當(dāng)心SaaS數(shù)據(jù)：出了事情無法律可依

2009-08-03 08:56:10

云計(jì)算

SaaS SaaS是云計(jì)算應(yīng)用的一種，但是您要注意了，當(dāng)您使用SaaS應(yīng)用時(shí)，如果出現(xiàn)了數(shù)據(jù)安全問題，您有可能無法解決數(shù)據(jù)安全問題造成的損失，在黑帽大會(huì)上，研究人員呼吁提供SaaS方面的相關(guān)法律。

10年的工布江達(dá)網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。成都營(yíng)銷網(wǎng)站建設(shè)的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整工布江達(dá)建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“工布江達(dá)網(wǎng)站設(shè)計(jì)”,“工布江達(dá)網(wǎng)站推廣”以來，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

正在使用SaaS服務(wù)的企業(yè)應(yīng)該當(dāng)心了，因?yàn)樗麄兊腟aaS數(shù)據(jù)是不受法律保護(hù)的，政府和民事調(diào)查機(jī)構(gòu)可以搜查他們的SaaS服務(wù)提供商并扣押這些數(shù)據(jù)，而且事先不會(huì)通知企業(yè)，黑帽大會(huì)的研究人員披露說。

“在云計(jì)算中，企業(yè)在數(shù)據(jù)被扣押之前根本無能為力，”安全咨詢公司iSEC合伙公司的聯(lián)合創(chuàng)始人兼合伙人Alex Stamos說。“企業(yè)甚至可能根本就無從知悉此事。因?yàn)榉蓻]有要求SaaS服務(wù)商有通知企業(yè)的義務(wù)。事實(shí)上，很有可能是不允許它們通知客戶的?！?/p>

Stamos所提及的SaaS模式是指企業(yè)的所有IT任務(wù)，從服務(wù)器到前端JavaScript軟件都被托管在企業(yè)之外的情形。既然SaaS數(shù)據(jù)不在企業(yè)內(nèi)部，所以它就可能沒法受到美國(guó)憲法第四修正案的保護(hù)，該修正案拒絕無理的搜查和財(cái)產(chǎn)扣押。結(jié)果是，執(zhí)法者只須憑一紙傳票就可以扣押企業(yè)或個(gè)人托管在其SaaS服務(wù)商服務(wù)器上的數(shù)據(jù)，Stamos說。而執(zhí)法部門要搞到一張船票可以說是不困難的。反倒是申請(qǐng)搜查證，多少還需要經(jīng)過司法部門批準(zhǔn)才行。

Stamos是在上周四在拉斯維加斯舉辦的2009美國(guó)黑帽大會(huì)上介紹云計(jì)算模式及其缺陷時(shí)強(qiáng)調(diào)指出了這一問題的。他和他的同事Andrew Becherer和Nathan Wilcox一起考察了平臺(tái)服務(wù)商和基礎(chǔ)設(shè)施服務(wù)商所引發(fā)的各種安全問題。

非盈利的言論自由與數(shù)字版權(quán)組織電子前沿基金會(huì)已開始考慮這個(gè)問題，并告誡說，“把你自己的數(shù)據(jù)存放在自己的電腦上——不要依賴云——是保護(hù)隱私信息最為安全的做法，搜查這樣存放的數(shù)據(jù)一般是需要申請(qǐng)搜查證并預(yù)先通知的?！?/p>

Stamos說他詢問過Google，Google答復(fù)說，它們規(guī)定，在接受任何司法行動(dòng)之前是會(huì)通知客戶的。但是Stamos指出，在Google所提供的Google Docs和其他云計(jì)算服務(wù)的終端許可協(xié)議（EULA）條款中并未找到這樣的條款。Google的隱私策略申明，公司將會(huì)與政府部門共享數(shù)據(jù)，以滿足“任何適用法規(guī)、司法程序或執(zhí)法部門的要求?！?/p>

“根據(jù)法律條文，不管律師們?cè)趺凑f，機(jī)器的實(shí)際擁有者才是最重要的，”Stamos說。

此外，大多數(shù)SaaS和云服務(wù)商的EULA協(xié)議根本沒有向客戶承諾任何東西。Stamos極力主張客戶在與SaaS廠商簽訂服務(wù)協(xié)議時(shí)，務(wù)必要求服務(wù)商在涉及數(shù)據(jù)泄漏、數(shù)據(jù)丟失或其他需要恢復(fù)數(shù)據(jù)的災(zāi)難性事件中書面承諾可提供幫助。

但即便SaaS廠商承諾會(huì)提供協(xié)助，Stamos還是發(fā)現(xiàn)，在協(xié)助司法調(diào)查時(shí)，很多廠商不會(huì)保留相應(yīng)的審計(jì)和日志信息。雖然有些廠商，比如Salesforce.com會(huì)提供注冊(cè)和管理操作日志，但Google Apps和微軟Office Live則不提供。而且，所有這三大類服務(wù)都不提供數(shù)據(jù)的閱讀文檔或閱讀記錄。

企業(yè)應(yīng)從SaaS服務(wù)商處接管某些控制權(quán)。這么做雖然可能違背了SaaS服務(wù)的本意，但是畢竟能提供更安全的控制，Stamos說。比如說，啟用SAML（安全性斷言標(biāo)記語言）就可以讓IT部門嚴(yán)密監(jiān)控認(rèn)證過程。SAML還可允許企業(yè)將SaaS門戶置于VPN之后。

總而言之，企業(yè)需要制定和SaaS有關(guān)的嚴(yán)格的安全策略，并培訓(xùn)使用者熟悉基本的安全流程。

“雖說要教會(huì)所有的非技術(shù)人員是很困難的，但是使用者的教育是非常關(guān)鍵的，”Stamos說?！搬烎~攻擊并不是一個(gè)個(gè)人問題，它也是企業(yè)的問題?！?/p>

【編輯推薦】

1. 享受云計(jì)算服務(wù)，還需有法可依
2. 云計(jì)算：很高，很美，也很危險(xiǎn)
3. 金融危機(jī)映射云計(jì)算的可信任度

分享標(biāo)題：當(dāng)心SaaS數(shù)據(jù)：出了事情無法律可依
標(biāo)題鏈接：http://www.5511xx.com/article/coiihps.html