鐘佳德

今年9月初，有外國(guó)黑客疑利用蘋(píng)果公司的iCloud云盤(pán)系統(tǒng)漏洞，非法盜取了眾多全球當(dāng)紅女星的裸照，繼而在網(wǎng)絡(luò)論壇發(fā)布，造成了影響廣泛的“好萊塢艷照門(mén)”。一時(shí)間，蘋(píng)果的云盤(pán)iCloud服務(wù)被推向了風(fēng)口浪尖，其安全性也遭到了各界的質(zhì)疑。

iCloud是蘋(píng)果公司所提供的云端服務(wù)，可免費(fèi)儲(chǔ)存5GB的資料。其類(lèi)似于國(guó)內(nèi)的云盤(pán)存儲(chǔ)服務(wù)，正因?yàn)槿绱?，這一事件在國(guó)內(nèi)也引起了人們對(duì)云盤(pán)安全性的拷問(wèn)。目前市場(chǎng)上比較出名的云盤(pán)有百度云盤(pán)、騰訊微云盤(pán)、快盤(pán)、360云盤(pán)等。據(jù)《2014年3月中國(guó)個(gè)人云存儲(chǔ)市場(chǎng)用戶(hù)數(shù)（網(wǎng)頁(yè)版）》數(shù)據(jù)顯示，國(guó)內(nèi)個(gè)人云存儲(chǔ)用戶(hù)數(shù)（網(wǎng)頁(yè)版）已超過(guò)3.51億人。

隨著大數(shù)據(jù)時(shí)代的到來(lái)，云盤(pán)市場(chǎng)將會(huì)迎來(lái)更大的爆發(fā)。而“好萊塢艷照門(mén)”事件卻使云盤(pán)的安全性遭遇了大考驗(yàn)。云盤(pán)的安全性也成了云盤(pán)用戶(hù)心頭的一根刺。

此次“好萊塢艷照門(mén)”對(duì)云盤(pán)行業(yè)帶來(lái)了哪些影響？云盤(pán)是否真的如服務(wù)商所保證的那么安全？云盤(pán)的未來(lái)又將何去何從？用戶(hù)該如何正確使用云盤(pán)？又該如何維護(hù)自身權(quán)益呢？為了解開(kāi)眾多疑問(wèn)，本期《消費(fèi)電子》雜志記者將通過(guò)采訪(fǎng)云盤(pán)資深專(zhuān)業(yè)用戶(hù)、云盤(pán)產(chǎn)品服務(wù)提供商和相關(guān)方面的律師，從不同角度尋找答案。

云盤(pán)存在四大風(fēng)險(xiǎn) 不可完全避免

資深I(lǐng)T行業(yè)云盤(pán)用戶(hù) 李鐵軍

對(duì)于很多普通用戶(hù)來(lái)說(shuō)，互聯(lián)網(wǎng)技術(shù)高深莫測(cè)。也正是由于普通用戶(hù)不懂技術(shù)，很難規(guī)避網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。因此，在很多人眼里網(wǎng)絡(luò)沒(méi)有安全性可言。那么，IT界的資深人士是如何規(guī)避安全風(fēng)險(xiǎn)的？對(duì)于云盤(pán)的安全性又有怎樣的看法？下面一起來(lái)聽(tīng)聽(tīng)資深I(lǐng)T行業(yè)反病毒專(zhuān)家李鐵軍怎么說(shuō)。

選擇品牌云盤(pán)很重要

李鐵軍作為資深I(lǐng)T人士，一直都有使用云盤(pán)，而且同時(shí)使用了多家品牌的云盤(pán)，比如快盤(pán)、百度、谷歌、微云等。

面對(duì)如此多品牌的云盤(pán)，也許很多人會(huì)迷茫，該怎么選擇呢？李鐵軍表示：“肯定首選技術(shù)實(shí)力強(qiáng)的開(kāi)發(fā)團(tuán)隊(duì)開(kāi)發(fā)的云盤(pán)產(chǎn)品。比如谷歌、微軟、騰訊、百度等巨頭開(kāi)發(fā)的比較好。因?yàn)樗麄冇袑?zhuān)業(yè)的團(tuán)隊(duì)做安全維護(hù)。如果是新創(chuàng)業(yè)的團(tuán)隊(duì)，他們可能不具備那么強(qiáng)大的資源，開(kāi)發(fā)出的云盤(pán)可能沒(méi)有那么可靠?！绷硗?，李鐵軍告訴記者，選擇品牌的時(shí)候要注重其信譽(yù)度，對(duì)于一些曾經(jīng)發(fā)生過(guò)信息泄露問(wèn)題的云盤(pán)品牌要慎重選擇。

選對(duì)品牌后，在使用云盤(pán)的時(shí)候如果善于利用云盤(pán)的優(yōu)勢(shì)功能，將會(huì)增強(qiáng)云盤(pán)的使用體驗(yàn)。李鐵軍稱(chēng)：“云盤(pán)的使用體驗(yàn)主要還是和應(yīng)用功能有關(guān)。如果是存儲(chǔ)的話(huà)，可能百度的空間比較大；如果是同步辦公，協(xié)同分享，快盤(pán)會(huì)比較好一點(diǎn)；如果是順手保存郵件附件，那么谷歌云盤(pán)會(huì)比較好用。用戶(hù)可以根據(jù)自身的需求選擇合適的云盤(pán)?！?/p>

云盤(pán)存在四大風(fēng)險(xiǎn) 且不可完全避免

蘋(píng)果iCloud艷照門(mén)鬧得滿(mǎn)城風(fēng)雨，云盤(pán)的安全性也受到了前所未有的關(guān)注與質(zhì)疑。那么云盤(pán)的安全性究竟怎樣呢？李鐵軍從專(zhuān)業(yè)的角度進(jìn)行了分析：云盤(pán)的風(fēng)險(xiǎn)往往存在于客戶(hù)端，云盤(pán)存在的風(fēng)險(xiǎn)是不可能完全避免的。

李鐵軍介紹說(shuō)：“云盤(pán)的風(fēng)險(xiǎn)主要來(lái)自于四個(gè)方面，一是云服務(wù)商自身出現(xiàn)了問(wèn)題，出現(xiàn)了一些安全漏洞或者其它方面的漏洞，導(dǎo)致了數(shù)據(jù)泄露。目前國(guó)內(nèi)云盤(pán)服務(wù)商也有一些白帽子黑客發(fā)現(xiàn)了一些漏洞，但是服務(wù)商及時(shí)發(fā)現(xiàn)了，還沒(méi)有造成用戶(hù)大的損失與影響。也有可能某一天出現(xiàn)新的漏洞，如果服務(wù)商沒(méi)有及時(shí)處理，可能會(huì)對(duì)用戶(hù)資料造成比較大的影響，這種情況是不可能完全排除的。二是數(shù)據(jù)在客戶(hù)端處理的時(shí)候，用戶(hù)自己使用不當(dāng)，造成數(shù)據(jù)丟失或者泄露的情況，這完全是不可控的。云服務(wù)最弱的點(diǎn)就是用戶(hù)端，因?yàn)橛行┯脩?hù)的安全意識(shí)不高。三是數(shù)據(jù)從客戶(hù)端傳到服務(wù)端的時(shí)候被黑客攻擊。四是用戶(hù)掉到wifi的陷阱里，訪(fǎng)問(wèn)的時(shí)候密碼被直接盜取，或者被攻擊者通過(guò)嗅探等方式截獲登陸信息。”

wifi釣魚(yú)攻擊可竊取云盤(pán)資料

云盤(pán)的風(fēng)險(xiǎn)是不可杜絕的，尤其是在其受到攻擊的時(shí)候。據(jù)李鐵軍反映，wifi釣魚(yú)攻擊可竊取云盤(pán)資料。他說(shuō)：“其實(shí)國(guó)內(nèi)的所有云盤(pán)如果通過(guò)wifi釣魚(yú)的攻擊基本都是有可能竊取他們里面的資料。wifi的攻擊是非常嚴(yán)重的威脅。有安全意識(shí)的人都不會(huì)隨意連咖啡館、賓館的免費(fèi)wifi?！?/p>

李鐵軍稱(chēng)他們?cè)?jīng)做過(guò)wifi攻擊測(cè)試，能獲取到用戶(hù)的資料。他說(shuō)：“數(shù)據(jù)從客戶(hù)端傳到服務(wù)端容易出問(wèn)題，而且這個(gè)問(wèn)題很?chē)?yán)重。我們?cè)诠魷y(cè)試的時(shí)候就發(fā)現(xiàn)，如果在家里使用無(wú)線(xiàn)路由器上網(wǎng)，路由器的安全級(jí)別比較低的話(huà)，容易被攻克入侵，用戶(hù)登錄時(shí)密碼會(huì)被竊取。如果被攻擊者攻克入侵的時(shí)候剛好碰到你使用家里電腦進(jìn)行云盤(pán)數(shù)據(jù)傳輸，這個(gè)時(shí)候云盤(pán)的賬號(hào)密碼信息就會(huì)被攻擊者捕獲?！?/p>

使用云盤(pán)的過(guò)程中存在很多不可控的風(fēng)險(xiǎn)因素，因此善于規(guī)避云盤(pán)的風(fēng)險(xiǎn)，避免損失就顯得尤其重要了。對(duì)此，李鐵軍給出了如下建議：“如果是機(jī)密文件，就絕對(duì)不能上傳到云盤(pán)上。只有那些機(jī)密度不高的，為了方便使用的資料才可以上傳到云盤(pán)上。如果是一些更重要的商業(yè)文件，可以對(duì)這些文件做一些簡(jiǎn)單的加密。

李鐵軍還指出，使用云服務(wù)，密碼是非常關(guān)鍵的。因?yàn)槊艽a這塊是最薄弱的環(huán)節(jié)，也是丟失數(shù)據(jù)可能性最大的一個(gè)環(huán)節(jié)。用戶(hù)要有密碼管理的常識(shí)，掌握好一些密碼設(shè)計(jì)的方法，做到密碼是唯一性和不規(guī)則性。云盤(pán)的服務(wù)商如果提供了兩步驗(yàn)證功能，用戶(hù)最好開(kāi)通。如果在公共場(chǎng)合，最好不要隨意連接wifi，避免陷入釣魚(yú)wifi陷阱。

主流云盤(pán)很安全

未來(lái)云盤(pán)將走社交化的路線(xiàn)

360云盤(pán)產(chǎn)品規(guī)劃經(jīng)理 劉航

對(duì)于好萊塢艷照泄露事件帶來(lái)的安全拷問(wèn)，主流云盤(pán)服務(wù)商又會(huì)有怎樣的看法和回應(yīng)呢？國(guó)內(nèi)知名的360云盤(pán)的產(chǎn)品規(guī)劃經(jīng)理劉航為我們作了解答。

主流云盤(pán)安全有保障

好萊塢艷照事件確實(shí)讓很多國(guó)內(nèi)用戶(hù)對(duì)云盤(pán)的安全性產(chǎn)生了質(zhì)疑。那么國(guó)內(nèi)的云盤(pán)安全性究竟怎樣呢？劉航表示：“目前沒(méi)有一家云盤(pán)敢說(shuō)自己是絕對(duì)的安全，作為云計(jì)算服務(wù)商，出現(xiàn)好萊塢艷照門(mén)的事情是比較遺憾的，但這是一個(gè)學(xué)習(xí)的過(guò)程，平臺(tái)會(huì)變得越來(lái)越可靠。目前來(lái)說(shuō)，國(guó)內(nèi)排名前幾名的主流云盤(pán)安全性都比較有保障。但是一些小眾的云盤(pán)，就難說(shuō)了。聽(tīng)說(shuō)小公司做的云盤(pán)，公司的工作人員可以隨便讀取存放在其中的資料，限制性不強(qiáng)。大型的公司在這方面要求比較嚴(yán)格，有明確的規(guī)定，比如明確規(guī)定了哪些資料不能讀取，涉及到隱私的資料保護(hù)得較好?！?

采訪(fǎng)中，劉航深入介紹了目前云盤(pán)采用的安全技術(shù)。他說(shuō)，好萊塢艷照事件警醒了國(guó)內(nèi)云盤(pán)對(duì)于漏洞的修復(fù)，提升了漏洞修復(fù)的重要性。目前，各大云盤(pán)廠商也采取了多種安全手段保護(hù)用戶(hù)資料安全。比如360云盤(pán)，在登錄時(shí)，連續(xù)輸錯(cuò)密碼達(dá)到一定的次數(shù)，會(huì)封禁IP24小時(shí)。如果用戶(hù)使用異常IP登錄會(huì)在第一時(shí)間收到提醒。而在數(shù)據(jù)傳輸過(guò)程中，數(shù)據(jù)是加密的，可以防止黑客進(jìn)行嗅探攻擊。存儲(chǔ)方面的數(shù)據(jù)也進(jìn)行了加密存儲(chǔ)，而且數(shù)據(jù)中心多份拷貝，多中心備份，在一定周期內(nèi)會(huì)做周期性數(shù)據(jù)的完整性校驗(yàn)。

wifi攻擊并未直接攻破云盤(pán)服務(wù)器

現(xiàn)在，網(wǎng)絡(luò)攻擊是用戶(hù)資料的重大威脅。其中wifi攻擊是一個(gè)比較普遍的攻擊方式，而且其破環(huán)性也大。當(dāng)記者問(wèn)及為何有人說(shuō)wifi攻擊可以竊取云盤(pán)資料時(shí)，劉航表示：“黑客進(jìn)行wifi攻擊，并不是直接攻破云盤(pán)服務(wù)器的密碼，而是通過(guò)獲取用戶(hù)沒(méi)有進(jìn)行加密的郵箱帳號(hào)密碼，從而獲得登錄云盤(pán)的合法權(quán)限，進(jìn)而非法進(jìn)入用戶(hù)云盤(pán)竊取資料。”他說(shuō)，這個(gè)問(wèn)題目前沒(méi)有辦法完全防范，只能是用戶(hù)提升安全意識(shí)，提升黑客攻擊難度。例如使用https的情況下，會(huì)提高攻擊的門(mén)檻。

那么，用戶(hù)應(yīng)該如何保障自己資料的安全？劉航給出了專(zhuān)業(yè)的建議，他說(shuō)：“有幾個(gè)方法可以避免，一是設(shè)置復(fù)雜的密碼，涉及錢(qián)財(cái)切身利益的密碼要設(shè)置復(fù)雜一些。二是每個(gè)網(wǎng)站密碼最好不要相同，且不要和郵箱密碼相同，不要隨便在別人的電腦登錄，更不要選擇記住密碼。三是安裝殺毒軟件?！?/p>

未來(lái)云盤(pán)將走社交化的路線(xiàn)

目前云盤(pán)大都采用免費(fèi)存儲(chǔ)、免費(fèi)分享的模式。對(duì)于云盤(pán)未來(lái)的發(fā)展方向，劉航表示：“未來(lái)云盤(pán)的分享模式會(huì)有較大改變，因?yàn)槲磥?lái)國(guó)家對(duì)版權(quán)控制比較嚴(yán)格，以后云盤(pán)的分享在符合國(guó)家規(guī)定的情況下，將會(huì)轉(zhuǎn)化為點(diǎn)對(duì)點(diǎn)的傳播方式，走社交化的路線(xiàn)。比如我們的360云盤(pán)的朋友圈，正在嘗試點(diǎn)對(duì)點(diǎn)的社交化路線(xiàn)，但最終產(chǎn)品形態(tài)還需要我們進(jìn)一步的用戶(hù)研究與摸索。不過(guò)云盤(pán)的架構(gòu)、安全體系等則不會(huì)有太大的變化。”

看好云盤(pán)的未來(lái) 安全又便捷的認(rèn)證方式是主攻方向

中國(guó)金融認(rèn)證中心（CFCA）技術(shù)專(zhuān)家 李闖

李闖曾就好萊塢艷照事件發(fā)表了一篇文章《從iCloud泄露事件看云時(shí)代的身份安全》，在文中他表示，好萊塢艷照門(mén)事件是迄今影響最大的“云隱私”泄露事件，意義重大，是對(duì)云時(shí)代隱私安全的一聲警鐘，也是值得深入研究的身份安全案例。

對(duì)于目前國(guó)內(nèi)云盤(pán)采用的用戶(hù)名和密碼驗(yàn)證機(jī)制，李闖并不贊成這種安全驗(yàn)證機(jī)制。他表示：“用戶(hù)名和密碼幾乎不具有安全性可言，只是可以防止惡意攻擊。而且目前很多云盤(pán)服務(wù)商都不是專(zhuān)業(yè)的安全解決方案商，可能在這方面比較不擅長(zhǎng)。目前市場(chǎng)上也確實(shí)沒(méi)有認(rèn)證方便而安全性又好的安全解決方案。因此在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)，云盤(pán)的安全性依舊會(huì)比較薄弱?！?/p>

當(dāng)記者問(wèn)及怎樣的驗(yàn)證方式會(huì)讓云盤(pán)更加安全時(shí)，李闖稱(chēng)：“如果使用類(lèi)似U盾這樣的身份認(rèn)證登錄云盤(pán)，就能很好地解決安全的問(wèn)題，但是這樣會(huì)造成用戶(hù)使用上很大的不方便。未來(lái)，把安全的身份認(rèn)證變得更加安全又便捷，是服務(wù)商急需研究的方向?！?/p>

同時(shí)，李闖在其專(zhuān)欄文章《從iCloud泄露事件看云時(shí)代的身份安全》也闡述了未來(lái)可能普及的身份認(rèn)證方案。他認(rèn)為未來(lái)主要有3種身份認(rèn)證方案會(huì)得到普及，分別是改進(jìn)的生物識(shí)別技術(shù)、組合環(huán)境的方式和可穿戴式智能設(shè)備。

對(duì)于云盤(pán)未來(lái)的前景，李闖在采訪(fǎng)的最后表示比較看好云盤(pán)的未來(lái)。他說(shuō)：“我個(gè)人比較看好云盤(pán)的未來(lái)。當(dāng)然服務(wù)商和用戶(hù)各方面都需要重視起來(lái)。關(guān)鍵是云盤(pán)廠商要將云盤(pán)安全性作為重要的事情考慮，在系統(tǒng)設(shè)計(jì)和服務(wù)過(guò)程中處處考慮安全機(jī)制，未來(lái)，完全可以提供既便于認(rèn)證又安全的云盤(pán)服務(wù)?！?/p>

個(gè)人信息泄露案件取證難

提高自我保護(hù)意識(shí)是關(guān)鍵

大成律師事務(wù)所 專(zhuān)職律師 蘇治吟

公民個(gè)人信息泄露或者被侵害會(huì)對(duì)公民個(gè)人的生活造成不可估量的影響。如何在信息被泄露的時(shí)候用法律維護(hù)自己的合法權(quán)益就顯得尤其重要。對(duì)此，大成律師事務(wù)所的專(zhuān)職律師蘇治吟從法律的角度作了詳細(xì)的分析。

對(duì)于蘋(píng)果iCloud艷照泄露事件，蘇律師也十分關(guān)注，她告訴記者：“這一事件說(shuō)明了蘋(píng)果的iCloud服務(wù)還是存在一定的漏洞。至于蘋(píng)果公司在法律上應(yīng)承擔(dān)怎樣的責(zé)任？從法律角度看，主要是看蘋(píng)果公司在用戶(hù)信息泄露過(guò)程中有沒(méi)有存在過(guò)失。如果有證據(jù)證明蘋(píng)果公司事先知道iCloud服務(wù)存在漏洞或者說(shuō)在黑客攻擊的時(shí)候，蘋(píng)果公司沒(méi)有采取防范的措施。這樣就可以推定蘋(píng)果公司存在過(guò)失。蘋(píng)果公司就應(yīng)承擔(dān)與過(guò)錯(cuò)相對(duì)應(yīng)的責(zé)任。但是目前沒(méi)有足夠的證據(jù)證明蘋(píng)果公司存在過(guò)失。需要后期的一些相應(yīng)的報(bào)道和證據(jù)才能進(jìn)一步對(duì)這個(gè)事情作界定?！?/p>

當(dāng)記者問(wèn)及如果在中國(guó)發(fā)生類(lèi)似信息泄露事件，中國(guó)用戶(hù)應(yīng)該如何維護(hù)自己的權(quán)益時(shí)，蘇律師表示：“雖然目前中國(guó)在法律層面上，有相當(dāng)完整的相關(guān)法律規(guī)定保護(hù)民眾的個(gè)人信息隱私權(quán)，比如憲法、民法通則、侵權(quán)責(zé)任法、刑法修正案、消費(fèi)者權(quán)益保護(hù)法等都從不同方面做了具體的規(guī)定。但是，在執(zhí)行過(guò)程中，很多個(gè)人在信息被侵犯的時(shí)候，很難認(rèn)定是誰(shuí)侵害了他們的個(gè)人隱私息，在調(diào)查取證的時(shí)候，證據(jù)的收集，相對(duì)主體的鎖定，往往是比較困難的?！?/p>

“即使法律定得再詳細(xì)，也不可能觸及到方方面面，所以個(gè)人信息的保護(hù)，個(gè)人一定要提高自我保護(hù)意識(shí)?！碧K律師說(shuō)，用戶(hù)應(yīng)慎重考慮是否有必要在網(wǎng)絡(luò)區(qū)域公開(kāi)自己的個(gè)人信息。為保障個(gè)人的隱私及安全，個(gè)人在網(wǎng)站的帳號(hào)資料應(yīng)用密碼保護(hù)。個(gè)人切勿泄漏密碼及帳號(hào)資料給其他人，否則責(zé)任只能自己承擔(dān)。

如果發(fā)生個(gè)人信息泄露的情形，蘇律師表示：“首先修改登錄網(wǎng)站個(gè)人信息頁(yè)的密碼；報(bào)警并備案，為將來(lái)維權(quán)保存侵權(quán)事實(shí)記錄；對(duì)于個(gè)人或企業(yè)重大信息泄露時(shí)，及時(shí)咨詢(xún)專(zhuān)業(yè)律師，了解具體侵權(quán)形式應(yīng)承擔(dān)的相應(yīng)法律責(zé)任，再進(jìn)一步搜集和完備證據(jù)；同時(shí)可以向法院提起訴訟，要求停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉，并賠償損失?！?/p>

蘇律師在采訪(fǎng)的最后意味深長(zhǎng)地說(shuō)：“要使個(gè)人信息在互聯(lián)網(wǎng)上得到充分的保護(hù)，需要包括提高網(wǎng)絡(luò)用戶(hù)個(gè)人信息安全意識(shí)、制定網(wǎng)絡(luò)信息（隱私）保護(hù)法、實(shí)行行業(yè)自律、采取技術(shù)保護(hù)措施等多方面的共同努力?！?