美国“棱镜”项目，是美国国家安全局(nsa)实施的电子监控项目，今年6月被前中情局员工爱德华·斯诺登公之于众。美国《华盛顿邮报》刊出的9张项目ppt显示，美国政府通过微软、谷歌、雅虎、facebook、paltalk、youtube、skype、aol、苹果九大互联网公司获取网民的信息，这些信息包括电子邮件、数据、音视频记录、文件、视频会议、连接日志和社交网络资料等等。由于这九大互联网公司的服务覆盖世界每一个角落，相当于全球绝大多数网民都在美国政府的监视之下，毫无隐私可言。

　　“棱镜”项目被曝光后，美国政府在对外的声明中不断强调它的合法性，声称该项目以“监控恐怖分子”为目的，并且主要针对外国公民。这一解释获得了很好的效果——据《华盛顿邮报》与pew research的调查，半数以上(56%)的美国人理解美国国家安全局的监控行为。然而这一“利好”的结果却引起外国云计算用户对数据安全的担忧，美国的云计算服务商只能眼睁睁看着潜在用户转投他处。

　　云端数据安全问题缘何如此敏感?

　　在互联网行业，围绕安全在进行着一场持久的攻防战，即使是互联网服务巨头，也常常遭黑客攻击而导致用户数据泄露。2001年，亚马逊10万名图书用户资料被黑客窃取，包括姓名、地址及信用卡号码等信息遭曝光;2010年，facebook 1亿多用户资料泄露，被公布在bt网站;同年，11.4万ipad用户资料被at&t网站泄露，包括姓名、邮箱、信用卡号;2011年，索尼7700万用户信息泄露，包括部分用户的信用卡信息层出不穷的安全事件频频触动用户的神经。

　　由于云计算用户的数据全部放在云端，所以数据安全显得更加重要。尤其对公司用户来说，数据往往涉及商业机密，任何第三方对数据的采集和使用都可能导致信息泄露，甚至造成经济损失。除此之外，云计算自身的一些因素也对数据安全构成威胁，例如技术漏洞、内部管理问题等等。这些因素加在一起，使用户如惊弓之鸟，对云端数据安全异常敏感。

　　所以说，这次非美国公司对“棱镜”项目的反应在情理之中。

　　“棱镜”给云计算行业造成巨大损失

　　实际上，在“棱镜”项目被曝光之初，有人便对云计算服务的未来表示了担忧。长期以来，安全问题一直是云计算实现落地的最大障碍，而“棱镜”项目的曝光让这一情况雪上加霜。尽管半数美国民众对政府的监控行为表示理解，但这种理解是建立在有限度的“维护社会安全”的基础上。政府行为的不透明可能导致数据被滥用，而且产生的风险主要由美国之外的用户承担。

　　“棱镜”事件是全球云计算行业一场噩梦。虽然“棱镜”的主角是美国政府，但人们绝不会高估其他政府的操守，所以这种影响会扩散到全球。用户准备使用云服务时，会对 “棱镜”一类的数据监控项目心存芥蒂。因此，“棱镜”给全球云计算行业带来的最大损失是信任危机，而且美国云服务商首当其冲!美国一直是全球云计算服务的领军者，现在不仅自己要面对海外市场持续萎缩的状况，还给全球的云服务行业制造了障碍。信息技术与创新基金会对云安全联盟(cloud security alliance)的成员进行了调查。在受调查的非美国公司当中，10%表示已经取消了与美国云计算服务提供商的合作项目;56%则表示不大可能使用美国的云计算服务。36%的受调查美国公司则表示，美国国家安全局电子监控项目的曝光，让他们在海外市场举步维艰。事实上，所有的云服务商都要重新取得用户的信任。

　　如何解决云端数据安全问题?

　　我们不能否认云计算时代的来临，这是无法逆转的事实。因此，面对云端数据的安全问题时，我们更应该去迎战而不是撤退。保护云端数据安全，需要从两个方面入手：一是通过技术手段保护数据，二是通过立法规范监控行为。

　　我们知道，公有云最容易受到政府监控。公有云的三大模式iaas、paas和saas中， saas是最不安全的，而iaas和paas安全性要好得多。综合而言，在用户对公有云的隐私情况存有顾虑的情况下，最好的方法是采用私有云。私有云对于用户来说完全可控，并且在数据安全和网络安全方面能做得更好。当私有云无法满足特定的业务需求时，用户可以选择构建混合云来实现弹性计算和数据安全的均衡。保证数据安全的另一个措施是对数据进行加密。政府部门可以不经授权审查云端的数据，所以将自己的数据存放于未加密的数据库中是不可取的。对于商业机密数据，这样的数据泄露会造成巨大的经济损失。因此，用户应该对云端的数据实施加密，特别是saas服务，一定要通过成熟的加密技术保护敏感数据，确保数据在传输、使用和存储时的安全。

　　当然，“棱镜”项目中政府并非通过“骇客”的手段获取用户数据，而是直接通过服务商获得。而且美国民众对“棱镜”的“支持”态度，也提醒我们要从另一个角度思考问题，即通过立法保护数据安全性。这是一个复杂的问题：美国“棱镜”项目以《外国情报侦察法修正案》为依据，却威胁到云端数据的隐私安全;而德国的数据保护法律十分严格，却阻碍了数据流通，不利于云计算发展的进程。所以，法律应该既要保证用户的数据安全，又要保证数据的高效流通;既要要打击网络犯罪，又要规范政府和和云服务商的行为。

　　我们必须承认在公共安全面前没有绝对的隐私，政府的监控在一定程度上可以阻止犯罪，维护社会的稳定，这是它积极的一面。云计算服务商需要配合政府的监控，又有义务保护用户数据。所以，明确云计算服务商的责任，并且提高政府自身的透明度，这是争取用户信任的唯一办法。政府掌握公民的一切数据，必须通过法律予以制衡。政府挖掘海量公民数据的行为，必须经过更透明的过程授权。只有这样才可能重新燃起公众对云计算的信心，而不是将其视为安全和隐私黑洞。尽管在现在看来，实现这一步还很遥远，但这是确保云计算行业长远发展的基石。

　　责任编辑:jay蕊