后棱镜时代对云端数据安全思考.docVIP

后棱镜时代对云端数据安全思考 　　由于非美国公司对“棱镜”项目的顾虑，美国云计算产业在未来三年内将亏损215亿美元至350亿美元。 　　8月初，美国华盛顿的独立政策智囊团“信息技术与创新基金会”（Information Technology Innovation Foundation）发布报告称，由于非美国公司对“棱镜”项目的顾虑，美国云计算产业在未来三年内将亏损215亿美元至350亿美元。——这是在“棱镜门”淡出人们视线之后，分析机构第一次对其后续影响进行剖析。 　　所谓美国“棱镜”项目，是美国国家安全局（NSA）实施的电子监控项目，今年6月被前中情局员工爱德华·斯诺登公之于众。美国《华盛顿邮报》刊出的9张项目ppt显示，美国政府通过微软、谷歌、雅虎、Facebook、PalTaIk、YouTube、Skype、AOL、苹果九大互联网公司获取网民的信息，这些信息包括电子邮件、数据、音视频记录、文件、视频会议、连接日志和社交网络资料等等。由于这九大互联网公司的服务覆盖世界每一个角落，相当于全球绝大多数网民都在美国政府的监视之下，毫无隐私可言。 　　“棱镜”项目被曝光后，美国政府在对外的声明中不断强调它的合法性，声称该项目以“监控恐怖分子”为目的，并且主要针对外国公民。这一解释获得了很好的效果——据《华盛顿邮报》与Pew Research的调查，半数以上（56%）的美国人理解美国国家安全局的监控行为。然而这一“利好”的结果却引起外国云计算用户对数据安全的担忧，美国的云计算服务商只能眼睁睁看着潜在用户转投他处。 　　云端数据安全问题缘何如此敏感？ 　　在互联网行业，围绕安全在进行着一场持久的攻防战，即使是互联网服务巨头，也常常遭黑客攻击而导致用户数据泄露。2001年，亚马逊10万名图书用户资料被黑客窃取，包括姓名、地址及信用卡号码等信息遭曝光；2010年，Facebook 1亿多用户资料泄露，被公布在BT网站；同年，11.4万iPad用户资料被ATT网站泄露，包括姓名、邮箱、信用卡号；2011年，索尼7700万用户信息泄露，包括部分用户的信用卡信息……层出不穷的安全事件频频触动用户的神经。 　　由于云计算用户的数据全部放在云端，所以数据安全显得更加重要。尤其对公司用户来??，数据往往涉及商业机密，任何第三方对数据的采集和使用都可能导致信息泄露，甚至造成经济损失。除此之外，云计算自身的一些因素也对数据安全构成威胁，例如技术漏洞、内部管理问题等等。这些因素加在一起，使用户如惊弓之鸟，对云端数据安全异常敏感。 　　所以说，这次非美国公司对“棱镜”项目的反应在情理之中。 　　“棱镜”给云计算行业造成巨大损失 　　事实上，在“棱镜”项目被曝光之初，有人便对云计算服务的未来表示了担忧。长期以来，安全问题一直是云计算实现落地的最大障碍，而“棱镜”项目的曝光让这一情况雪上加霜。尽管半数美国民众对政府的监控行为表示理解，但这种理解是建立在有限度的“维护社会安全”的基础上。政府行为的不透明可能导致数据被滥用，而且产生的风险主要由美国之外的用户承担。 　　“棱镜”事件是全球云计算行业一场噩梦。虽然“棱镜”的主角是美国政府，但人们绝不会高估其他政府的操守，所以这种影响会扩散到全球。用户准备使用云服务时，会对“棱镜”一类的数据监控项目心存芥蒂。因此，“棱镜”给全球云计算行业带来的最大损失是信任危机，而且美国云服务商首当其冲！美国一直是全球云计算服务的领军者，现在不仅自己要面对海外市场持续萎缩的状况，还给全球的云服务行业制造了障碍。信息技术与创新基金会对云安全联盟（Cloud Security Alliance）的成员进行了调查。在受调查的非美国公司当中，10%表示已经取消了与美国云计算服务提供商的合作项目；56%则表示不大可能使用美国的云计算服务。36%的受调查美国公司则表示，美国国家安全局电子监控项目的曝光，让他们在海外市场举步维艰。事实上，所有的云服务商都要重新取得用户的信任。 　　如何解决云端数据安全问题？ 　　我们不能否认云计算时代的来临，这是无法逆转的事实。因此，面对云端数据的安全问题时，我们更应该去迎战而不是撤退。保护云端数据安全，需要从两个方面入手：一是通过技术手段保护数据，二是通过立法规范监控行为。 　　我们知道，公有云最容易受到政府监控。公有云的三大模式IaaS、paas和SaaS中，SaaS是最不安全的，而IaaS和PaaS安全性要好得多。综合而言，在用户对公有云的隐私情况存有顾虑的情况下，最好的方法是采用私有云。私有云对于用户来说完全可控，并且在数据安全和网络安全方面能做得更好。当私有云无法满足特定的业务需求时，用户可以选择构建混合云来实现弹性计算和数据安全的均衡。保证数据安全的另一个措施是对数据进行加密