在“云时期”,企业越来越不需要自己动手来架设网络、存储数据,只需要将这部分业务外包给网络服务提供商。但在最近一系列事件中,这些专业的第三方公司却屡屡犯错。
外包是把“双刃剑”
以此次深陷泄密事件的酒店为例,它们运用的都是由浙江慧达驿站网络有限公司提供的无线WiFi服务,这项服务触及酒店整个无线网路的搭建和一些信息的管理。
“目前只有部分酒店自建WiFi系统,大部分酒店采用第三方解决方案,因为只需要接入即可,比较快捷方便。”据360安全专家安杨了解,市面上像慧达驿站这样的公司有很多,提供的服务还包括酒店门户管理、客房数字化、内网搭建等。
这只是网络服务外包的一个缩影,更为典型的例子就是云存储,像百度、腾讯、奇虎360等互联网公司都涉足了这一领域。它们将自有的服务器划分成若干份,以较低的价格租给公司或个人运用。
“原来互联网团队创业需要花上大半月
工夫搭建服务器,花费至少在数万元。现在只需要租一个云存储,随时可以运用,月租百元左右。”七牛云存储COO吕桂华说。
除了基本的存储功能,这些公司还提供数据处理、分析和挖掘等服务,也就是说它们不仅是数据的保管者,有时还会接触到数据。
像这次事件中,无线WiFi的账号和密码要到慧达驿站的系统上进行验证。“从网上披露的信息分析,慧达驿站的系统存在漏洞,而账户和密码又通过明文传递,给了黑客可乘之机。”安杨说。
去年CSDN网站泄密事件爆发以后,吕桂华接到很多客户的电话,担心数据的安全性,“网络服务外包是大势所趋,但也是一把双刃剑,眼下大家正看到由于忽视安全防范带来的负面影响。”
数据加密成“奢侈品”
每次网上发生大规模泄露事件后,杭州奕锐电子有限公司的业务量就会明显增长。这家公司专门从事网络存储安全技术的研发和销售。说起这一现象,公司总经理黄军也有些无奈,“如果事前做好加密,即使信息泄露也不会产生太大影响。”
加密是保护数据最常见的手段之一,比如一些企业要把数据存在运营商服务器上,为了避免运营商窃取就会进行加密。再比如存储市民卡信息时,也会对
照片、身份证号、姓名等关键字段进行加密。
七牛云存储会对触及个人密码、支付等信息进行自动加密。“即使服务器被人搬走,他们也无法获得在里面的重要信息。”吕桂华说。
一位信息安全业内人士表示,数据库加密在操作上并不困难,快的只需要几天,慢的要1-2个月,所支付的费用在几万到上百万不等,“估计如家这样规模的连锁企业,对全国的数据库进行加密,所花费用不到百万。”
黄军也表示,加密的费用并不很高,公司既可以在第三方提供服务的时分要求数据加密,也可以将加密单独外包给安全公司,“只不过很少有人愿意做这个事。”
在现实操作中,一方面很多第三方企业并没有重视数据的加密。另一方面作为服务的需求方,相关企业也缺乏数据安全防范的意识,很少主动要求加密。久而久之很多第三方公司干脆也不提加密或者安全方面的事。
“主要还是观念上的问题,大家都觉得信息不会泄露,或者泄露之后不会有太大麻烦。”黄军说。
市场并不成熟
去年年底,全国人大下发《全国人民代表大会常务委员会关于加强网络信息保护的决定》,要求网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中搜集的公民个人电子信息泄露、毁损、丢失。
这是国家关于网络信息安全最新的指示,但也不是强制性的。据吕桂华了解,目前国内仍没有一个专门机构来监督网络服务提供商做好信息安全的功课,而且大量有需求的企业并不明白提供这块业务的第三方应当具备什么资质。
一位云存储公司的业务员反映,只有一些大企业会在合作之前先细心阅读公司的《安全管理制度》,很多小公司不怎么关怀安全这块,只有出了事才会来打听数据的安全性。
反观国外,第三方公司提供网络服务并不是一件易事,像亚马逊这样的大企业如果要提供云存储服务,也需要符合很多标准。
除了数据本身的安全,无论是企业还是第三方提供商在管理数据也存在问题,特别
是信息获取权限上。本报曾经追踪过圆通快递单号大批量泄露事件,发现圆通内部不少员工都能查看到大量的单号信息,导致事后追查困难。
“正规的做法是,第三方提供商在和客户签订协议时,明确信息搜集和管理的界限,同时标明对方公司哪些职务有获取信息的权限,以免泄露后找不到责任人。”吕桂华表示,目前国内网络服务外包市场还不成熟,第三方提供商需要规范,消费者也需要培育。