棱鏡時代對雲端安全的顧慮

時間 :09:58 取得文章短網址

文章分類 : News, Social Media

8 月初,美國華盛頓的獨立政策智囊團「訊息技術與創新基金會」(Information Technology & Innovation Foundation)發表報告稱,由於非美國公司對「棱鏡」項目的顧慮,美國雲電腦產業在未來三年內將虧損 215 億美元至 350 億美元。——這是在「棱鏡門」淡出人們視線之後,分析機構第一次對其後續影響進行剖析。

所謂美國「棱鏡」項目,是美國國家安全局(NSA)實施的電子監控項目,今年 6 月被前中情局員工愛德華‧斯諾登公之於眾。美國《華盛頓郵報》刊出的 9 張項目 ppt 顯示,美國政府通過 Microsoft 、Google、Yahoo、Facebook、PalTalk、YouTube、Skype、AOL、蘋果九大互聯網公司獲取網民的訊息,這些訊息包括電子郵件、數據、音視頻記錄、文件、視頻會議、連接日誌和社交網絡資料等等。由於這九大互聯網公司的服務覆蓋世界每一個角落,相當於全球絕大多數網民都在美國政府的監視之下,毫無隱私可言。

「棱鏡」項目被曝光後,美國政府在對外的聲明中不斷強調它的合法性,聲稱該項目以「監控恐怖分子」為目的,並且主要針對外國公民。這一解釋獲得了很好的效果——據《華盛頓郵報》與 Pew Research 的調查,半數以上(56%)的美國人理解美國國家安全局的監控行為。然而這一「利好」的結果卻引起外國雲電腦用家對數據安全的擔憂,美國的雲電腦服務商只能眼睜睜看著潛在用家轉投他處。

在互聯網行業,圍繞安全在進行著一場持久的攻防戰,即使是互聯網服務巨頭,也常常遭黑客攻擊而導致用家數據洩露。2001 年,Amazon 10 萬名圖書用家資料被黑客竊取,包括姓名、地址及信用卡號碼等訊息遭曝光; 2010 年,Facebook 1 億多用家資料洩露,被公佈在 BT 網站;同年,11.4 萬 iPad 用家資料被 AT&T 網站洩露,包括姓名、郵箱、信用卡號; 2011 年,Sony 7700 萬用家訊息洩露,包括部分用家的信用卡訊息 ?? 層出不窮的安全事件頻頻觸動用家的神經。

由於雲電腦用家的數據全部放在雲端,所以數據安全顯得更加重要。尤其對公司用家來說,數據往往涉及商業機密,任何第三方對數據的採集和使用都可能導致訊息洩露,甚至造成經濟損失。除此之外,雲電腦自身的一些因素也對數據安全構成威脅,例如技術漏洞、內部管理問題等等。這些因素加在一起,使用家如驚弓之鳥,對雲端數據安全異常敏感。所以說,這次非美國公司對「棱鏡」項目的反應在情理之中。

事實上,在「棱鏡」項目被曝光之初,有人便對雲電腦服務的未來表示了擔憂。長期以來,安全問題一直是雲電腦實現落地的最大障礙,而「棱鏡」項目的曝光讓這一情況雪上加霜。儘管半數美國民眾對政府的監控行為表示理解,但這種理解是建立在有限度的「維護社會安全」的基礎上。政府行為的不透明可能導致數據被濫用,而且產生的風險主要由美國之外的用家承擔。

「棱鏡」事件是全球雲電腦行業一場噩夢。雖然「棱鏡」的主角是美國政府,但人們絕不會高估其他政府的操守,所以這種影響會擴散到全球。用家準備使用雲服務時,會對 「棱鏡」一類的數據監控項目心存芥蒂。因此,「棱鏡」給全球雲電腦行業帶來的最大損失是信任危機,而且美國雲服務商首當其衝!美國一直是全球雲電腦服務的領軍者,現在不僅自己要面對海外市場持續萎縮的狀況,還給全球的雲服務行業製造了障礙。訊息技術與創新基金會對雲安全聯盟(Cloud Security Alliance)的成員進行了調查。在受調查的非美國公司當中,10% 表示已經取消了與美國雲電腦服務提供商的合作項目; 56% 則表示不大可能使用美國的雲電腦服務。36% 的受調查美國公司則表示,美國國家安全局電子監控項目的曝光,讓他們在海外市場舉步維艱。事實上,所有的雲服務商都要重新取得用家的信任。

我們不能否認雲電腦時代的來臨,這是無法逆轉的事實。因此,面對雲端數據的安全問題時,我們更應該去迎戰而不是撤退。保護雲端數據安全,需要從兩個方面入手:一是通過技術手段保護數據,二是通過立法規範監控行為。

我們知道,公有雲最容易受到政府監控。公有雲的三大模式 IaaS、PaaS 和 SaaS 中,SaaS 是最不安全的,而 IaaS 和 PaaS 安全性要好得多。綜合而言,在用家對公有雲的隱私情況存有顧慮的情況下,最好的方法是採用私有雲。私有雲對於用家來說完全可控,並且在數據安全和網絡安全方面能做得更好。當私有雲無法滿足特定的業務需求時,用家可以選擇構建混合雲來實現彈性電腦和數據安全的均衡。保證數據安全的另一個措施是對數據進行加密。政府部門可以不經授權審查雲端的數據,所以將自己的數據存放於未加密的數據庫中是不可取的。對於商業機密數據,這樣的數據洩露會造成巨大的經濟損失。因此,用家應該對雲端的數據實施加密,特別是 SaaS 服務,一定要通過成熟的加密技術保護敏感數據,確保數據在傳輸、使用和存儲時的安全。

當然,「棱鏡」項目中政府並非通過「駭客」的手段獲取用家數據,而是直接通過服務商獲得。而且美國民眾對「棱鏡」的「支援」態度,也提醒我們要從另一個角度思考問題,即通過立法保護數據安全性。這是一個複雜的問題:美國「棱鏡」項目以《外國情報偵察法修正案》為依據,卻威脅到雲端數據的隱私安全;而德國的數據保護法律十分嚴格,卻阻礙了數據流通,不利於雲電腦發展的進程。所以,法律應該既要保證用家的數據安全,又要保證數據的高效流通;既要要打擊網絡犯罪,又要規範政府和和雲服務商的行為。

我們必須承認在公共安全面前沒有絕對的隱私,政府的監控在一定程度上可以阻止犯罪,維護社會的穩定,這是它積極的一面。雲電腦服務商需要配合政府的監控,又有義務保護用家數據。所以,明確雲電腦服務商的責任,並且提高政府自身的透明度,這是爭取用家信任的唯一辦法。政府掌握公民的一切數據,必須通過法律予以制衡。政府挖掘海量公民數據的行為,必須經過更透明的過程授權。只有這樣才可能重新燃起公眾對雲電腦的信心,而不是將其視為安全和隱私黑洞。儘管在現在看來,實現這一步還很遙遠,但這是確保雲電腦行業長遠發展的基石。

你可能會對以下文章有興趣:

Leave a Reply

Your email address will not be published.