索尼遭遇黑客袭击暴露商用云计算安全隐患

2011年4月17日至今,索尼公司家用游戏平台Playstation的在线平台PlayStationNetwork(缩写为PSN)至少遭遇了3次黑客袭击。入侵进入平台系统的黑客据信可能已经盗用了7700万用户的个人信息,包括PSN注册ID、邮箱账号、登录密码甚至是与信用卡账号相关的信息。索尼的PSN平台是一个典型的运用云计算概念的平台,而差不多正在同一时期的4月22日,亚马逊公司设在北弗吉尼亚州的云计算中心宕机,导致包括服务Quora、新闻服务Reddit、Hootsuite和位置跟踪服务FourSquare在内的一些网站受到了影响。

一次黑客袭击,一次目前为止还不太清楚原因的宕机事件,直接使一度风光无限的云计算概念蒙上一朵大大的疑云。如何确保商用云计算的信息安全以及避免企业借助信息技术优势随意搜集和滥用客户个人隐私信息,逐渐成为考验云计算未来发展的两个重要命题。

安全、安全,还是安全

确保云计算中心所存储数据的安全,确保计算中心的正常运作,构成了维持云计算概念的必要条件。将大量数据放置在“云端服务器”,从而用很少的钱就能非常快地将商业计划付诸实践,是总部位于纽约的Animoto公司首席执行官布莱德·杰斐逊对云端计算的经典描述。致力于高级信息技术研究的咨询公司HyperStratus的首席执行官伯纳德·戈登则认为,“云计算能帮助企业将资本转移到运营费用,而不是投入到昂贵的数据中心建设上”。但在这些优势的背后,如何确保存储大量珍贵信息的云端服务器的信息安全,却有意无意的被人们忽视了。

事实上,如同索尼PSN平台遭遇黑客袭击所证明的那样,即使对索尼这样的行业巨头,真正要强化对云端服务器的信息安全保障仍然是一笔不小的开支。以至于有消息披露,索尼PSN之所以被黑客轻易攻陷,就是公司为了节省成本,没有使用专业防火墙软件所致。

亚马逊云计算中心的宕机事件则从另一个方面证明云端数据安全面临的艰巨挑战:目前云端计算中心所依靠的软硬件似乎还没有万无一失确保自身运行可靠性与稳定性的良方。更让人觉得蹊跷的是,北弗吉尼亚州宕机的云端计算中心仅仅是亚马逊诸多云计算中心的一个,理论上这些云计算中心系统应该可以在某一个中心发生故障时,自动接管其承担的工作。但当宕机情况真的发生时,这种设计似乎并没有起到作用。

目前真正全面转移到云计算的数据与服务的规模还相对有限,未来如果真如人们所预测的那样,云计算成为主流应用方法时,如何避免此类宕机事件的出现,将存储于云端服务器的数据置于近似万无一失的防护状态,恐怕将是所有有志于继续运用和推广云计算的公司都必须严肃对待的问题。

隐私、隐私,又是隐私

第二个问题,则是云计算和客户的个人隐私保护问题。这次索尼PSN平台遭遇攻击导致大量客户信息的泄露,同时也是在谷歌和苹果手机定位门之后,第三度展现出信息巨头对客户信息的海量搜集。毫无疑问,这些信息对信息产业公司来说,意味着巨大的商机;但究其本质而言,这种商机是将个人的隐私商业化,而且由于客户和厂商之间在信息技术知识和能力的不对称性,客户缺乏有效的能力来抵制这种对个人隐私信息的海量搜集。就现有的软件运行模式,多数情况下,客户面临的是没有选择的选择:不按下同意按钮,“允许”厂商收集你的隐私信息,客户很多时候就无法完整享受产品或服务。

正是基于这种担心,曾经分别参加过总统选举的民主党参议员克里,以及共和党参议员麦凯恩,近日试图在国会推出1998年儿童在线隐私保护法的更新版本,这个目前被媒体称为“2011对在线追踪说不法案”的草案,计划对公司在线收集信息作出相应的限制,允许用户在适当时刻阻止信息技术公司对其在线活动信息以及个人隐私信息的搜集。这可以看做是美国社会对信息公司过度搜集个人隐私信息的一种反弹和制约,尽管这种制约还是非常有限的。同时这也提醒人们,在信息时代,不能将保障个人隐私的希望寄托在商业公司的自律、或者信息技术的发展之上,而必须通过立法等非技术手段构建良好的制度环境,以保障个人隐私。毕竟,相比享受便捷而愉快的信息产品,确保个人隐私继续是隐私,而不是无意间变成商家利润的来源,至少是同等重要的。

立法、立法,迫在眉睫

云计算,以及其他类型的更加先进而强大的信息技术应用,将不可避免地逐渐走入人们的生活,这是信息技术发展的大势所趋,如何在享受这些技术的同时,避免个人隐私遭遇损害,将是未来社会必须正视的关键问题,因此通过立法手段构建良好的制度环境显得十分重要。