1700426182
1700426183
云计算和法律一样,是用于保护好人不受坏人伤害的工具。然而现实生活纷繁复杂,事情不会尽如人意,原因之一是技术的变化比法律更迅速(云计算作为最前沿的技术创新,就是最好的例证),这就使法律文本中存在真空地带,给技术先行者利用法律漏洞的可乘之机。从某种意义上说,不扼杀创新可能是更大的“善”,但这种环境下难免滋生安全隐患,造成对用户的恶意利用,因此某种制衡必不可少。解决途径之一是加强对用户与法律界的教育,告诉他们在技术处理过程中,信息可能被采集、分析与使用。另一方面,应当为技术创新提供如何使用信息的广泛框架性规范,使其有法可依。这对行业团体的意义大于政府,为保护参与者与客户利益,行业团体——特别是金融行业——制定了大量规则。目前来看,遵守全国性、地区性或者国际性的各类规则对云计算来说并不算难,但随着时间发展,当不同国家和地区在各个行业领域都建立了自己的规则,可能就会产生麻烦。一项云服务需要遵守大量法律法规,有些甚至会互相矛盾。行业团体与政府之间需要进一步加强合作,以提高标准化程度。欧盟的金融工具市场指令(MiFID)就是一个例子,有助于监管投资服务、增加竞争及强化投资者保护。法规的最大挑战来自于司法管辖区,如果一项云服务是由位于A国的公司提供,其用户主要来自B国,数据存储于C国,而云服务自身是在D国运行,那么它应当遵循哪国的法律法规呢?在这种情况下,你需要在购买和使用云服务之前小心辨认其司法管辖区,首先了解谁能看到数据、由什么系统处理、哪些软件可以使用服务,然后确定这些人、基础设施、应用软件相应的司法管辖区。
1700426184
1700426185
数据主权
1700426186
1700426187
与司法管辖区紧密相关的是数据的所有权管辖。如果数据创建过程涉及很多人,或者数据具有多个使用方,那么谁才是数据的拥有者?如果数据经由中间系统或云服务处理,那么又当为谁所有,是数据的创建者、增强数据的中间机构,还是数据的终端使用者?而如果这些参与者都位于不同国家,遵守不同的数据保护与所有权法律,结果又当如何?这些只是数据主权面临的一部分困惑,而云计算随处访问的特点使这些问题表现得尤为尖锐。为此,你需要确保与云服务供应商之间达成数据所有权协议,同时还需考虑司法管辖区对协议破裂时救济机制的影响。
1700426188
1700426189
安全问题的全局性
1700426190
1700426191
安全不仅是技术问题,也不仅关乎云服务供应商,而是关系到所有人的全局性问题。安全问题包括对计算设备的物理接入、向他人泄露密码(无论是有意或无意)、加强安全政策等。你和云服务供应商都负有安全责任,服务供应商一般负责从基础设施到应用程序与云运行环境之间接口的安全问题,而你则需要负责与云环境交互时,以及使用云环境的应用程序中的安全问题。比如说,你想在亚马逊提供的云服务——亚马逊网络服务(Amazon Web Services,AWS)上安装一个软件,亚马逊就会提供一道名为安全组(Security Group)的虚拟防火墙,只允许流向你的软件的数据通过。安全组的最佳操作是将它们置于安全容器中,每个容器内都由虚拟主机来运行特定软件,这就确保了只有适用于该软件及其虚拟主机的流量才能通过。比如说,网络服务器虚拟机的设置是开放TCP/IP端口80,以允许网络数据流通,而安全组中的其他数据库服务器则阻止网络流量通过,这意味着流量只能经由端口80通过,这一措施能阻止外界使用网络流量攻击你的数据库。而你作为安装者的职责就是保证这一应用程序安全地安装在自己的私有云环境中(例中的应用程序包括网络与数据库服务器两部分)。
1700426192
1700426193
任何安全系统中,最薄弱的环节往往是人。我们作为技术的使用者,需要采取一系列预防措施,来保障计算系统持续处于安全状况:
1700426194
1700426195
保管好密码;
1700426196
1700426197
确保安装反恶意软件(病毒、钓鱼软件、信息记录追踪管理等)工具,并定期更新;
1700426198
1700426199
运行个人与路由器的防火墙,来检测与防范入侵;
1700426200
1700426201
不要打开可疑的电子邮件或网站。
1700426202
1700426203
这些措施能保证你用于访问云服务的设备处于安全状态且不被窃听,你还需要进一步确保传到云端的数据已被加密,即便被第三方截获,也不会被轻易读取。如果你不以安全方式使用技术,那么技术能提供的保护也将十分有限。
1700426204
1700426205
常用安全术语
1700426206
1700426207
本节将提供安全领域的常用术语,对这些术语及其含义有所了解,就能帮助你在使用云服务的过程中确保自己的系统与数据安全。
1700426208
1700426209
访问控制(Access control)保证对服务的访问仅限于已授权用户。
1700426210
1700426211
后门(Backdoor)事先植入的代码,使攻击者得以绕开既有安全机制,更容易地进入系统。
1700426212
1700426213
生物识别(Biometrics)利用用户的生物特征来登入系统或服务,比如指纹或虹膜。
1700426214
1700426215
业务连续性计划(Business continuity plan)采取一系列措施,确保在面临灾难、紧急情况、安全漏洞、攻击时,业务仍能持续开展。
1700426216
1700426217
校验(Checksum)用存储或传输中的数据计算得到的值,用于核实所提取或收到的数据的真实性。
1700426218
1700426219
保密性(Confidentiality)保证信息仅披露给有权查看者。
1700426220
1700426221
保管人(Custodian)正在使用或操作数据的用户或应用程序,暂时对数据负保管义务。
1700426222
1700426223
解密(Decryption)将加密信息转换为明文的过程。
1700426224
1700426225
认证摘要(Digest authentication)确保用户或客户端程序能提供证据,证明其具有使用系统或服务的密码。
1700426226
1700426227
无警戒区(DMZ)指组织内部网络与外部网络(一般为互联网)之间的中间网络区域,作为分层安全模型的一部分,运用网络区段来保证数据在受保护层与不受保护层之间传输。
1700426228
1700426229
加密(Encryption)将数据(称为“明文”)经密码转换变为加密格式(称为“密文”),隐去数据的原有含义,以防被他人知晓或使用。
1700426230
1700426231
备用密码(Escrow passwords)保存在安全处所(如保险箱或加密U盘中)的密码,在授权人员无法操作时,可由备用人员使用。
[
上一页 ]
[ :1.700426182e+09 ]
[
下一页 ]