楊曉慧

摘 要：科技的進(jìn)步是順應(yīng)歷史的發(fā)展趨勢(shì)，信息技術(shù)和社會(huì)形態(tài)發(fā)展到了新的階段，新的問(wèn)題也隨之而來(lái)，個(gè)人信息安全的保護(hù)問(wèn)題就是其中之一。

關(guān)鍵詞：云服務(wù)；信息泄露；敏感信息；數(shù)據(jù)保護(hù)

引言

隨著互聯(lián)網(wǎng)和云計(jì)算技術(shù)的急速發(fā)展和普及，云計(jì)算在提高使用效率的同時(shí)，為數(shù)字內(nèi)容安全和用戶個(gè)人敏感信息保護(hù)帶來(lái)了很大的挑戰(zhàn)。

近年來(lái)針對(duì)云計(jì)算安全性的研究重點(diǎn)涉及數(shù)據(jù)安全、內(nèi)容安全、隱私保護(hù)、運(yùn)行環(huán)境安全、虛擬資源安全等幾個(gè)方面，而針對(duì)敏感信息的保護(hù)問(wèn)題，在虛擬化環(huán)境下尤為突出。從近年來(lái)發(fā)生網(wǎng)絡(luò)信息平臺(tái)用戶信息泄露的事件來(lái)看，大多數(shù)系統(tǒng)安全隱患主要存在于兩個(gè)方面：一方面是用戶Web應(yīng)用系統(tǒng)的后門或泄露，另一方面是用戶IT支撐系統(tǒng)安全防護(hù)手段的缺失。這些事件都反映出云平臺(tái)敏感信息保護(hù)工作的復(fù)雜性和多樣性。

1 什么是云服務(wù)

云服務(wù)是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交互模式，通常涉及通過(guò)互聯(lián)網(wǎng)來(lái)提供動(dòng)態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源。云服務(wù)指通過(guò)網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需服務(wù)。這種服務(wù)可以是IT和軟件、互聯(lián)網(wǎng)相關(guān)，也可是其他服務(wù)。它意味著計(jì)算能力也可作為一種商品通過(guò)互聯(lián)網(wǎng)進(jìn)行流通。簡(jiǎn)單來(lái)說(shuō)，云服務(wù)可以將企業(yè)、個(gè)人所需的軟硬件、資料都放到網(wǎng)絡(luò)上，在任何時(shí)間、地點(diǎn)，使用不同的IT設(shè)備互相連接，實(shí)現(xiàn)數(shù)據(jù)存取、運(yùn)算等目的。當(dāng)前，常見(jiàn)的云服務(wù)有公共云（Public Cloud）與私有云（Private Cloud）兩種。

2 云服務(wù)面臨的安全隱患和現(xiàn)狀

科技的進(jìn)步是順應(yīng)歷史的發(fā)展趨勢(shì)，信息技術(shù)和社會(huì)形態(tài)發(fā)展到了新的階段，新的問(wèn)題也隨之而來(lái)，個(gè)人信息安全的保護(hù)問(wèn)題就是其中之一。當(dāng)互聯(lián)網(wǎng)離大家生活越來(lái)越近，不難假設(shè)以下場(chǎng)景：起床開(kāi)燈洗漱，看時(shí)間，乘坐交通工具，上班，消費(fèi)，下班，休息，娛樂(lè)等等，在這過(guò)程中會(huì)使用到相關(guān)系統(tǒng)有的家庭電力系統(tǒng)，智能設(shè)備系統(tǒng)，智能家居系統(tǒng)，交通管理系統(tǒng)，財(cái)務(wù)系統(tǒng)，醫(yī)療系統(tǒng)等等，他們都會(huì)通過(guò)媒介將采集到的信息回傳到各自搭建在云計(jì)算系統(tǒng)上的服務(wù)系統(tǒng)中。這些數(shù)據(jù)涵蓋了個(gè)人社會(huì)生活工作中的所有方面，其中包括了個(gè)人信息的很多方面，也是行業(yè)數(shù)據(jù)的一部分。對(duì)這些數(shù)據(jù)進(jìn)行挖掘分析和利用，將會(huì)產(chǎn)生很大的價(jià)值，對(duì)許多行業(yè)將產(chǎn)生作用。但是，社會(huì)中，存在復(fù)雜的利益團(tuán)體，他們可能會(huì)為了自身的利益而濫用云系統(tǒng)中收集到的信息數(shù)據(jù)。技術(shù)上，廣闊和復(fù)雜的網(wǎng)絡(luò)環(huán)境和信息系統(tǒng)，給了破壞者可乘之機(jī)，并且有些技術(shù)本身就是存在兩面：可以給用戶帶來(lái)方便和存在信息泄露的風(fēng)險(xiǎn)，比如用戶追蹤技術(shù)的應(yīng)用：cookie追蹤技術(shù)。分析可知，個(gè)人敏感信息的泄漏會(huì)發(fā)生在其任意生命周期中，產(chǎn)生，傳播，存儲(chǔ)，使用等等。在各個(gè)階段中，除了意外情況以外，政府或其他監(jiān)管方，個(gè)人，信息系統(tǒng)廠商或是第三方產(chǎn)品提供商，可能由于某一方或幾方未能做好保護(hù)工作，最終導(dǎo)致個(gè)人信息敏感信息的泄漏。

2.1.缺乏信任的云計(jì)算

GreenSQL調(diào)查主要集中在一個(gè)主要問(wèn)題：“當(dāng)你將數(shù)據(jù)庫(kù)轉(zhuǎn)移到云端時(shí)，你最擔(dān)心什么安全問(wèn)題？”許多受訪者表示，他們根本不相信目前云數(shù)據(jù)存儲(chǔ)服務(wù)提供的安全水平，理由是，轉(zhuǎn)移到云端意味著要完全信任服務(wù)供應(yīng)商能夠在龐大網(wǎng)絡(luò)平臺(tái)保持分割，而這個(gè)平臺(tái)可以由多個(gè)客戶端同時(shí)訪問(wèn)。

困擾云服務(wù)行業(yè)的另一個(gè)問(wèn)題是數(shù)據(jù)備份機(jī)制，以及存儲(chǔ)在云中的信息究竟如何避免濫用或丟失的問(wèn)題。這些企業(yè)是不能確保數(shù)據(jù)備份會(huì)存儲(chǔ)在單獨(dú)的磁帶或者專門的設(shè)備上的。事實(shí)是，你的這些備份信息會(huì)與其他客戶的數(shù)據(jù)一起存儲(chǔ)在供應(yīng)商可以負(fù)擔(dān)得起的備份媒介上?？膳碌氖牵悴粫?huì)知道誰(shuí)，何時(shí)，能夠訪問(wèn)這些信息。

2.2.供應(yīng)商必須逐漸建立信任

惠普軟件高級(jí)安全策略師兼著名云安全專家Rafal Los表示，云數(shù)據(jù)存儲(chǔ)供應(yīng)商可以通過(guò)持續(xù)的保障措施來(lái)增加客戶對(duì)其服務(wù)的信任，例如主動(dòng)安全監(jiān)測(cè)，定期發(fā)布安全狀態(tài)報(bào)告以及遵守可行的法規(guī)。

Los表示：“客戶不是要一份過(guò)時(shí)的合規(guī)報(bào)告，顯示你即時(shí)打補(bǔ)丁，或者數(shù)月之久的滲透測(cè)試結(jié)果，他們想知道你的環(huán)境現(xiàn)在是健康和安全的。系統(tǒng)安全與系統(tǒng)健康緊密聯(lián)系，這兩者必須與分析平臺(tái)整合，例如與惠普OpsAnalytics平臺(tái)—提供實(shí)時(shí)性能遙測(cè)分析和全面的日志分析，讓用戶能夠確定是否有現(xiàn)實(shí)世界無(wú)法檢測(cè)的攻擊，或者說(shuō)找出‘未知攻擊?！?/p>

3 云服務(wù)泄露信息的方式

數(shù)據(jù)泄露的方式是比較多的，云服務(wù)產(chǎn)生信息泄露的方式當(dāng)然也包括在其中，主要有以下幾種：

（1）黑客和間諜竊密

（2）外部競(jìng)爭(zhēng)對(duì)手竊密

（3）人員離職帶走數(shù)據(jù)

（4）內(nèi)部人員泄密

（5）文檔權(quán)限失控

（6）存儲(chǔ)設(shè)備丟失和維修失密

（7）對(duì)外信息發(fā)布失控

4 怎樣安全使用云服務(wù)

用戶是整個(gè)網(wǎng)絡(luò)安全體系的短板，作為互聯(lián)網(wǎng)時(shí)代的網(wǎng)民，應(yīng)該必備的信息安全知識(shí)和方法。

（1）作為常識(shí)，我們都應(yīng)該選擇面向全球或全國(guó)提供云服務(wù)的比較出名的服務(wù)商。

（2）遵循強(qiáng)密碼約束（大小寫字母、數(shù)字以及特殊符號(hào)混編，10位以上），區(qū)別對(duì)待重要程度不同的帳戶，避免使用相同密碼。

（3）防止木馬或釣魚(yú)陷阱。建議不要瀏覽色情網(wǎng)站、不要打開(kāi)來(lái)源不明的鏈接。

（4）對(duì)重要的數(shù)據(jù)做好備份，以防止數(shù)據(jù)丟失。

（5）免費(fèi)云存儲(chǔ)服務(wù)沒(méi)有商業(yè)級(jí)安全承諾和保障，盡量不要存儲(chǔ)個(gè)人的敏感信息和隱私數(shù)據(jù)。

（6）云存儲(chǔ)服務(wù)基本都提供文件分享功能，應(yīng)盡可能選擇加密分享，完全公開(kāi)前應(yīng)先確定是否涉及秘密信息。

5 總結(jié)

對(duì)于個(gè)人，在提高人們對(duì)自身個(gè)人敏感信息保護(hù)意識(shí)的同時(shí)，盡可能的防止沒(méi)有意識(shí)的個(gè)人信息泄漏，避免給惡意攻擊者可乘之機(jī)。各種信息系統(tǒng)的安全漏洞可能會(huì)客觀一直存在，直到被發(fā)現(xiàn)后得到修復(fù)，所以系統(tǒng)用戶如果發(fā)現(xiàn)了，就應(yīng)該盡快的反饋到系統(tǒng)提供的廠商。