斯诺登摧毁了美国云计算的安全神话
作者:工业和信息化部国际经济技术合作中心 王喜文
原美国国家安全局职员斯诺登泄露的“棱镜”(PRISM)计划,让美国IT行业蒙上阴影。美国政府经由互联网,秘密搜集企业或个人使用“云计算”服务存储于数据中心的信息得以证实。欧洲委员会对此表示强烈反对,并称如果美国不改变,欧洲委员会将从正面开始抗议。根据某项市场调查,美国以外的用户中,约70%称将调整使用美国云计算服务的计划,已有10%取消了使用美国云计算服务,同样的趋势预计将会持续。据估计,这给美国云计算企业造成的损失至少215亿美元(1316亿元人民币),最多可达350亿美元(2142亿元人民币)。
“美国政府让美国的云计算行业在未来三年间损失350多亿美元,美国政府应采取必要的措施加以应对。”在8月份公布的报告中,美国智库机构信息技术与创新基金会(ITIF)高级分析师丹尼尔·卡斯特罗说,海外收入一直以来平稳增长的美国云计算行业,正受到棱镜事件的影响,且影响正在不断扩大。
70%的企业表示将调整使用美国云计算服务的计划
此前,美国政府监听电话事件已广为人知,棱镜计划则更进一步,美国国家安全局通过访问美国Google、美国Facebook、美国Amazon、美国微软等云计算提供商的服务,秘密收集用户信息。
随着事件的发酵,对领先全世界的美国各大云计算服务商的不信任情绪也在全世界范围内扩散。ITIF的报告称,美国云计算产业为此至少损失215亿美元,最多可能损失350亿美元。美国Gartner公司去年的报告显示,全球云计算服务市场为1110亿美元(6793亿元人民币),预测今年为1310亿美元(8017亿元人民币)。本次事件的影响波及到其中的20~30%。
今年6~7月,云计算安全联盟(CSA)以会员企业为对象实施的调查显示,10%的非美国企业取消了与美国云计算提供商之间的合同,56%表示将研究降低对美国云计算服务的使用,近70%的企业决定调整与美国云计算服务商之间的合同或者变更项目计划。
欧洲委员会严厉谴责
针对本次事件,欧洲委员会表示强烈不满。负责数字政策的奈莉·克鲁兹称,“如果政府机构像企业那样开展间谍行为,有损云计算(服务)的可靠性,这样的服务提供商应该彻底被市场排除。”
过去,欧洲委员会就新用户信息隐私政策问题与Google展开过长达一年的谈判,最近在Google同意接受“定期监察”等条件下终于达成和解。克鲁兹所谓的“政府机构像企业那样”,隐含了这一过往经历。
美国有专家指出,“欧洲委员会对美国国家安全局活动实施制裁的可能性较高。”另一方面,欧美的信息机构间保持着非常紧密的联系,因此也有人认为欧洲委员会不会采取直接行动。
但是,大多数人都认为,这一事件将对欧盟与美国之间目前推进的贸易谈判造成不利影响。也就是说,欧盟有可能加强对美国云计算提供商的管制。
云计算服务提供商的用户信息隐私政策杂乱
也有人认为,“所有美国云计算服务提供商都危险”的看法过于片面。
云计算分为两种类型,一是多个用户共用数据中心设备的“公共云”,一是使用自己专用设备的“私有云”。
最大的公共云服务提供商Amazon,针对国外企业、国外政府机构用户,虽然这些用户希望数据信息“保管于本国内”,却推荐他们使用位于美国境内的数据中心。为美国政府提供的云计算服务,Amazon则保证信息不会存储于美国境外的数据中心。为此,许多用户指责Amazon为“双重标准”,但Amazon反驳称,为美国政府提供的服务全都是私有云,“与公共云不同”。
而大型SaaS服务提供商Salesforce则规定,可根据用户要求,将数据存储于本国内,或者使用美国等的数据中心。
云计算存储公司Evernote,主要以使用美国境内的数据中心为主。
Google称,根据在全世界分散的数据中心情况区别存储数据,但是数据存储的具体所在含糊不清;Facebook几乎没有美国境外的数据中心;微软也是以美国境内数据中心为主。
因此,美国主要云计算服务提供商的情况各不相同,但是受棱镜事件的影响,美国云计算提供商将被迫根据国外用户的要求,调整数据保管、数据处理的做法。
美国国家安全局认为是合法活动,表示仍将持续
云计算行业要求美国政府采取对策,但是事发源头美国国家安全局在信息泄露问题的响应过程中左右摇摆,且表态似乎都不涉及云计算产业上。
今年6月,美国议会召开了信息泄露问题听证会。其间,美国国家安全局为防止再次发生类似事件,规定全面实施包括系统管理员在内的“两人规则”。他们认为,斯诺登作为系统管理员,拥有可自由访问的权限,是引发本次信息泄露的主要原因,以后即便是系统管理员,也要获得其他负责人的许可才能访问核心数据。
另一方面,针对美国国家安全局的谍报活动,要求公开“透明性”的呼声很高,8月初,美国国会开始出现更多的限制美国国家安全局活动的呼声。参议员艾尔·弗兰克起草了包括美国国家安全局在内的美国信息机构,有义务报告收集的市民信息总数的法案。
美国国家安全局的信息收集活动本身是否正确?这一点也有争议。7月19日,美国司法部对此表示,“美国国家安全局的活动不会成为起诉对象”。7月22日,外国情报监视法院表示,美国国家安全局的电话通话记录收集是合法的。也就是说,美国政府认为,美国国家安全局的行为是“合法活动”。
7月末,美国国家安全局局长基思·亚历山大在拉斯维加斯举办的黑帽大会上出现,并再次声援棱镜计划,称“棱镜计划是为了应对恐怖袭击而收集必要的信息,美国国家安全局没有非法利用云计算行业。”
8月9日,奥巴马总统在白宫邀请AT&T、Google、Facebook等美国高科技行业高层管理者,就本次信息泄露问题进行座谈。其间,奥巴马称,将设立关于隐私的新专案组,严格处理信息收集活动的乱用,寻求众多用户的理解。
美国境外都要预备自我防卫对策
大多美国媒体认为,棱镜项目是“美国国家安全局自由访问美国云计算提供商服务器”的谍报活动。但是,斯诺登泄露的信息显示,棱镜计划是美国联邦调查局与美国国家安全局依据《外国情报监视法》(FISA)而自动索取用户信息隐私的信息公开系统。
不管舆论如何反应,美国政府的基本态度是,美国国家安全局一贯“尊重美国市民隐私”,而对除美国市民以外的隐私、信息收集,则不会采取保护对策。
毫不夸张地说,中国使用着千百万个美国的云计算服务或者云计算提供商,大量信息都处于对美国政府会敞开的状态,如果美国政府感兴趣,都可随时查看。我国用户在低价甚至免费使用美国云计算提供商的服务之前,非常有必要从信息安全角度一项一项的进行排查。
- 相关文章
- 2024/04/10工业和信息化部国际经济技术合作中心(中国国际贸易促进委员会电子信息行业分会)2024年度部门预算
- 2018/12/28俄罗斯2018年互联网经济盘点
- 2018/05/18数字经济为中国与中东欧16+1机制开辟新合作领域
- 2018/05/18普京颁布新五月命令, 第四任期经济政策向去原材料化倾斜
- 2018/05/08英国政府发布网络安全出口战略
- 最新文章
- 2024/04/10工业和信息化部国际经济技术合作中心(中国国际贸易促进委员会电子信息行业分会)2024年度部门预算
- 2023/11/072023工业绿色发展成果展圆满落幕
- 2023/11/07中国企业强势回归2023中东电力展
- 2023/11/07中英职业技能与教育交流研讨会在常州武进成功举办
- 2023/05/12中国企业亮相俄罗斯国际电子元器件展