信息隐私问题及对策
DOIT云计算 13年05月06日 14:10 【转载】 作者:IT商业新闻网 责任编辑:王雪杨
第二,对于文件的真实性和可审计性,可以增加一个审计层作为一个虚拟客户操作系统(虚拟应用环境)没有权限的附加层,需要指出的是在云环境下的审计主要是指内容审计,它主要是指对影响云环境文件安全的相关因素进行记录、识别和分析。审计层就是云环境中的“监察机构”,它能够记录用户访问数据库过程的一切信息,对网络进行动态监控。
第三,根据档案机构的实际情况,建立适合自身需要的云计算文档管理模式,这个模式不仅要能够根据需求任意地增大或缩减比例、满足程序与资源管理的可测性,而且还要满足数据的稳定性、高获得性等有关期望。
3.3信息隐私问题及对策
3.3.1隐私问题
在云环境下,用户把信息传到云服务器上后,就很难对数据信息进行方便的控制,而这些数据对服务商而言,却是透明的,服务商可以随时随地对数据进行处理;同时在开放云环境中很难控制特权访问人员泄露数据的风险。云计算的这种服务模式对用户的信息隐私造成极大的风险 。H·Katzan·Jr指出云计算环境下信息的应用首先应该注意信息的安全和用户的信息隐私问题,其中最关键的是用户的属性信息(如年龄、性别、种族)及用户在网上活动的信息应受到保护㈣。最鲜明的例子是美国《爱国者法案》规定的条款所引起的风波,由于美国有世界上三大云计算中心,这些云计算中心成为加拿大和欧盟大型企业数据托管的重要基地。但是美国《爱国者法案》规定联邦调查局可以进入任何一个“云” 调查数据,出于对隐私信息的保护,国外媒体报道称欧盟将封杀美国云计算服务商,以保证数据的安全和国家隐私。
传统的文件管理很注重文件的信息隐私。通常把文件分为内部文件和外部文件,机密文件和绝密文件。但是云计算提供了一个开放的电子文件管理环境,内部文件和外部文件的划分也日趋模糊,导致电子文件的隐私遭到各方面的挑战,所以基于新技术的个人信息如博客、电子邮件都应受到规范的文件管理,来确保云环境下的文件信息安全。
另外,给电子文件管理带来的挑战还来自用户登录数据库时的身份认证方面存在漏洞。云基础设施依赖web通过利用SSL表来创建和管理用户的账户信息,并且允许用户重新设置密码,但是新的密码会通过一个不安全的电子邮件传递给用户,用户一般单点登录就能够轻松登录云服务,访问多个数据中心,这样很难确认访问人员的真实身份。换句话说,云环境下用户在很容易地利用电子文件的同时也会侵犯到个人的隐私。所以,在管理电子文件时应该制定规则来预防电子文件泄密事件的发生,保证电子文件的信息安全。
3.3.2应对措施
解决电子文件数据隐私风险的对策主要有IAM(身份和访问管理)和隐私保护系统。IAM 是最主要的应对策略,主要涉及用户身份建立和注销、认证、联合身份管理以及授权和用户档案管理 。通过SAML(安全断言标记语言)实现SSO(单点登录)功能,可以完成对云用户的安全集成管理和访问控制。SSO实现云平台多应用程序的用户集成管理,通过持续动态地维护用户信息中心,确保用户身份的真实可靠;而SAML又可以确保管理系统中不同安全域(服务提供商和身份提供商)交换认证和授权数据过程中的安全通信,其中服务提供商可以是Google Apps、Azure、AmazonEC2等云服务平台,身份提供商可以是统一的用户档案数据中心。另外,为了防止用户非正常登陆,系统还应该记录下“是谁登陆”、“何时”、“从伺地登陆”、“执行了什么活动”、“访问了什么数据”等用户历史行为。不仅可以方便用户账户管理,还可以实现用户的自助服务,确保身份的真实性。
3.4第三方审计问题及对策
虽然云服务商控制用户的数据,但是对数据的安全并不负责,一旦数据存在安全问题。风险只能用户自己承担,这将会给用户带来困扰,所以,第三方审计工作亟待建立和完善。如果云服务商符合一些监管安全的要求并受到外部审计和第三方认证的约束,将会保证云内的电子文件长期真实性和可存取性,电子文件的凭证价值才能有所保证。
基于这个问题,电子文件管理部门在向云服务商托管电子文件的时候,应该与服务商达成协议,共同受第三方的审计。电子文件管理部门和云服务商可以从以下几方面来考虑:
(1)法规团队。云服务商的服务标准条款可能无法满足用户或审计方的法规遵从需求,因此,法规人员应尽早与服务商协作,参与到服务商规章的制定活动中,以保证其条款符合审计和遵从要求。可见相应的法规团队对服务商满足审计和法规遵从要求有极大的促进作用。
(2)分析法规遵从范围。制定法规时,分析所要遵从的法规是否与给定的云服务有所冲突有极大的必要性,其可以保证制定的法规具有基本的适用性。
(3)审计人员的资格与选择。在许多情况下,云服务商没有选择审计机构的权利,但是如果服务商对审计机构的选择具有一定的发言权将会对审计工作带来一定的益处,因为并不是所有的审计机构都熟悉云服务的业务结构。在公开可控的范围内,允许服务商选择熟悉自己业务结构的审计机构可以在很大程度上取得服务商的审计支持。
(4)服务商法规遵从。云服务商对平台数据和设施具有决定的控制权,因此,云服务商自身及内部人员的控制显得尤为重要。耍满足云服务安全性要求,服务商必须制定保障平台安全和约束内部人员的规章制度,并控制内部人员严格遵守法律法规、制度和流程要求。
(5)提供法规遵从证据。收集众多管理法规和要求的法规遵从性证据是一项艰巨的任务。云服务的客户和审计机构应该开发一定的流程来收集和存储法规遵从性证据,包括审计日志和活动报告,以及系统配置、管理报告更改和其它测试程序输出的副本。同时,云服务商也应该有提供法规遵从性证据的义务。
4.结语
综上,本文结合国内外文献概括总结了云计算环境下的电子文件档案管理中存在的问题。云计算作为新兴的技术,在其巨大的优势下面,也存在难以避免的问题。文档管理工作在合理利用云计算等社会媒体优势的情况下,要更加注重对云计算本身存在的缺陷进行研究。同时,不同类型的档案馆(室)和文件管理机构要根据自身特点合理选择“云”的模式,可以根据机构的地域特点、收藏特色等选择适合自己的“云”。还应该注意到,云计算能在文档管理工作中应用的关键不仅是技术,更重要的是文件和档案行政管理机构的组织和管理作用,完善的标准、规范,跨学科的管理方法,灵活的技术运用及高素质的人才支撑,将会是云环境下文档管理逐步形成、发展和完善的必备条件。所以,利用云计算技术优势,改变传统的文档管理意识,避免云计算的缺陷,取长补短,这才能推动社会媒体新环境下文档工作的顺利开展。
- 第1页:云计算下电子文件管理面临的问题浅析及对策
- 第2页:云计算环境下电子文件管理而临的挑战及对策
- 第3页:信息隐私问题及对策
腾讯微博
新浪微博
