云计算给信息安全带来的问题:
任何一个事物都可从正反两方面来评判,云计算在给用户带来方便、快捷运算的同时,也为用户的信息安全带来了诸多问题。主要包括以下几个方面。
1.非法用户的侵入
云计算在给用户带来快捷运算的同时, 也给用户的信息安全带来威胁。在用户无法控制的场所处理敏感信息可能会带来风险,因为这将绕过用户的 IT 部门对这些信息“物理、逻辑和人工的控制” 。所以,使用云计算的用户需要对处理这些信息的人员进行充分了解,并要求服务提供商提供详尽的管理员及信息处理人员的信息。
2.审计功能不完备
使用云计算的用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审计服务。用户只需要提交自身原始数据,数据的运算过程不接受用户的任何审计,最终结果也直接通过云计算服务器提供,用户无法审计运算结果,使得原始数据提供者承担了更多的责任和义务。
3.数据位置不清楚
用户在使用云计算服务时,并不清楚自己的数据储存在哪里,用户甚至都不知道数据位于哪个国家。就是当用户询问服务提供商数据是否存储在专门管辖的位置,以及他们是否遵循当地的隐私协议时,也会出现连服务提供商也无法回答的难堪,用户的数据会随机的分布在世界各地,无法确保数据按用户的需求存放在指定位置。
4.数据隔离不清晰
在云计算的体系下,所有用户的数据都位于共享环境之中。加密能够起一定作用,但是仍然不够。用户应当了解云计算提供商是否将一些数据与另一些隔离开,以及加密服务是否是由专家设计并侧试的。如果加密系统出现问题,那么,所有数据都将不能再使用。例如,目前许多考试均在网上进行,题库与答案必须采取必要的隔离措施,如果题库与答案隔离不到位,试题的安全将无法保证。
5.数据恢复难度大
云计算过程中,用户数据在众多“云”粒子终端运算,用户不知道数据存储的位置,云计算提供商也无法告诉用户在发生灾难时,用户数据和服务将会面临什么样的情况。任何没有经过备份的数据和应用程序都将出现问题。如果当用户的数据正在运算过程中,突然遭遇断电等突发事件,用户的数据将无法保证。由于数据存放地点不清楚,数据恢复更是无从谈起。
6.违法事件将增多
在云计算环境下,传统的针对特定用户的违法活动将难以实现,因为来自多个用户的数据可能会存放在一起,并且有可能会在多台主机或数据中心之间转移。但同时,针对不特定用户数据的违法活动会随之增加,如果服务提供商没有这方面的措施,在有违法行为发生时,国家公共安全部门将无从下手,这会使在云计算环境下的违法事件进一步增多。
保障信息安全的建议
笔者参考国内一些学者的建议,提出了使用加密技术、选择信誉好的服务、考虑公司商业模式等一系列手段来确保用户的数据安全。
1.加密技术的应用
用户在使用云计算过程中,可以采用加密技术对文件进行加密,只有密码才能解密。加密可以保护用户数据,哪怕是数据上传到他人的数据中心时也可以确保数据的安全性。笔者建议,可以使用 PGP 或者对应的开源产品,如 TrueCrypt 等程序都提供的足够强大的加密功能,只要你使用无法破解的密码,那么,除了你自己,没人能访问你的敏感信息。除此之外,用户的邮件安全也非常重要。用户可以采用使用 Hushmail 或者Nutemail 之类的程序对邮件进行加密,两者都能在网上使用,可以自动对你收发的所有邮件进行加密。
2.选择信誉好的服务
云计算用户即使对文件进行了加密,但某些在线活动,尤其是涉及在网上处理文件和保存文件的活动仍很难保护。这就意味着用户需要认真考虑自己使用哪些服务。笔者同意 IT专家们的建议,应当使用名气大的公司服务,因为它们不会用自己的品牌影响力来冒险,不会任由数据泄密事件发生,也不会与其他营销商共享用户数据。如,IBM 公司或微软公司。
3.考虑公司商业模式
任何云计算服务都需要成本和支出,用户在设法确定哪些互联网应用值得信任时,应当考虑它们打算如何盈利。可以说,收取费用的互联网应用服务可能比得到广告资助的那些服务来得安全。广告给互联网应用提供商带来了经济上的刺激,从而收集详细的用户资
料用于针对性的网上广告,所以用户资料有可能落入不法分子的手里。目前,我国刑法已经将故意泄露用户信息列入了刑法调查的范围,任何云计算服务商在为用户提供服务的同时,必须保证用户数据的安全。
4.仔细阅读隐私声明
目前,几乎所有互联网应用的每项隐私里面都有漏洞,主要是在某些情况下是否可以共享数据。大多数互联网应用提供商在自己的条款中谈到,如果侦查机关提出要求,自己会交出用户的相关数据。但实际上哪些信息可能会披露,服务提供商也无法提供详细的名录,无法为用户提供哪些数据会保存在云计算环境,哪些数据会保存在自身服务器上。
5.应当使用过滤器
Vontu.Websense 和 Vericept 等公司提供一种过滤器系统,目的在于监视哪些数据离开了用户的网络,从而自动阻止敏感数据外泄。比如,美国社会保障号码具有独特的数位排列方式,这些数据涉及到用户的个人隐私,用户可以过滤器系统进行安全配置,防止用户数据在不知情的状态下被泄露,及由此造成的用户自身数据的安全性降低。
