云服务中的敏感信息保护-

摘要：随着互联网技术的飞速发展与广泛应用，云服务走进我们的生活。云计算、网盘、云存储等远程备份技术应运而生并得到广大用户的青睐。但随着应用的广泛深入、用户敏感数据的大量汇聚，大规模的数据存储需要严格的访问控制和身份认证的管理，但云端服务器与互联网相连使得这种管理的难度加大，账户劫持、攻击、身份伪造、认证失效、密匙丢失等都可能威胁用户数据安全。近些年来，受到大数据经济利益的驱使，众多网络黑客对准了互联网运营服务商，使得用户数据泄露事件时有发生，大量的数据被黑客通过技术手段窃取，给用户带来巨大损失，并且极大地威胁到了个人信息安全。因而，在享受云服务给我带来的便利的同时，我们也要采取相应措施对个人敏感信息进行保护保护。关键词：云服务；个人信息；信息安全一、云服务以及其带来的个人信息安全隐患目前，云服务的具体运用为：云物联、云安全和云存储。（一）云物联：《物联网导论》一书将物联网和云计算的关系描述如下：物联网中的感知识别设备（如传感器、RFID等）生成的大量信息如果不能有效地整合与利用，那无异于入宝山而空返，望“数据的海洋”而兴叹。云计算架构可以用来解决数据如何存储、如何检索、如何使用、如何不被滥用等关键问题。在物联网和工业互联网的趋势下，信息安全面临如下挑战：平台太多、涉及到的环节太多、安全基础太差、风险更高、基础架构不同导致现有的技术手段大多数会失效。设备数量的规模估计是移动互联网的十倍甚至上百倍，以中国为例，手机是人手1-2个，但是物联网设备可以高达每人十几个甚至上百个（想想家里的家用电器数量和其他所有可以被采集的家具、快递、服装等等），这意味着整个信息安全问题会扩大数十倍。这不得不引起我们的重视，如今家里智能设备越来越多，我们的个人隐私，敏感信息的保护显得更加重要。试想一下，你每天的生活都被无数摄像头记录下，好比无数双眼睛一直盯着你。打开手机，各种软件会根据你曾经的消费记录或者浏览记录给你推送各种食品，商品；你刚下车到了另一个城市，可能各种旅游广告、车旅优惠卷就会向你袭来；打开浏览器，总是有各种为你制定好广告等着你。可能你的信息别人比你还清楚。的确，大数据时代的到来给我们的生活带来了许多便利，但是一旦我们的各种信息被泄露出去，别人对你就会了如指掌。（二）云安全：融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到服务端自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。（三）云存储：是在云计算概念上延伸和发展出来的一个新的概念，是一种新兴的网络存储技术，是指通过集群应用、网络技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的系统。手机、平板电脑、笔记本电脑等终端设备中单位或个人用户数据在线远程备份成为重要信息防丢失、异地随遇接入和移动办公的首选。用户对于个人信息安全的担忧是云计算服务推广应用的首要障碍，云计算的理念是开放和共享而个人信息安全注重封闭和私权，两者之间存在一定的矛盾。个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照，可识别特定个人的信息。个人信息涉及用户的人身自由、人格尊严、财产权利等基本权利事关重大一般具有极高的敏感性。用户在决定是否使用云计算之前会对云计算的安全风险加以衡量。使用云计算功能在线存储的文档、图片、视频等文件大量涉及个人信息，一旦云计算的安全体系被攻破，则可能发生个人信息泄露、贩卖等事件严重危及用户的人身财产安全甚至会造成社会恐慌。与传统的互联网技术相比云计算环境下保护个人信息的必要性更加突出。一是因为云计算下个人信息脱离了用户的控制范围，一旦云计算服务商的数据中心发生事故，用户无法知悉，也无法及时采取措施，只能被动挨打。二是因为云计算的交互式、参与性、网络化的特点，用户几乎将所有个人信息被动或者主动地全部暴露在云计算服务商平台上。有很多移动平台用户喜欢随时将自己用手机或平板拍摄的照片与视频通过云存储快速上传到网盘中，这样可以非常快捷的通过WEB或PC客户端在异地甚至即时取回照片，但是大家可能不太相信的是你上传的每一张照片或其他文件都有可能是云存储的服务端明文保存的，据参与过某云存储项目开发的人员介绍，从运维成本上考虑实现私钥加密不太现实，管理员可以从服务端的平台中直接查看和删除用户上传的文件，这些文件中不乏用户的机密文件或用户私隐，现阶段大型服务端都是通过建立严格的制度体系来约束管理人员的职业操守，但是人都是有弱点的，一旦人的操守被弃的时候在其权力范围内可视的内容是否还是只属于你自己呢？二、云服务中的个人信息安全管理风险在云计算产业巨大利益的驱使下，云计算服务商可能有意或者无意地大量收集用户的个人信息。云计算的主要商业模式是由云计算服务商运用数据挖掘技术，海量收集各类政府机关、企事业单位、个人用户的信息，进行储存、信息交换、个性服务、定向营销等。信息量越大，服务功能越强，商业价值就越大这直接激发了云计算服务商收集个人信息的动力。首先，用户在使用云计算上的软件时，并不知悉个人信息已经被计算服务商获取。虽然法律规定服务商必须履行告知义务，但是软件的告知明细往往过于复杂，用户如果不仔细阅读一般都难以发现。特别是信息收集技术的不断进步，云计算服务商的信息收集能力不断增强，信息收集的种类和数量往往超出了用户能够知晓的范围。有时候，云计算服务商秘密收集或者备份用户的个人信息，但有时用户知道自己的个人信息要被收集，为了享有便利的服务，不得不放弃个人信息权。其次，由于数据挖掘、数据比对等众多信息收集技术的出现，云计算服务商具备了强大的信息比对、分析、归纳、推理、整理能力，能够将用户在不同平台不同服务中的碎片化个人信息整理成完整的个人信息图谱，能够掌握用户完整的特征和清晰的活动轨迹。虽然这些个人信息能够更方便地为用户提供优质的个性化服务，但这些脱离信息主体的个人信息，往往处于事实上的权利失控状态，信息主体并不知道谁收集、处理和利用了他们的信息，以及以何种手段收集、处理和利用他们的信息，这构成了巨大的个人信息收集风险。第三，不同云计算平台之间可能存在不正当的个人信息交换，秘密签订个人信息共享协议，实现云计算服务商的商业利益最大化。特别是在云计算不区分国界的情况下，个人信息的跨境传输更难以管控。斯诺登事件就曝光了一些云计算企业在国家力量的支持下，收集其他国家公民的个人信息。这样的跨境收集个人信息的行为，不仅侵害了公民的民事权利，还侵害了一个国家的信息主权。三、针对个人敏感信息采取的保护措施云服务安全问题归结原因有三：一是传统在线存储多采用简单口令认证方式，虽然登录方便但口令认证安全强度低；二是用户数据在公用信道上公开传输、服务端多为明文存储，易被恶意第三方窃取；三是越权用户可较容易地从网盘、云存储等服务器端窃取合法用户信息，造成批量用户数据泄露的恶性安全事件。因此作为云服务用户，我们在登录使用相关云服务平台式，在设置密码口令时，尽量包括数字、字母和符号，这样大大降低黑客破解我们口令的几率。这是我们应该做到的，也是最容易做到的。除此之外，以下有三点建议分享给大家：（一）清楚决定哪部分业务应用参与云，并评估选择合适云服务应用在云时代，云提供的是根据具体应用需求进行定制化服务。作为用户，应该先思考好，哪一部分业务应用参与云，是私有云的存储还是公有云的共享。根据具体的应用需求，评估你所要使用的云服务的适合性。评估可以从云服务以往为其他用户提供过的类似服务进行参考，参考的类目包括服务有用性和贴近性、服务的中断率及问题解决间隔时间、服务的反馈优劣程度。好比淘宝购物多关注下买家评论，货比三家，找到适合自己的云服务应用（二）与选定应用交流，提前了解好个人信息安全条款用户决定接受云服务很大程度上是看重云服务的性价比高，然而安全性却是相对的。就比如选乘飞机，它的安全性是最高同时也是最低的，飞机一出问题，乘客的存活率较其他交通工具而言是最低的，而云就是如此。用户必须与选定好的应用提供商沟通，设想出种种可能会出现服务中断的情况，包括硬件问题、外部攻击入侵、内容文档出错，等等。根据设想出来接受服务过程中可能出现的种种问题，用户和应用公司也就是云服务提供商共同提前签好约定，为日后安全问题发生了做好准备。（三）在数据贵重堪比黄金当下，用户放在云端的数据必须确保安全存放用户可以与应用提供商开发身份认证系统，设定关卡，确保只有用户放在云端的该应用的相关人员和所需共享人员能够访问，而第三方无关人员无权进入。应用数据存储云端，除了云服务提供商会建立相应的监控机制进行实时监控外，作为企用户自身内部，应该安排固定负责人员对云端之物也进行动态实时监控。目前还有许多硬件加密设备，比如U盾、虹膜识