索尼遭遇駭客襲擊暴露商用雲計算安全隱患

沈逸　　2011年4月17日至今，索尼公司家用遊戲平臺Playstation的線上平臺PlayStationNetwork(縮寫為PSN)至少遭遇了3次駭客襲擊。 入侵進入平臺系統的駭客據信可能已經盜用了7700萬使用者的個人資訊，包括PSN註冊ID、郵箱帳號、登錄密碼甚至是與信用卡帳號相關的資訊。 索尼的PSN平臺是一個典型的運用雲計算概念的平臺，而差不多正在同一時期的4月22日，亞馬遜公司設在北弗吉尼亞州的雲計算中心宕機，導致包括服務Quora、新聞服務Reddit、 Hootsuite和位置跟蹤服務FourSquare在內的一些網站受到了影響。　　一次駭客襲擊，一次目前為止還不太清楚原因的宕機事件，直接使一度風光無限的雲計算概念蒙上一朵大大的疑雲。 如何確保商用雲計算的資訊安全以及避免企業借助資訊技術優勢隨意搜集和濫用客戶個人隱私資訊，逐漸成為考驗雲計算未來發展的兩個重要命題。　　安全、安全，還是安全　　確保雲計算中心所存儲資料的安全，確保計算中心的正常運作，構成了維持雲計算概念的必要條件。 將大量資料放置在「雲端伺服器」，從而用很少的錢就能非常快地將商業計畫付諸實踐，是總部位於紐約的Animoto公司首席執行官布萊德·傑弗遜對雲端計算的經典描述。 致力於高級資訊技術研究的諮詢公司HyperStratus的首席執行官伯納德·戈登則認為，「雲計算能説明企業將資本轉移到運營費用，而不是投入到昂貴的資料中心建設上」。 但在這些優勢的背後，如何確保存儲大量珍貴資訊的雲端伺服器的資訊安全，卻有意無意的被人們忽視了。　　事實上，如同索尼PSN平臺遭遇駭客襲擊所證明的那樣，即使對索尼這樣的行業巨頭，真正要強化對雲端伺服器的資訊安全保障仍然是一筆不小的開支。 以至於有消息披露，索尼PSN之所以被駭客輕易攻陷，就是公司為了節省成本，沒有使用專業防火牆軟體所致。　　亞馬遜雲計算中心的宕機事件則從另一個方面證明雲端資料安全面臨的艱巨挑戰：目前雲端計算中心所依靠的軟硬體似乎還沒有萬無一失確保自身運行可靠性與穩定性的良方。 更讓人覺得蹊蹺的是，北弗吉尼亞州宕機的雲端計算中心僅僅是亞馬遜諸多雲計算中心的一個，理論上這些雲計算中心系統應該可以在某一個中心發生故障時，自動接管其承擔的工作。 但當宕機情況真的發生時，這種設計似乎並沒有起到作用。　　目前真正全面轉移到雲計算的資料與服務的規模還相對有限，未來如果真如人們所預測的那樣，雲計算成為主流應用方法時，如何避免此類宕機事件的出現，將存儲于雲端伺服器的資料置於近似萬無一失的防護狀態，恐怕將是所有有志于繼續運用和推廣雲計算的公司都必須嚴肅對待的問題。　　隱私、隱私，又是隱私　　第二個問題，則是雲計算和客戶的個人隱私保護問題。 這次索尼PSN平臺遭遇攻擊導致大量客戶資訊的洩露，同時也是在谷歌和蘋果手機定位門之後，第三度展現出資訊巨頭對客戶資訊的海量搜集。 毫無疑問，這些資訊對資訊產業公司來說，意味著巨大的商機；但究其本質而言，這種商機是將個人的隱私商業化，而且由於客戶和廠商之間在資訊技術知識和能力的不對稱性，客戶缺乏有效的能力來抵制這種對個人隱私資訊的海量搜集。 就現有的軟體運行模式，多數情況下，客戶面臨的是沒有選擇的選擇：不按下同意按鈕，「允許」廠商收集你的隱私資訊，客戶很多時候就無法完整享受產品或服務。　　正是基於這種擔心，曾經分別參加過總統選舉的民主黨參議員克裡，以及共和黨參議員麥凱恩，近日試圖在國會推出1998年兒童線上隱私保護法的更新版本，這個目前被媒體稱為「2011對線上追蹤說不法案」的草案， 計畫對公司線上收集資訊作出相應的限制，允許使用者在適當時刻阻止資訊技術公司對其線上活動資訊以及個人隱私資訊的搜集。 這可以看做是美國社會對資訊公司過度搜集個人隱私資訊的一種反彈和制約，儘管這種制約還是非常有限的。 同時這也提醒人們，在資訊時代，不能將保障個人隱私的希望寄託在商業公司的自律、或者資訊技術的發展之上，而必須通過立法等非技術手段構建良好的制度環境，以保障個人隱私。 畢竟，相比享受便捷而愉快的資訊產品，確保個人隱私繼續是隱私，而不是無意間變成商家利潤的來源，至少是同等重要的。　　立法、立法，迫在眉睫　　雲計算，以及其他類型的更加先進而強大的資訊技術應用，將不可避免地逐漸走入人們的生活，這是資訊技術發展的大勢所趨，如何在享受這些技術的同時，避免個人隱私遭遇損害，將是未來社會必須正視的關鍵問題， 因此通過立法手段構建良好的制度環境顯得十分重要。　　(作者為復旦大學國際關係與公共事務學院博士)