原美国国家安全局职员斯诺登泄露的“棱镜”(PRISM)计划,让美国IT行业蒙上阴影。美国政府经由互联网,秘密搜集企业或个人使用“云计算”服务存储于数据中心的信息得以证实。
此前,美国政府监听电话事件已广为人知,“棱镜”计划则更进一步,美国国家安全局通过访问美国Google、美国Facebook、美国Amazon、美国微软等云计算提供商的服务,秘密收集用户信息。
随着事件的发酵,对领先全世界的美国各大云计算服务商的不信任情绪也在全世界范围内扩散。ITIF的报告称,美国云计算产业为此至少损失215亿美元,最多可能损失350亿美元。美国Gartner公司去年的报告显示,全球云计算服务市场为1110亿美元(约合6793亿元人民币),预测今年为1310亿美元(约合8017亿元人民币)。本次事件的影响将波及其中的20%~30%。
今年6~7月,云计算安全联盟(CSA)以会员企业为对象实施的调查显示,10%的非美国企业取消了与美国云计算提供商之间的合同,56%表示将研究降低对美国云计算服务的使用,近70%的企业决定调整与美国云计算服务商之间的合同或者变更项目计划。
云计算行业要求美国政府采取对策,但是事发源头美国国家安全局在信息泄露问题的响应过程中左右摇摆,且表态似乎都不涉及云计算产业。
今年6月,美国议会召开了信息泄露问题听证会。其间,美国国家安全局为防止再次发生类似事件,规定全面实施包括系统管理员在内的“两人规则”。他们认为,斯诺登作为系统管理员,拥有可自由访问的权限,是引发本次信息泄露的主要原因,以后即便是系统管理员,也要获得其他负责人的许可才能访问核心数据。
另一方面,针对美国国家安全局的谍报活动,要求公开“透明性”的呼声很高,8月初,美国国会开始出现更多的限制美国国家安全局活动的呼声。参议员艾尔·弗兰克起草了包括美国国家安全局在内的美国信息机构,有义务报告收集的市民信息总数的法案。
不管舆论如何反应,美国政府的基本态度是,美国国家安全局一贯“尊重美国市民隐私”,而对除美国市民以外的隐私、信息收集,则不会采取保护对策。
毫不夸张地说,中国使用着千百万个美国的云计算服务或者云计算提供商,大量信息都处于对美国政府敞开的状态,如果美国政府感兴趣都可随时查看。我国用户在低价甚至免费使用美国云计算提供商的服务之前,非常有必要从信息安全角度一项一项地进行排查。
