后棱鏡時(shí)代對(duì)云端數(shù)據(jù)安全的思考

由于非美國(guó)公司對(duì)“棱鏡”項(xiàng)目的顧慮，美國(guó)云計(jì)算產(chǎn)業(yè)在未來(lái)三年內(nèi)將虧損215億美元至350億美元。

8月初，美國(guó)華盛頓的獨(dú)立政策智囊團(tuán)“信息技術(shù)與創(chuàng)新基金會(huì)”（Information Technology Innovation Foundation）發(fā)布報(bào)告稱(chēng)，由于非美國(guó)公司對(duì)“棱鏡”項(xiàng)目的顧慮，美國(guó)云計(jì)算產(chǎn)業(yè)在未來(lái)三年內(nèi)將虧損215億美元至350億美元?！@是在“棱鏡門(mén)”淡出人們視線之后，分析機(jī)構(gòu)第一次對(duì)其后續(xù)影響進(jìn)行剖析。

所謂美國(guó)“棱鏡”項(xiàng)目，是美國(guó)國(guó)家安全局（NSA）實(shí)施的電子監(jiān)控項(xiàng)目，今年6月被前中情局員工愛(ài)德華·斯諾登公之于眾。美國(guó)《華盛頓郵報(bào)》刊出的9張項(xiàng)目ppt顯示，美國(guó)政府通過(guò)微軟、谷歌、雅虎、Facebook、PalTaIk、YouTube、Skype、AOL、蘋(píng)果九大互聯(lián)網(wǎng)公司獲取網(wǎng)民的信息，這些信息包括電子郵件、數(shù)據(jù)、音視頻記錄、文件、視頻會(huì)議、連接日志和社交網(wǎng)絡(luò)資料等等。由于這九大互聯(lián)網(wǎng)公司的服務(wù)覆蓋世界每一個(gè)角落，相當(dāng)于全球絕大多數(shù)網(wǎng)民都在美國(guó)政府的監(jiān)視之下，毫無(wú)隱私可言。

“棱鏡”項(xiàng)目被曝光后，美國(guó)政府在對(duì)外的聲明中不斷強(qiáng)調(diào)它的合法性，聲稱(chēng)該項(xiàng)目以“監(jiān)控恐怖分子”為目的，并且主要針對(duì)外國(guó)公民。這一解釋獲得了很好的效果——據(jù)《華盛頓郵報(bào)》與Pew Research的調(diào)查，半數(shù)以上（56%）的美國(guó)人理解美國(guó)國(guó)家安全局的監(jiān)控行為。然而這一“利好”的結(jié)果卻引起外國(guó)云計(jì)算用戶對(duì)數(shù)據(jù)安全的擔(dān)憂，美國(guó)的云計(jì)算服務(wù)商只能眼睜睜看著潛在用戶轉(zhuǎn)投他處。

云端數(shù)據(jù)安全問(wèn)題緣何如此敏感？

在互聯(lián)網(wǎng)行業(yè)，圍繞安全在進(jìn)行著一場(chǎng)持久的攻防戰(zhàn)，即使是互聯(lián)網(wǎng)服務(wù)巨頭，也常常遭黑客攻擊而導(dǎo)致用戶數(shù)據(jù)泄露。2001年，亞馬遜10萬(wàn)名圖書(shū)用戶資料被黑客竊取，包括姓名、地址及信用卡號(hào)碼等信息遭曝光；2010年，F(xiàn)acebook 1億多用戶資料泄露，被公布在BT網(wǎng)站；同年，11.4萬(wàn)iPad用戶資料被ATT網(wǎng)站泄露，包括姓名、郵箱、信用卡號(hào)；2011年，索尼7700萬(wàn)用戶信息泄露，包括部分用戶的信用卡信息……層出不窮的安全事件頻頻觸動(dòng)用戶的神經(jīng)。

由于云計(jì)算用戶的數(shù)據(jù)全部放在云端，所以數(shù)據(jù)安全顯得更加重要。尤其對(duì)公司用戶來(lái)說(shuō)，數(shù)據(jù)往往涉及商業(yè)機(jī)密，任何第三方對(duì)數(shù)據(jù)的采集和使用都可能導(dǎo)致信息泄露，甚至造成經(jīng)濟(jì)損失。除此之外，云計(jì)算自身的一些因素也對(duì)數(shù)據(jù)安全構(gòu)成威脅，例如技術(shù)漏洞、內(nèi)部管理問(wèn)題等等。這些因素加在一起，使用戶如驚弓之鳥(niǎo)，對(duì)云端數(shù)據(jù)安全異常敏感。

所以說(shuō)，這次非美國(guó)公司對(duì)“棱鏡”項(xiàng)目的反應(yīng)在情理之中。

“棱鏡”給云計(jì)算行業(yè)造成巨大損失

事實(shí)上，在“棱鏡”項(xiàng)目被曝光之初，有人便對(duì)云計(jì)算服務(wù)的未來(lái)表示了擔(dān)憂。長(zhǎng)期以來(lái)，安全問(wèn)題一直是云計(jì)算實(shí)現(xiàn)落地的最大障礙，而“棱鏡”項(xiàng)目的曝光讓這一情況雪上加霜。盡管半數(shù)美國(guó)民眾對(duì)政府的監(jiān)控行為表示理解，但這種理解是建立在有限度的“維護(hù)社會(huì)安全”的基礎(chǔ)上。政府行為的不透明可能導(dǎo)致數(shù)據(jù)被濫用，而且產(chǎn)生的風(fēng)險(xiǎn)主要由美國(guó)之外的用戶承擔(dān)。

“棱鏡”事件是全球云計(jì)算行業(yè)一場(chǎng)噩夢(mèng)。雖然“棱鏡”的主角是美國(guó)政府，但人們絕不會(huì)高估其他政府的操守，所以這種影響會(huì)擴(kuò)散到全球。用戶準(zhǔn)備使用云服務(wù)時(shí)，會(huì)對(duì)“棱鏡”一類(lèi)的數(shù)據(jù)監(jiān)控項(xiàng)目心存芥蒂。因此，“棱鏡”給全球云計(jì)算行業(yè)帶來(lái)的最大損失是信任危機(jī)，而且美國(guó)云服務(wù)商首當(dāng)其沖！美國(guó)一直是全球云計(jì)算服務(wù)的領(lǐng)軍者，現(xiàn)在不僅自己要面對(duì)海外市場(chǎng)持續(xù)萎縮的狀況，還給全球的云服務(wù)行業(yè)制造了障礙。信息技術(shù)與創(chuàng)新基金會(huì)對(duì)云安全聯(lián)盟（Cloud Security Alliance）的成員進(jìn)行了調(diào)查。在受調(diào)查的非美國(guó)公司當(dāng)中，10%表示已經(jīng)取消了與美國(guó)云計(jì)算服務(wù)提供商的合作項(xiàng)目；56%則表示不大可能使用美國(guó)的云計(jì)算服務(wù)。36%的受調(diào)查美國(guó)公司則表示，美國(guó)國(guó)家安全局電子監(jiān)控項(xiàng)目的曝光，讓他們?cè)诤Ｍ馐袌?chǎng)舉步維艱。事實(shí)上，所有的云服務(wù)商都要重新取得用戶的信任。

如何解決云端數(shù)據(jù)安全問(wèn)題？

我們不能否認(rèn)云計(jì)算時(shí)代的來(lái)臨，這是無(wú)法逆轉(zhuǎn)的事實(shí)。因此，面對(duì)云端數(shù)據(jù)的安全問(wèn)題時(shí)，我們更應(yīng)該去迎戰(zhàn)而不是撤退。保護(hù)云端數(shù)據(jù)安全，需要從兩個(gè)方面入手：一是通過(guò)技術(shù)手段保護(hù)數(shù)據(jù)，二是通過(guò)立法規(guī)范監(jiān)控行為。

我們知道，公有云最容易受到政府監(jiān)控。公有云的三大模式IaaS、paas和SaaS中，SaaS是最不安全的，而IaaS和PaaS安全性要好得多。綜合而言，在用戶對(duì)公有云的隱私情況存有顧慮的情況下，最好的方法是采用私有云。私有云對(duì)于用戶來(lái)說(shuō)完全可控，并且在數(shù)據(jù)安全和網(wǎng)絡(luò)安全方面能做得更好。當(dāng)私有云無(wú)法滿足特定的業(yè)務(wù)需求時(shí)，用戶可以選擇構(gòu)建混合云來(lái)實(shí)現(xiàn)彈性計(jì)算和數(shù)據(jù)安全的均衡。保證數(shù)據(jù)安全的另一個(gè)措施是對(duì)數(shù)據(jù)進(jìn)行加密。政府部門(mén)可以不經(jīng)授權(quán)審查云端的數(shù)據(jù)，所以將自己的數(shù)據(jù)存放于未加密的數(shù)據(jù)庫(kù)中是不可取的。對(duì)于商業(yè)機(jī)密數(shù)據(jù)，這樣的數(shù)據(jù)泄露會(huì)造成巨大的經(jīng)濟(jì)損失。因此，用戶應(yīng)該對(duì)云端的數(shù)據(jù)實(shí)施加密，特別是SaaS服務(wù)，一定要通過(guò)成熟的加密技術(shù)保護(hù)敏感數(shù)據(jù)，確保數(shù)據(jù)在傳輸、使用和存儲(chǔ)時(shí)的安全。

當(dāng)然，“棱鏡”項(xiàng)目中政府并非通過(guò)“駭客”的手段獲取用戶數(shù)據(jù)，而是直接通過(guò)服務(wù)商獲得。而且美國(guó)民眾對(duì)“棱鏡”的“支持”態(tài)度，也提醒我們要從另一個(gè)角度思考問(wèn)題，即通過(guò)立法保護(hù)數(shù)據(jù)安全性。這是一個(gè)復(fù)雜的問(wèn)題：美國(guó)“棱鏡”項(xiàng)目以《外國(guó)情報(bào)偵察法修正案》為依據(jù)，卻威脅到云端數(shù)據(jù)的隱私安全；而德國(guó)的數(shù)據(jù)保護(hù)法律十分嚴(yán)格，卻阻礙了數(shù)據(jù)流通，不利于云計(jì)算發(fā)展的進(jìn)程。所以，法律應(yīng)該既要保證用戶的數(shù)據(jù)安全，又要保證數(shù)據(jù)的高效流通；既要要打擊網(wǎng)絡(luò)犯罪，又要規(guī)范政府和和云服務(wù)商的行為。

我們必須承認(rèn)在公共安全面前沒(méi)有絕對(duì)的隱私，政府的監(jiān)控在一定程度上可以阻止犯罪，維護(hù)社會(huì)的穩(wěn)定，這是它積極的一面。云計(jì)算服務(wù)商需要配合政府的監(jiān)控，又有義務(wù)保護(hù)用戶數(shù)據(jù)。所以，明確云計(jì)算服務(wù)商的責(zé)任，并且，提高政府自身的透明度，這是爭(zhēng)取用戶信任的唯一辦法。政府掌握公民的一切數(shù)據(jù)，必須通過(guò)法律予以制衡。政府挖掘海量公民數(shù)據(jù)的行為，必須經(jīng)過(guò)更透明的過(guò)程授權(quán)。只有這樣才可能重新燃起公眾對(duì)云計(jì)算的信心，而不是將其視為安全和隱私黑洞。盡管在現(xiàn)在看來(lái)，實(shí)現(xiàn)這一步還很遙遠(yuǎn)，但這是確保云計(jì)算行業(yè)長(zhǎng)遠(yuǎn)發(fā)展的基石。