云環(huán)境下的商業(yè)秘密保護(hù)

李俐婷

云計算是全球新一輪IT革命最重要的標(biāo)志性創(chuàng)新，日益成為引領(lǐng)未來信息產(chǎn)業(yè)乃至整個經(jīng)濟社會創(chuàng)新發(fā)展的戰(zhàn)略性關(guān)鍵技術(shù)和基礎(chǔ)性創(chuàng)新平臺，在創(chuàng)造機遇的同時也帶來了挑戰(zhàn)。云環(huán)境的部署與應(yīng)用能夠幫助企業(yè)以更低運行成本獲取計算資源，但托管在云端的商業(yè)秘密也處于泄露的風(fēng)險中。由于歐美各國政府及企業(yè)在應(yīng)對云環(huán)境下的商業(yè)秘密泄露方面已經(jīng)有了較為完備的解決方案，故本文從歐美地區(qū)的典型案例出發(fā)，探索云環(huán)境下商業(yè)秘密保護(hù)的最佳實踐。

一、云環(huán)境下商業(yè)秘密新特征

云環(huán)境下商業(yè)秘密表現(xiàn)出了新的特征。雖然商業(yè)秘密的種類沒有發(fā)生變化，但是其表現(xiàn)形式發(fā)生了變化，如在IaaS模式下，商業(yè)秘密表現(xiàn)為存放在云端的用戶虛擬機等硬件中一切涉及商業(yè)秘密的技術(shù)信息與經(jīng)營信息。云環(huán)境本身的開放性、數(shù)據(jù)的分布式存儲結(jié)構(gòu)特性和云計算資源的共享性也增加了商業(yè)秘密泄露的風(fēng)險。2014年Verizon公司在一份研究報告中指出，近一半的商業(yè)秘密泄露的發(fā)生都與現(xiàn)任或者離任的員工有關(guān)，尤其是在制造業(yè)、金融業(yè)等領(lǐng)域更為突出。以2010年的Sasqua Group v.Courtney案為例，獵頭公司Sasqua起訴前員工Lori Courtney竊取其數(shù)據(jù)庫中客戶信息，并在跳槽后利用這些信息接觸客戶，這些保密信息包括客戶的簡歷、客戶關(guān)系等內(nèi)容。云計算應(yīng)用的普及和頻發(fā)的商業(yè)秘密侵權(quán)事件都說明了保證云端商業(yè)秘密的安全十分重要。

二、云環(huán)境下商業(yè)秘密的保護(hù)

云環(huán)境下商業(yè)秘密的保護(hù)需要云服務(wù)提供商與用戶通力合作。谷歌在“CloudNext”大會上展示了其云安全戰(zhàn)略，重申了云環(huán)境下企業(yè)應(yīng)在商業(yè)秘密保護(hù)方面承擔(dān)責(zé)任，認(rèn)為原有的由云服務(wù)提供商負(fù)責(zé)數(shù)據(jù)中心的物理安全、由企業(yè)客戶負(fù)責(zé)應(yīng)用和數(shù)據(jù)的安全防護(hù)格局應(yīng)該改變。云服務(wù)提供商應(yīng)努力建立用戶的信任，以完備的安全措施說服用戶將商業(yè)秘密放在云端。以國外主流云服務(wù)商的實踐為例，建立起云環(huán)境下商業(yè)秘密的安全保障可以從以下兩個方面努力：

規(guī)范化服務(wù)打造“可信云”

為了確保云服務(wù)的安全性和可靠性，微軟投入大量人力物力來構(gòu)建自身“可信云（Trusted Cloud）”的框架，該框架包括安全、透明、隱私保護(hù)與合規(guī)四個方面。在雇傭數(shù)以千計的律師、分析師在100多個國家跟蹤分析當(dāng)?shù)胤ㄒ?guī)政策外以確保提供的云服務(wù)合規(guī)之外，微軟還在全球多地開設(shè)數(shù)據(jù)中心來保護(hù)客戶的商業(yè)秘密。技術(shù)的安全性和規(guī)范性、服務(wù)條款的透明性使微軟成為了目前獲得全球許多國家認(rèn)證最多的云服務(wù)商。

亞馬遜在2017年推出了“AWS秘密區(qū)域（AWS Secret Region）”服務(wù)，該服務(wù)符合多種合規(guī)要求，包括美國國家標(biāo)準(zhǔn)與技術(shù)局特別出版物800-53第4版—一對聯(lián)邦信息系統(tǒng)和組織的安全與隱私控制規(guī)定?！癆WS秘密區(qū)域”服務(wù)主要面向美國的情報機構(gòu)和第三方承包商，其規(guī)范化程度已經(jīng)足夠打消政府在數(shù)據(jù)存取和取用過程中的種種安全顧慮。

主動參與標(biāo)準(zhǔn)化建設(shè)，構(gòu)建事實標(biāo)準(zhǔn)

商業(yè)秘密的安全隱患是云服務(wù)在企業(yè)應(yīng)用中的一大阻礙，客戶只有在確認(rèn)將商業(yè)秘密存放在云端足夠安全時才會啟用云方案。為進(jìn)一步推廣云服務(wù)的應(yīng)用，美國政府通過《聯(lián)邦云計算計劃》、《聯(lián)邦風(fēng)險和授權(quán)管理計劃》等確保云計算服務(wù)滿足信息安全要求，建立統(tǒng)一、可靠的云計算服務(wù)。近年來眾多從事標(biāo)準(zhǔn)化建設(shè)的國際組織也紛紛啟動了云計算相關(guān)的標(biāo)準(zhǔn)化建設(shè)，如國際標(biāo)準(zhǔn)化組織、分布式管理任務(wù)組等。

國外主流云服務(wù)商抓住這一時機，積極參與相關(guān)標(biāo)準(zhǔn)的建設(shè)，如IBM、思科、微軟等早早加入了電信管理論壇、谷歌參加國際互聯(lián)網(wǎng)工程任務(wù)組關(guān)于云計算標(biāo)準(zhǔn)的討論等，都是IT企業(yè)通過標(biāo)準(zhǔn)化來構(gòu)建自身云服務(wù)品牌的常用手段，能夠在實際上增強技術(shù)的安全性，保證云服務(wù)符合各項法律和標(biāo)準(zhǔn)的要求。

除了積極參與各國際組織的標(biāo)準(zhǔn)制定之外，許多處于技術(shù)領(lǐng)先地位的云服務(wù)提供商也開始利用自己的先發(fā)優(yōu)勢制定并推廣事實標(biāo)準(zhǔn)。如IBM聯(lián)合VMWare、Sun和AMD等公司共同簽署了“開放云計算宣言”，提出了開放云計算方面的若干原則，對業(yè)界公認(rèn)的、市場實際接納的技術(shù)標(biāo)準(zhǔn)進(jìn)行正式的聲明，在維持自身的市場領(lǐng)先地位的同時也為云計算的安全性和互操作提供了保證。

標(biāo)準(zhǔn)化已經(jīng)成為業(yè)界的共識，更完善的標(biāo)準(zhǔn)體系和云計算安全評估認(rèn)證體系才能使云服務(wù)商的責(zé)任更加明確，幫助客戶應(yīng)對新技術(shù)環(huán)境對商業(yè)秘密保護(hù)的沖擊。

對于商業(yè)秘密領(lǐng)域，云計算的推廣是一把雙刃劍。云計算獨特的技術(shù)特征和便利性決定了企業(yè)在采用云服務(wù)方案的同時必須承擔(dān)一定的商業(yè)秘密泄露風(fēng)險。在企業(yè)用戶自身的網(wǎng)絡(luò)信息安全防范措施之外，云服務(wù)提供商在商業(yè)秘密保護(hù)上應(yīng)積極推進(jìn)云安全的標(biāo)準(zhǔn)化進(jìn)程，協(xié)助標(biāo)準(zhǔn)化組織制定行業(yè)標(biāo)準(zhǔn)并構(gòu)建事實標(biāo)準(zhǔn)，確保云服務(wù)的合規(guī)性和安全性，構(gòu)建云安全新生態(tài)。