《跨界杂谈》（信息）安全

2015-04-01 雷震子

昨天参加会议，听到公安系统的专家谈到云计算的几点安全忠告。有感而发聊聊安全问题，主要是信息安全方面。

 

 

对于老百姓而言，云安全和互联网安全几乎感觉不出来啥区别了（实际上大部分老百姓至今也不清楚那朵没有飘在天上的云到底是啥。）。作为个人而言，在安全方面最担心的主要是一别丢了钱，二别漏了色。

漏色

从漏色方面，个人也要分两种，即普通人和名人。对于吊丝们而言，自己的艳照即使是故意漏的，乃至疯狂的去主动推广（比如以手滑之名在朋友圈转发一下），也很难被广泛传播，并不是因为艳照不够美、不够色、姿势不够前卫，而是因为对浏览者而言见的实在太多了，毫无新鲜感罢了。但对名人，特别是明星而言，效果就不一样了。早到台湾议员（被偷拍）、再到后来的香港艳照门（被电脑维修人员利用）、去年的某璐事件（手机照片）、美国的明星艳照事件（纯正的云服务）等，传播效果都是比较劲爆的。如果明星不是故意（或潜意识的）为了引起公众故意传播外，对明星们的伤害都是蛮大的。

虽然艳照泄露对名人伤害比吊丝大，但也不意味着吊丝艳照泄露就完全没事，特别是最先拿到照片的人设法敲诈受害者的时候，即与起钱挂钩时，伤害也就放大了。有个案例就是一位黑客，控制了受害者家电脑的摄像头，正好受害者没关床头电脑，小夫妻快活之后不久便收到了视频，要求他们花钱买回版权。还有更严重的案件（但笔者无法确定新闻的真实性了），那就是一个小女生在微博上晒照片，结果暴露了自己的常走路线，被劫杀。

丢钱

在“丢钱”方面，对个人的危害方式也是要分两种，一种是信用卡、网银支付等相关信息被直接盗取，包括：用户名、密码等。还有一种比较隐蔽也被广泛使用，那就是诱惑受害者去花钱。

直接抢盗的方式为大家所不齿，也被认为是个人使用互联网等服务的直接安全威胁。但诱惑受害者去花钱的方式，却被法律所许可，也被个人所理解，认为这不是安全风险。但无论如何，从结果上看，受害者花了不该花的钱，跟直接被盗抢相同金额的钱，其实对个人的经济损失是相同的。但只因诱惑的模式，最终结果是受害者主动行为，而被推崇为互联网行业如今炙手可热的商业模式-------大数据商业模式。

诱惑的模式在受害还是受益的界定上非常模糊。因为即使受害者发现自己损失了钱，伤害者也会说，受害者实际上已经通过花钱得到了精神上的满足。这个最典型案例就是接近病态留恋购物网站的那些剁手党们。在法律上，对诈骗和抢劫也是不同的判罚，诈骗的判罚更轻，而这种疯狂购物的行为，也不会被归类为被诈骗行为。更鲜有人把其归类到信息安全问题，更多的是对受害者自控能力差而做出指责。但这背后有两个问题需要商榷，一个是对用户隐私的侵犯，一个是商家的主动诱导行为。

隐私的侵犯

在隐私方面网站会辩称用户在享受网站服务前已经签署了公开隐私给网站的条款，但这个条款却是在某种意义上被强迫签署的，不公开隐私就无法享受服务。现在个人安装任何一个APP应用，几乎都被要求允许访问通讯录、位置信息、通话记录等一切在手机里拥有的个人信息，否则这个应用就不能安装。貌似用户可以选择，但实际是别无选择，因为所有应用都是如此，用户根本没有选择余地（除非选择不用手机），这实际上就是赤裸裸的绑架，手机应用开发商集体性的对用户隐私的粗暴侵犯。但可悲的是，收费APP即使开发出来，在免费的APP面前收费APP也没人用了，更何况收费的APP也保障不了不侵犯用户隐私。个人隐私到底值多少钱？在老百姓中几乎谁也不清楚，但在互联网商家那里似乎是有明码标价的（价格还会浮动）或与公司估值挂钩（根据拥有的用户隐私量）。虽然人口贩卖不被法律认可，但虚拟人口贩卖目前却是光明正大的一桩生意。如果你觉得隐私被侵犯而去法院告，法官可能告诉你：“是你自己愿意卖身，而且嫖客已经给你钱了啊，协约为证，还来告个啥？”

商家的主动诱惑

商家的主动诱导，更是比比皆是。记得笔者一次接到自己信用卡客服的电话，说我的信用记录多么多么的好，可以获得升级金卡的功能，而且金卡还有诸多的优惠和优质服务，而且我如果同意，电话录音即可作为合同凭证，无需再签署文件。听到这么诱惑的条件，当然心动了，笔者没太犹豫就同意了，待客服都要挂电话的时候，笔者突然觉得不对劲，叫他等等，问他是否有啥费用？他才告诉笔者，升级金卡收费300元，笔者立即收回承诺，说到差点被他骗了，对方很不失望的结束了通话。昨天还看到一则新闻，一个保险推销员，说服一位老太太花40万购买养老保险，结果要等老太太的孙子75岁，才能把这笔钱收回（引导老太太把受益人写成她的孙子）。这种行为发生在著名的大企业头上（还不是那种黑心小公司，其实心黑不黑跟公司大小没啥关系），在国内不会遭到任何惩罚。在大数据技术的支撑下，互联网（或已经走到线下）企业也可以实现类似的诱导。而且这种诱导会更隐蔽。举个虚构例子（只说有这个可能，但不一定是真的）：笔者是个路痴，开车喜欢用导航，结果我发现前方堵车时导航会说前方拥堵而给我一个新路线建议，采纳这个建议后，走了新路线，但发现依然很拥堵，但不同的是，这条路线经历了商业区（可以拥堵的同时看很多商家的门店广告）。如果你是个爱占小便宜的人，到购物网站的时候，会看到满眼的打折信息（是否真的折扣，还是放个虚价做参照不得而知），也就是满眼惊喜，狂买吧。如果你是个不计成本，不爱砍价的人或习惯在已购买过的老商家购买时，你买的商品价格会自动的调整到比别人（可能货比三家）的高（但不会高到引起你的注意）。如果你是个减肥经常失败的人士，你看到的网站页面满是你爱吃的食品（当然，当对自己肥胖不满时，食品会自动变成功效不详但广告诱人的减肥药）。

政府与企业的信息安全问题

对政府和企业，信息安全的讨论很多，但大部分讨论都是围绕企业和政府的商业机密和国家机密保护展开。对应的也有很多解决方案，笔者不是这方面专家，不讨论这个问题，而是讨论一下企业和政府往往没有太关注的问题。

企业的价值数据

企业所拥有的数据到底有多大价值，这跟前文说个人隐私值多少钱的道理类似。实际上很多企业自己也不知道，乃至甚至在企业自己那里看似没有价值的垃圾数据，在其他企业那里可能有巨大价值，特别是把所有企业数据汇聚到一起时。比如：企业的物流发货数据，对企业自己似乎是毫无价值的数据，但对金融机构（电商平台）这种物流发货的数据可能涉及到企业的信用（效率）评估，以及国家或地区经济状况及经济效率的评估。那么企业是否要把这些数据放到云上（主要指公有云），企业就需要重新评估了。还有企业会使用手机APP进行商务往来，这是企业运营敏捷性的表现，但手机APP运营商却同时拥有了企业的业务圈信息（比如客户、项目、产品流、资金流等信息）。从数据价值挖掘的角度看，企业数据的价值是无限的（不一定能够马上变现，但会逐步变现）。而数据(对企业) 的价值，直接影响到了企业的数据处理模式。最终会影响到企业数据管理和运营的重新定义，数据的价值高到一定程度，那就是机密数据了。

政府的数据与企业数据从价值维度相比也是如此。很难说政府的哪个数据没有价值，但可以说政府的数据可以不断的挖掘出价值。

政府涉密人员安全问题

但政府还会面临个问题，就是政府人员，特别是政府涉密人员的安全性问题。相比了解机密信息的人而言，存在纸面或IT设备上的机密信息反而好保护，大不了锁在一个黑屋子里，外面层层保护起来。但掌握机密信息的人是活动的，不可能也锁起来，并且融入了整个大数据的互联网环境之中，这意味着这个人的位置信息（包括住所、上班路线、工作单位）、移动信息、通话记录（包括通话内容本身）、社会关系（至少在电影里密探最想保护自己的家人）、情感关系、资金往来、个人喜好、行为习惯等等，如果这人是个IT迷，喜欢戴个智能手环啥的，身体状况等信息都可以被记录下来（只是目前在技术上可行，但笔者并没有证据证明是否有某些组织已经在这样获取信息，更没有证据证明这些信息外泄到敌对组织手里）。如果所谓敌对势力获取了这些数据，理论上则可以实时且、动态的掌握每个涉密人员的一举一动，届时，作为卧底的你，估计只有你自己觉得还没暴露身份而已。其实更进一步的是大数据预测，可以根据很多公开信息的线索去推断机密信息的内容（这个技术还在发展之中，目前还没看到实际案例）。

不过，如果连国家特工007都在大数据时代光猪跑的时候，作为吊丝的自己，再怎么裸奔也不用觉得脸红了。

附：安全专家对云安全的劝告

1、选择合格的服务商

2、数据存储边界一定要清楚

3、安全的本质是删除

（笔者觉得对企业而言是可以的，对个人，安全的本质是不要做那些必须藏起来的事情，否则脸皮就要够厚），云服务商必须能够提供证据证明数据被保护和在移出服务时，被彻底物理删除（不可恢复）。（笔者觉得，如果企业如果有条件最好不要托管数据，省那点存储的钱，少了那点钱就活不下去的企业除外）

4、机密数据不能随便上云

5、移动应用安全问题要考虑

-------------本期结束-------------

--------------------------------------------------------------------

下期预告：待定

这个下期预告可能会失效，有工作太忙的原因，也有个人思考不成熟的原因。自己本来觉得至少需要再看几本书来辅助思考，现在有点等不及了，只能动笔。如果不能续写，中间笔者尽量穿插着写一些其他话题的微短文。供大家娱乐。

------------------------------------------------------------

征求插图合伙人：诚征负责插图的小伙伴作为并列作者。

--------------------------------------------------------------

关于《跨界杂谈》

这是一本正在边撰写，边连载的书，来自于延续《日子》《月子》《伺候月子》的灵感，内容涉及多个领域可能与个人工作、生活相关的方方面面，是一本开阔视野与交流思想的书。通过连载，一方面看看读者是否感兴趣，另一方面，希望根据读者反馈进行不断的优化。甚至可以把读者的神回复，给出建议读者的名字纳入到书的章节中。通过互动不断完善。争取此书超过《月子》成为厕所必备神器。

相关微信公众号：雷震子、跨界杂谈

关于雷震子：

《跨界杂谈》作者。对历史、人生、企业经营与发展、商业模式、心理学、IT等均感兴趣。人已奔四，事业无成，却牢骚满腹，想一吐为快，但不会像怨妇一样抱怨世事，而是希望和感兴趣的读者分享这四十年成长中的见闻与心得，希望对读者有所价值（至少能打发下无聊时光）。