关于云端存储安全问题的几点思考

针对云端存储安全问题的几点思考随着云概念的提出，发展到现在，云领域已经形成巨大市场，用户在云端存储资料，甚至利用云端资源进行计算，已经渐渐被人们所接受。而单纯针对云端存储安全问题的考虑，学生认为可以从以下几个方面来考虑。第一个方面，从立法保护的角度。作为军事法学辅修专业的一名学生，看到这问题，脑子很自然就反应出来应该用法律这一强有力的工具来规范云端存储领域的不论是对于用户还是商家的行为。在现实生活中，我国法律对公民隐私权的保护是毫无疑问的，根据我国宪法第三十八条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这里的“用任何方法对公民进行侮辱”包括用宣扬他人隐私的方式，而保护公民的人格尊严，也当然地保护公民的隐私权。在虚拟网络中，法律对于公民隐私的保护立法正在逐步推进，执法力度也在进一步的加大。但是，法律是有明显的滞后性的，针对云端存储这一新兴的网络技术，还需要更多人的呼吁，才能有写进相关法律，实在的起到保护公民隐私的作用和规范云存储行业的可能。第二个方面，从用户的角度，由于用户在往云盘里放自己的东西的时候，往往不假思索的点击上传后便放任不管，就像简单的往自己电脑中的硬盘放东西一样。然而其中蕴含的风险不言而喻，仅靠自己与云运营商协商的口令来控制访问权限，我的理解是像一间装有东西的房子只在房门控制进来的人，而一旦人进来后，便没有进一步对他的行为进行监控。也就是我们把资料放在云端后，便放任了对资料本身的管理，所以也才有了苹果云端相册密码被破解后大量私人照片流出的事情发生。所以加强用户存储在云端资料安全的第一步就是对资料本身做全寿命的监控，我认为可以对资料的操作形成日志，可以实时通过短信或者邮件的方式告诉用户，让用户在最快的时间了解自己资料文件的动态，防止非法操作。第二步，要对具体文件的具体权限进一步做出规范，可以给资料打上用户自己的标签，打上用户独有的数字签名，对具体文件资料的访问再加一层访问控制。也就是如果敌手正常登录到用户的云端后也只能看到文件的文件名和一些相关的属性信息，而对文件操作权限还需作进一步的控制。当然，这时候的访问控制就需要加入电子令牌或者其他生物识别技术来确定是用户本人或者被用户授权过的正常操作。第三个方面，从云运营商的角度。前一段时间听讲座，有位教员提到了全同态加密的概念，说是直接对加密后的文件进行操作相应的明文信息也会做出同样的改变，这样一来，隐私的保护完全在于用户本身的管理，云运营商们则只承担数据存储的责任。但是由于算法设计的困难，现在也是仍在探索当中。所以当下既然对于用户的数据云商没有办法推脱隐私保护的责任与义务，而且对于用户数据的利用也是运营商们所希望的，特别是有时候对用户而言又是很受益的，比如说云盘提供的秒传文件服务，只要有其他用户传过了相同的文件，其他用户在上传时，就不需要重复传，这样就很方便。对于云运营商们而言现在要做的就是如何找到合理的运营模式，既可以保护用户数据的安全让用户放心使用，又能对用户资料数据合理利用，在大数据分析等等领域有所建树。就我个人看来，我认为云商们应该区分对待不同的用户需求，有的用户存的东西并不涉及个人隐私，即使泄露了危害性也不是太大，有的用户存涉及个人隐私的东西比如照片等，一旦泄漏后果不堪设想。云商们就要针对这提出自己的解决方案，首先在传一些敏感信息的时候要能做出识别并尽到提醒用户的义务，其次对于这些信息的存放绝对是不能明存的，云商们可以开辟隐私保险箱，引导用户把敏感的资料存进去，最后就是在对用户数据进行使用的时候一定要避开这些敏感信息，这一点如果云商们不能自律的话，可以通过法律监控的手段来保障。进一步而言，云商们针对不同用户安全保障方案一定要有准确的定位性和引导性，定位不同需求的用户并引导用户养成良好的存储习惯，甚至可以对于用户进行安全方案的个性定制等等。而有人会说云商们会舍得花这么大的价钱去做这些事吗，答案是毋庸置疑的，对于商人而言信誉是第一位的，而且好的服务才有好的用户群这也是显而易见的。写这些东西的时候只是基于自己使用云存储时形成的一些认识，技术上和认识上都有明显的滞后性，可能关于我说的很多东西其实都已经有了，但是因为各大云商目前还处在吸引客户形成用户群的阶段很多服务都还没有开放，而要等到以后，可能用户对云存储形成依赖后，模仿qq会员等等方式，通过收费来提升和改善服务。所以综合来看，我认为立法是基础的第一步，不管未来云盘是不是收费，只要你提供了云存储服务就要对要对用户的隐私安全负责，对整个社会负责，否则等待的就是法律的严惩。当然技术上来实现对用户的保护也是很关键的，不过这是一个矛盾的问题。因为加入更多的技术无非就是繁琐的认证，而这样势必会让用户对于产品的体验满意度下降。对于安全和用户的体验的权衡，我认为是我们一直要去寻找的关键点。