企业数据云端存储存在大量安全隐患

最近，美国联邦政府就揭露了包括互联网搜索引擎、电子邮件、云服务提供商的任何互联网上的有关数据“隐私”的神话。

有专家表示，其实，一旦您的企业将数据信息转移到云计算，那么就意味着根本没有办法能完全百分百的确保您企业数据的安全。

“您无法了解确切的情况。您不能信任任何人，每个人都可能对您说谎。”安全专家BruceSchneier说。“您如何确定哪种平台是值得信任的？这些平台服务商甚至都可能会说谎，因为政府机构迫使他们必须这样。”

尽管包括电子邮件、即时聊天工具、社会网络和云服务商们都一直声称：您存储在他们那里的相关数据是私人的、且加密的（甚至在他们的服务协议中也会明确强调这一点）。但在通常有密钥的往往是他们，而不是您。这意味着这些服务供应商的某个不良雇员或某些政府机构就能够“合法”的请求获得加密密钥，并解密、查看您的数据信息。

Schneier说，即使有服务提供商表示，只有顾客自己才能够生成和维护加密密钥，但其实他们也没有办法确保其他人无法获得您数据的访问权限。

例如，苹果公司的短信/彩信通信平台和iMessage均声称您的语音和文字信息是加密的，不会被第三方听到或看到。“但是，由于该产品不是开源的，我们也没办法知道它们是如何工作的。”电子前沿基金会(EFF:ElectronicFrontierFoundation)的一名工作技师丹•奥尔巴赫表示。“可能正是基于这些应用的工作方式，苹果才有方法来访问这些数据信息，这同样适用于iCloud。”

美国公民自由联盟（ACLU），在今年早些时候透露，美国政府声称他们有权在未经授权的情况下读取个人在网上的数据信息。“这样的案例无处不在。而不是美国所独有的，尽管美国吹嘘其有多么独特。”研究公司Gartner的分析师杰伊•海泽说。

除了美国政府已经承认收集的“元数据”。谷歌、微软、雅虎等互联网巨头均应美国政府的要求移交数据持续多年了。谷歌经常收到政府机构和法院提出的提交用户数据的请求。据称，去年该公司共计收到政府部门的21,389次请求，涉及33,634个用户的账户信息。而其中，66％的时间，谷歌至少提供了某些数据以响应。同一时期，微软收到70,665宗请求，涉及到122,015个账户。超过谷歌被披露的请求的3倍还多。

一个新的虚拟锁行业正蓬勃发展，消费者可以将他们的数据放在云服务，供应商自己也不能获得这些信息——即使政府机构想要访问。

美国公民自由联盟所获得的来自FBI和美国律师办公室的最新文件透露了政府机构监控公民电子邮件的做法的惊人现实。在今年3月，美国公民自由联盟所获得的文件也显示，美国国税局在读取公民的电子邮件时并非总是得到相关法庭命令的。

奥尔巴赫表示：“很多人可能并不介意云服务供应商会将他们的某些数据转移给政府部门，但其他某些类型的客户则可能会更关心数据的私密性问题。”例如，如果您是普通消费者，将您的照片、视频、数字音乐或者其他无关紧要的文件存储在云存储服务，您可能不会特别介意黑客或政府获得这些数据。同样，如果您将您企业的某些并不敏感的历史记录归档的财务报表、简报、新闻稿或营销材料存储在云服务，您甚至可能都并不关心谁看过这些材料。

“也有某些云服务供应商提供友好的政策，明确表明他们会努力争取用户的权利，试图抵制政府不合理的数据监控要求。”奥尔巴赫说。那些企业表示要在获得用户授权的前提下提供客户数据，基于这些标准，我们给这些企业进行打分评级。

EFF隐私宣传组，已经提起了诉讼，挑战国家安全局的间谍程序。它还创造了一个网站，申斥19家最大的互联网公司，以保护您的数据进行着他们的努力。EFF网站基于以下六大标准对相关企业进行评级：

· 要求有搜查令；

· 在收到关于政府的数据请求时会告诉用户；

· 发布透明度报告；

· 发布相关法律法规指南；

· 会在法庭上为用户争取隐私权

· 会在国会为用户争取隐私权

例如，苹果公司、AT&T和雅虎均只获得一星的评级。而Dropbox、LinkedIn和谷歌则获得五星评级。Twitter和ISPsonic.net在保护用户数据方面获得了六星的最高评级。

“如果您真的担心您的数据会最终转移到政府部门，毕竟政府部门最终可以通过一系列流线型的法律流程来获得访问您的数据的权限，用户最好是将自己的数据信息保存在本地，并加密方式将数据存储在云中。”奥尔巴赫说。

另一个旨在保护消费者和企业数据的项目是Tahoe权威文件系统项目（Tahoe-LAFS），这是一个由开发商ZookoWilcox-O'Hearn提供的免费的开源存储系统，O'Hearn创建的该存储服务以确保数据免受安全窥探以及弹性的硬件故障。这项服务是分布在多个存储服务器的网格。O'Hearn一直与Dropbox一同就安全的计算数据方式进行工作。所有的数据加密和完整性检查通过网关服务器，使服务器可以既不能读也不能修改文件的内容。

“即使某些服务器运行失败或被某些攻击者所接管，整个文件系统将继续正常工作，保护您的隐私和安全，”该服务组织声称。

如果您正在寻找一款真正强大的在线存储解决方案，用户应考虑端到端的加密，奥尔巴赫说。这意味着加密密钥只在您自己的私人服务器或计算机上。“这样一来，服务提供商只能看到加密的乱码的。”他说。

“对于那些文本通信，如即时消息，OTR（非正式的）协议足以保证您的通信是安全的。”奥尔巴赫说。OTR是一个密码协议使用AES算法、Diffie-Hellman密钥交换以及SHA-1散列函数相结合的方法。对于电子邮件，采用PGP协议和收件人开放PGP加密电子邮件，保证任何服务供应商都无法看到您发送的内容。这种加密邮件和文本信息的方式唯一存在的问题在于,与您交流的对方也必须采用了协议的操作系统，这样您就可以分享公共密钥来解密数据。

对于一般性文档文件，TrueCrypt或者PGP是可靠的加密算法，能够让通过密钥完全控制，而且它们是免费的。同时也有相关的密码管理工具，如keypass或OnePass，确保您的密码是随机的产生的，使得加密更具弹性。

当涉及到社交网络时，诸如Facebook、Twitter、LinedIn、Google+或Ning，唯一的保护方法是供应商所提供的隐私设置。但是，这并不意味着服务提供商或政府不能访问您的数据信息。

“如果我们失去了隐私权，那么云计算对我们来说又有多少好处呢？”在线隐私专家马克•温斯坦说。“这就像如果您所有的朋友和亲戚都可以随意的查看您的短信和电子邮件，您会感觉如何？”

温斯坦创造了一个称为Sgrouples的私人社交网络。该网站现在刚刚上线，但其隐私服务仍处于开发阶段，预计将在今年第四季度推出。该社交网的用户密码和数据可以通过Blowfish加密算法进行加密。该社交网络服务将允许“群”或“朋友”共享加密内容，只有有密码的用户才能看到别人的帖子。与其他社交网络一样，它允许用户共享文件、视频和事件。可以在台式机或移动平台上登录。用户可以享用4GB的免费存储空间。Sgrouples有自己的隐私权利规定，承诺用户拥有自己的内容，不会跟踪其Cookie。该网站的规定还指出，如果其相关政策遭受变故，即使为另一家公司收购，也必须事先通知用户，给用户一个简单的方法来删除自己的账户。温斯坦说：“如果政府相关机构拿着法院命令要求我们出具相关数据，我们必须遵守，但是，我们其实什么信息也提供不了。”

“当我向我的朋友发布一个帖子的时候，我不希望受到某家企业的监视，也不希望我的祖母会看到我的帖子的内容。”他补充说。“我们只是不相信生活必须是完全公开的。”