“云计算”的数据安全性仍有待进一步探究

乍一看,互联网应用程序似乎是谷歌公司送给世人的礼物。

这个网络业巨擘为用户了免费的应用程序,比如电子邮件、文字处理、电子表格和网络存储,并且把这些应用程序放在"云计算环境"–换句话说,放在谷歌自己的机器上,而不是放在你我的机器上。用户通过互联网以一种便于数据共享的方式来访问及使用这些程序。

云计算在安全性和隐私性上前景不明

一旦说到安全性和隐私性,云计算服务的前景就显得不那么光明了,微软及越来越多的其他公司也在提供这种服务。如果用户把自己的数据连同这些程序放在别人的硬件上,就会对常常很敏感的信息失去一度的控制。

比方说,一家投资银行的员工使用Google Spreadsheets来组织管理员工社会保障号码清单。那么,保护这些信息远离黑客及内部数据泄密事件的责任就落在了谷歌的肩上,而不是银行的肩上。命令交出信息的政府调查人员可能会要求谷歌交出那些社会保障号码,而不通知数据的所有者。而有些在线软件公司(可能不如谷歌那样有所顾忌)甚至乐意与营销公司共享用户的敏感数据。

谷歌的隐私政策规定:如果该公司"善意地理由"必须提供相关数据,以满足"任何可适用的法律、法规、法律程序或者强制执行的政府要求",那么它将与政府共享数据。

谷歌的产品管理主管Scott Petry说:"我们在对待客户的数据时,投入的审计和监管力度比许多顾客自己还要来得大。但如果我们接到传票,就会按法办事。"他补充说,在一些情况下,传票可以是"保密的",这意味着谷歌可以按照法律不用告知用户他们的数据提供给了政府。

个人隐私拥护者表示,其他公司对待用户的数据可能不这么慎重。电子边疆基金会的高级律师兼隐私分析师Lee Tien说:"把自己的数据交到别人的手里,这总是会带来风险。一旦你决定了让别人来保存自己的信息,已经越过了第一道安全闸门。下一个重大问题是,你对现在拥有你信息的那家公司有多信任?"

从最近发生的安全事件来看,互联网公司保存的数据其安全性成了用户需要考虑的一个问题。2006年,美国在线(AOL)在公共网页上向研究人员发布了65万名用户的搜索词语;微软和雅虎在去年向调查一宗儿童色情案的美国司法部披露了一些搜索数据。

网络犯罪分子入侵以及公司丢失数据等事件日益增多,这也给云计算带来了种种问题。比如去年,零售商TJX丢失了4500万个信用卡号码,被一伙黑客偷走;英国政府把2500万纳税人的记录弄丢了;在线软件公司Salesforce.com曾发函给数百万用户,声称有些顾客的电子邮件地址和电话号码已被网络犯罪分子获取;并且提醒用户,另一批网络钓鱼者在企图向更广泛的Salesforce.com用户发送恶意软件。

数据加密及有偿服务或许确保用户信息安全

这一切是否意味着用户为了安全、就非得放弃互联网应用呢?数据隐私研究公司波耐蒙研究所(Ponemon Institute)的总裁Larry Ponemon表示,那倒未必,但使用网络工具需要特别的防范。

他表示,确保数据在网上的安全性,一个肯定管用的办法就是使用加密技术。PGP或者相应的开源产品TrueCrypt等程序能够加密文件,那样只有密码才能读取该文件。把文件保存到网络上之前先进行加密,这意味着除了用户,谁也无法获取文件里面的敏感信息–不管这个文件最终出现在哪里。

像免费的电子邮件应用程序Hushmail这种具有加密功能的网络程序则更进一步。Hushmail可对传输中的电子邮件进行加密,那样它们无法被人截获及读取。它还能自动对用户收件箱中的邮件进行加密,那样保存在Hushmail服务器上的电子邮件历史记录就很安全,不会被不法分子偷窥到。

不过即便采取了这些加密保护措施,有些在线数据仍有可能不在用户的控制范围之内。比方说,在网上编辑而不是仅仅保存在网上的文字处理文档和电子表格就无法始终进行加密。Ponemon表示,这就意味着,用户仍得密切关注自己使用的服务、这些服务有多安全。

他认为,收费服务往往比广告资助的服务来得安全。Ponemon表示,广告资助的网站更有可能收集用户的资料用于发布针对性广告;这些资料有可能与营销商共享,也有可能在数据泄密事件中丢失。

不过,信誉良好的公司不大可能任由用户数据离开自己的控制范围,从而拿自己的品牌来冒险。Ponemon说:"通常要留意网站不大合法的一些迹象。如果你开始看到危险信号,就要相信自己的直觉了。"

如果有所怀疑,就干脆把敏感数据保留在桌面上。电子边疆基金会的Tien说:"互联网对消费者的隐私来说是个危机四伏的世界。最安全的事情是,把你的数据置于自己的保护和控制之下。"

云计算中确保数据安全的具体方法

·对保存文件进行加密

加密技术可以对文件进行加密,那样只有密码才能解密。加密让你可以保护数据,哪怕是数据上传到别人在远处的数据中心时。PGP或者对应的开源产品TrueCrypt等程序都提供了足够强大的加密功能;只要你使用无法破解的密码,那么除了你,没人能访问你的敏感信息。

·对电子邮件进行加密

PGP和TrueCrypt都能对文件在离开你的控制范围之前对它们进行加密,从而起到保护作用。但这样一来,电子邮件就岌岌可危了,因为它是以一种仍能够被偷窥者访问的格式到达你的收件箱。为了确保邮件安全,不妨使用Hushmail或者Mutemail之类的程序,两者都能在网上使用,可以自动对你收发的所有邮件进行加密。

·使用信誉良好的服务

就算你对文件进行了加密,有些在线活动(尤其是涉及在网上处理文件、而不是仅仅保存文件的活动)仍很难保护。数据隐私研究公司波耐蒙研究所的总裁Larry Ponemon表示,这意味着用户仍需要认真考虑自己使用哪些服务。专家们建议使用名气大的服务,它们不大可能拿自己的名牌来冒险,不会任由数据泄密事件发生,也不会与营销商共享数据。

·考虑商业模式

在设法确定哪些互联网应用值得信任时,应当考虑它们打算如何盈利。Larry Ponemon表示,收取费用的互联网应用服务可能比得到广告资助的那些服务来得安全。广告给互联网应用提供商带来了经济上的刺激,从而收集详细的用户资料用于针对性的网上广告,因而用户资料有可能落入不法分子的手里。

·阅读隐私声明

几乎有关互联网应用的每项隐私政策里面都有漏洞,以便在某些情况下可以共享数据。大多数互联网应用提供商在自己的政策条款中承认:如果执法官员提出要求,自己会交出相关数据。但了解到底哪些信息可能会披露,可以帮你确定把哪些数据保存在云计算环境、哪些数据保存在桌面上。

·使用过滤器

Vontu、Websense和Vericept等公司提供一种系统,目的在于监视哪些数据离开了你的网络,从而自动阻止敏感数据。比方说,社会保障号码具有独特的数位排列方式。还可以对这类系统进行配置,以便一家公司里面的不同用户在导出数据方面享有不同程度的自由。