????目前,，云計(jì)算公司正大量涌現(xiàn)，與此同時(shí),，一些科技巨頭也在爭(zhēng)相收購(gòu)此類公司,。顯而易見，我們大量的用戶數(shù)據(jù)已經(jīng)存儲(chǔ)在云端了,。我們的電子郵件,、文檔以及社交網(wǎng)絡(luò)的用戶資料都是如此，而且成千上萬(wàn)的新興小企業(yè)都在依賴類似SalesForce.com的云服務(wù),，以提高生產(chǎn)效率,、降低成本。但是,，云服務(wù)的安全性仍然堪憂,。隨著越來(lái)越多的數(shù)據(jù)轉(zhuǎn)向云端，各公司及其用戶是否更容易遭遇黑客襲擊,、數(shù)據(jù)丟失以及隱私侵犯問(wèn)題,？

什么有風(fēng)險(xiǎn)？

????就拿信用卡數(shù)據(jù)來(lái)說(shuō)吧,，我們中絕大部分人都會(huì)不假思索的將信用卡卡號(hào)和密碼保存到自己的在線購(gòu)物檔案中,。支付卡行業(yè)（Payment Card Industry，PCI）是一個(gè)全球性的信息安全標(biāo)準(zhǔn),，由維薩卡（Visa Card）、萬(wàn)事達(dá)卡（MasterCard）,、美國(guó)運(yùn)通卡（American Express）及發(fā)現(xiàn)卡（Discover）等共同確定,。該標(biāo)準(zhǔn)對(duì)處理信用卡信息這類高風(fēng)險(xiǎn)數(shù)據(jù)的基礎(chǔ)設(shè)施提出了具體的要求。如果某基礎(chǔ)設(shè)施不能滿足所有要求，它就不符合支付卡行業(yè)標(biāo)準(zhǔn),。而因?yàn)樵品?wù)基礎(chǔ)設(shè)施與支付卡行業(yè)標(biāo)準(zhǔn)的適用對(duì)象差別很大,，所以事實(shí)上，大部分云服務(wù)供應(yīng)商都不符合支付卡行業(yè)標(biāo)準(zhǔn),。

????云服務(wù)商們?nèi)绾渭用苡脩魯?shù)據(jù),，對(duì)于安全性同樣至關(guān)重要。然而,，弗雷斯特公司（Forrester）云分析師王晨希（Chenxi Wang,，音）表示，云數(shù)據(jù)加密并不規(guī)范,。一些服務(wù)商加密數(shù)據(jù),，而另一些則沒(méi)有。對(duì)于那些提供加密的服務(wù)商,，需要注意的是它們的加密強(qiáng)度是否足夠,；它們用來(lái)存放你的數(shù)據(jù)的實(shí)體服務(wù)器是否完全加密（也就是說(shuō)，所有用戶數(shù)據(jù)是否都是使用同一方法加密,？）,；以及它們是否會(huì)提供應(yīng)用程序，獨(dú)立加密你的數(shù)據(jù),，而且針對(duì)不同用戶使用不同密鑰,？

????最后一點(diǎn)隱患來(lái)自于時(shí)下流行的云服務(wù)實(shí)現(xiàn)架構(gòu)：一些云服務(wù)商將不同客戶的數(shù)據(jù)存放在同一個(gè)實(shí)體服務(wù)器上。這樣,，客戶A可能是在執(zhí)行一個(gè)虛擬機(jī),，而客戶B則在執(zhí)行另一個(gè)虛擬機(jī)，但他們實(shí)際上是在同一實(shí)體服務(wù)器上運(yùn)行,。如果有經(jīng)驗(yàn)的黑客利用安全漏洞獲得了客戶A的權(quán)限,，那么獲取客戶B的數(shù)據(jù)對(duì)他來(lái)說(shuō)也并非難事。甚至極端一點(diǎn),，如果客戶A有心作祟,，他們也能成為竊賊。

????王晨希承認(rèn)：“上文提到的風(fēng)險(xiǎn)可大可小,，完全取決于云服務(wù)商,。從絕對(duì)安全的角度來(lái)看，如果你正在使用一家服務(wù)商的云服務(wù),，而另一家公司也剛好選擇了同樣的云服務(wù),，那么該公司就有可能利用隱藏型終端或是別的接口，侵入設(shè)備內(nèi)屬于你的部分,，從而竊取你的數(shù)據(jù),?！?/p>

????云服務(wù)商使用第三方公司提供的各類組件同樣會(huì)帶來(lái)隱患。雖然亞馬遜（Amazon）的云服務(wù)完全是內(nèi)部開發(fā)的,，但其它云服務(wù)則越來(lái)越依靠第三方公司,。

????王晨希列舉了最近發(fā)生的一個(gè)例子，一家服務(wù)商由于使用第三方公司而造成嚴(yán)重后果,。因?yàn)閿?shù)據(jù)備份需要,，客戶數(shù)據(jù)經(jīng)常需要備份到磁帶或是其它介質(zhì)中，但在規(guī)定的時(shí)間過(guò)后,，絕大部分備份數(shù)據(jù)都應(yīng)被銷毀,。最近，一家云服務(wù)商將備份磁帶交給一家數(shù)據(jù)銷毀公司處理,，王晨希稱該數(shù)據(jù)銷毀公司遺失了所有的磁帶,，也就是說(shuō)磁帶上的所有用戶數(shù)據(jù)都不知所蹤。

????王晨希表示：“這家云服務(wù)商的處境非常艱難,，因?yàn)樗麄儧](méi)法確認(rèn)數(shù)據(jù)都真的被銷毀了,。”

降低云服務(wù)的風(fēng)險(xiǎn)

????為了盡量避免陷入上述困境,，尋找云服務(wù)供應(yīng)商的潛在客戶必須好好做下功課,。

????客戶如果想完全了解和控制自己的數(shù)據(jù)，那只有一個(gè)辦法,，就是盡可能多的了解情況,，并在合同談判的過(guò)程中保持強(qiáng)硬。既然沒(méi)有PCI這樣的標(biāo)準(zhǔn),，那就不要盲目相信他們能夠保護(hù)你的數(shù)據(jù),，或是輕信他們的片面之詞：客戶們應(yīng)該知道數(shù)據(jù)存儲(chǔ)的細(xì)節(jié)；知道自己的數(shù)據(jù)在與他人共享的實(shí)體服務(wù)器上是如何被加密的,；知道服務(wù)商們是否使用了第三方服務(wù),；還應(yīng)該知道那些服務(wù)商們的工作流程?？蛻魬?yīng)該非常清楚自己的數(shù)據(jù)是如何被處理的,，以及云服務(wù)商的里里外外有哪些人可以接觸到這些數(shù)據(jù)。

????在上文提及的備份數(shù)據(jù)丟失事件中,，大家似乎理所當(dāng)然的認(rèn)為那家云服務(wù)商會(huì)及時(shí)聯(lián)系受影響客戶,，告知他們安全隱患。但實(shí)際上,，該公司并沒(méi)有義務(wù)這樣做,，除非他們與客戶的合同中有明確規(guī)定。所以,，你必須明確要求服務(wù)商,，無(wú)論遇到何種情況,，都要給客戶通知提醒。

????在合同談判中,，還有哪些需要了解的呢？首先是雇用第三方機(jī)構(gòu)時(shí)的“優(yōu)先購(gòu)買權(quán)”,，其次是考察服務(wù)商是否能提供獨(dú)立實(shí)體服務(wù)器和機(jī)柜,，以及獨(dú)立數(shù)據(jù)加密服務(wù)?？蛻舻纳鲜鲆蟛⒉灰欢艿玫綕M足,，這取決于他們與服務(wù)商的合作歷史及其業(yè)務(wù)的價(jià)值，但是,，如果客戶不提出這些要求,，并隨后出現(xiàn)安全問(wèn)題，其代價(jià)可能相當(dāng)慘重,。當(dāng)然,，在過(guò)去幾年中，一些最為嚴(yán)重的隱私數(shù)據(jù)丟失案例,，都是因?yàn)楣P記本被偷,，那些絕對(duì)不應(yīng)出現(xiàn)在個(gè)人電腦上的數(shù)據(jù)，最后卻落入小偷之手（實(shí)際情況甚至可能更糟糕）,。

????顯然,，以上所有注意事項(xiàng)，對(duì)那些正在建立基于云端的業(yè)務(wù),，且希望善待客戶的公司來(lái)說(shuō)至關(guān)重要,。但事實(shí)上，除去公司網(wǎng)站上千篇一律的隱私保護(hù)聲明,，普通客戶通常都無(wú)從得知自己的數(shù)據(jù)究竟是如何被處理的,。也就是說(shuō)：尚未能確保數(shù)據(jù)安全，我們就已經(jīng)進(jìn)入云時(shí)代了,。

????譯者：項(xiàng)航