨，這是無法逆轉(zhuǎn)的事實(shí)。因此，面對云端數(shù)據(jù)的安全問題時(shí)，我們更應(yīng)該去迎戰(zhàn)而不是撤退。保護(hù)云端數(shù)據(jù)安全，需要從兩個(gè)方面入手：一是通過技術(shù)手段保護(hù)數(shù)據(jù)，二是通過立法規(guī)范監(jiān)控行為。

我們知道，公有云最容易受到政府監(jiān)控。公有云的三大模式IaaS、paas和SaaS中，SaaS是最不安全的，而IaaS和PaaS安全性要好得多。綜合而言，在用戶對公有云的隱私情況存有顧慮的情況下，最好的方法是采用私有云。私有云對于用戶來說完全可控，并且在數(shù)據(jù)安全和網(wǎng)絡(luò)安全方面能做得更好。當(dāng)私有云無法滿足特定的業(yè)務(wù)需求時(shí)，用戶可以選擇構(gòu)建混合云來實(shí)現(xiàn)彈性計(jì)算和數(shù)據(jù)安全的均衡。保證數(shù)據(jù)安全的另一個(gè)措施是對數(shù)據(jù)進(jìn)行加密。政府部門可以不經(jīng)授權(quán)審查云端的數(shù)據(jù)，所以將自己的數(shù)據(jù)存放于未加密的數(shù)據(jù)庫中是不可取的。對于商業(yè)機(jī)密數(shù)據(jù)，這樣的數(shù)據(jù)泄露會(huì)造成巨大的經(jīng)濟(jì)損失。因此，用戶應(yīng)該對云端的數(shù)據(jù)實(shí)施加密，特別是SaaS服務(wù)，一定要通過成熟的加密技術(shù)保護(hù)敏感數(shù)據(jù)，確保數(shù)據(jù)在傳輸、使用和存儲時(shí)的安全。

當(dāng)然，“棱鏡”項(xiàng)目中政府并非通過“駭客”的手段獲取用戶數(shù)據(jù)，而是直接通過服務(wù)商獲得。而且美國民眾對“棱鏡”的“支持”態(tài)度，也提醒我們要從另一個(gè)角度思考問題，即通過立法保護(hù)數(shù)據(jù)安全性。這是一個(gè)復(fù)雜的問題：美國“棱鏡”項(xiàng)目以《外國情報(bào)偵察法修正案》為依據(jù)，卻威脅到云端數(shù)據(jù)的隱私安全；而德國的數(shù)據(jù)保護(hù)法律十分嚴(yán)格，卻阻礙了數(shù)據(jù)流通，不利于云計(jì)算發(fā)展的進(jìn)程。所以，法律應(yīng)該既要保證用戶的數(shù)據(jù)安全，又要保證數(shù)據(jù)的高效流通；既要要打擊網(wǎng)絡(luò)犯罪，又要規(guī)范政府和和云服務(wù)商的行為。

我們必須承認(rèn)在公共安全面前沒有絕對的隱私，政府的監(jiān)控在一定程度上可以阻止犯罪，維護(hù)社會(huì)的穩(wěn)定，這是它積極的一面。云計(jì)算服務(wù)商需要配合政府的監(jiān)控，又有義務(wù)保護(hù)用戶數(shù)據(jù)。所以，明確云計(jì)算服務(wù)商的責(zé)任，并且，提高政府自身的透明度，這是爭取用戶信任的唯一辦法。政府掌握公民的一切數(shù)據(jù)，必須通過法律予以制衡。政府挖掘海量公民數(shù)據(jù)的行為，必須經(jīng)過更透明的過程授權(quán)。只有這樣才可能重新燃起公眾對云計(jì)算的信心，而不是將其視為安全和隱私黑洞。盡管在現(xiàn)在看來，實(shí)現(xiàn)這一步還很遙遠(yuǎn)，但這是確保云計(jì)算行業(yè)長遠(yuǎn)發(fā)展的基石。