李俐婷

云計(jì)算是全球新一輪IT革命最重要的標(biāo)志性創(chuàng)新，日益成為引領(lǐng)未來(lái)信息產(chǎn)業(yè)乃至整個(gè)經(jīng)濟(jì)社會(huì)創(chuàng)新發(fā)展的戰(zhàn)略性關(guān)鍵技術(shù)和基礎(chǔ)性創(chuàng)新平臺(tái)，在創(chuàng)造機(jī)遇的同時(shí)也帶來(lái)了挑戰(zhàn)。云環(huán)境的部署與應(yīng)用能夠幫助企業(yè)以更低運(yùn)行成本獲取計(jì)算資源，但托管在云端的商業(yè)秘密也處于泄露的風(fēng)險(xiǎn)中。由于歐美各國(guó)政府及企業(yè)在應(yīng)對(duì)云環(huán)境下的商業(yè)秘密泄露方面已經(jīng)有了較為完備的解決方案，故本文從歐美地區(qū)的典型案例出發(fā)，探索云環(huán)境下商業(yè)秘密保護(hù)的最佳實(shí)踐。

一、云環(huán)境下商業(yè)秘密新特征

云環(huán)境下商業(yè)秘密表現(xiàn)出了新的特征。雖然商業(yè)秘密的種類(lèi)沒(méi)有發(fā)生變化，但是其表現(xiàn)形式發(fā)生了變化，如在IaaS模式下，商業(yè)秘密表現(xiàn)為存放在云端的用戶虛擬機(jī)等硬件中一切涉及商業(yè)秘密的技術(shù)信息與經(jīng)營(yíng)信息。云環(huán)境本身的開(kāi)放性、數(shù)據(jù)的分布式存儲(chǔ)結(jié)構(gòu)特性和云計(jì)算資源的共享性也增加了商業(yè)秘密泄露的風(fēng)險(xiǎn)。2014年Verizon公司在一份研究報(bào)告中指出，近一半的商業(yè)秘密泄露的發(fā)生都與現(xiàn)任或者離任的員工有關(guān)，尤其是在制造業(yè)、金融業(yè)等領(lǐng)域更為突出。以2010年的Sasqua Group v.Courtney案為例，獵頭公司Sasqua起訴前員工Lori Courtney竊取其數(shù)據(jù)庫(kù)中客戶信息，并在跳槽后利用這些信息接觸客戶，這些保密信息包括客戶的簡(jiǎn)歷、客戶關(guān)系等內(nèi)容。云計(jì)算應(yīng)用的普及和頻發(fā)的商業(yè)秘密侵權(quán)事件都說(shuō)明了保證云端商業(yè)秘密的安全十分重要。

二、云環(huán)境下商業(yè)秘密的保護(hù)

云環(huán)境下商業(yè)秘密的保護(hù)需要云服務(wù)提供商與用戶通力合作。谷歌在“CloudNext”大會(huì)上展示了其云安全戰(zhàn)略，重申了云環(huán)境下企業(yè)應(yīng)在商業(yè)秘密保護(hù)方面承擔(dān)責(zé)任，認(rèn)為原有的由云服務(wù)提供商負(fù)責(zé)數(shù)據(jù)中心的物理安全、由企業(yè)客戶負(fù)責(zé)應(yīng)用和數(shù)據(jù)的安全防護(hù)格局應(yīng)該改變。云服務(wù)提供商應(yīng)努力建立用戶的信任，以完備的安全措施說(shuō)服用戶將商業(yè)秘密放在云端。以國(guó)外主流云服務(wù)商的實(shí)踐為例，建立起云環(huán)境下商業(yè)秘密的安全保障可以從以下兩個(gè)方面努力：

規(guī)范化服務(wù)打造“可信云”

為了確保云服務(wù)的安全性和可靠性，微軟投入大量人力物力來(lái)構(gòu)建自身“可信云（Trusted Cloud）”的框架，該框架包括安全、透明、隱私保護(hù)與合規(guī)四個(gè)方面。在雇傭數(shù)以千計(jì)的律師、分析師在100多個(gè)國(guó)家跟蹤分析當(dāng)?shù)胤ㄒ?guī)政策外以確保提供的云服務(wù)合規(guī)之外，微軟還在全球多地開(kāi)設(shè)數(shù)據(jù)中心來(lái)保護(hù)客戶的商業(yè)秘密。技術(shù)的安全性和規(guī)范性、服務(wù)條款的透明性使微軟成為了目前獲得全球許多國(guó)家認(rèn)證最多的云服務(wù)商。

亞馬遜在2017年推出了“AWS秘密區(qū)域（AWS Secret Region）”服務(wù)，該服務(wù)符合多種合規(guī)要求，包括美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局特別出版物800-53第4版—一對(duì)聯(lián)邦信息系統(tǒng)和組織的安全與隱私控制規(guī)定?！癆WS秘密區(qū)域”服務(wù)主要面向美國(guó)的情報(bào)機(jī)構(gòu)和第三方承包商，其規(guī)范化程度已經(jīng)足夠打消政府在數(shù)據(jù)存取和取用過(guò)程中的種種安全顧慮。

主動(dòng)參與標(biāo)準(zhǔn)化建設(shè)，構(gòu)建事實(shí)標(biāo)準(zhǔn)

商業(yè)秘密的安全隱患是云服務(wù)在企業(yè)應(yīng)用中的一大阻礙，客戶只有在確認(rèn)將商業(yè)秘密存放在云端足夠安全時(shí)才會(huì)啟用云方案。為進(jìn)一步推廣云服務(wù)的應(yīng)用，美國(guó)政府通過(guò)《聯(lián)邦云計(jì)算計(jì)劃》、《聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃》等確保云計(jì)算服務(wù)滿足信息安全要求，建立統(tǒng)一、可靠的云計(jì)算服務(wù)。近年來(lái)眾多從事標(biāo)準(zhǔn)化建設(shè)的國(guó)際組織也紛紛啟動(dòng)了云計(jì)算相關(guān)的標(biāo)準(zhǔn)化建設(shè)，如國(guó)際標(biāo)準(zhǔn)化組織、分布式管理任務(wù)組等。

國(guó)外主流云服務(wù)商抓住這一時(shí)機(jī)，積極參與相關(guān)標(biāo)準(zhǔn)的建設(shè)，如IBM、思科、微軟等早早加入了電信管理論壇、谷歌參加國(guó)際互聯(lián)網(wǎng)工程任務(wù)組關(guān)于云計(jì)算標(biāo)準(zhǔn)的討論等，都是IT企業(yè)通過(guò)標(biāo)準(zhǔn)化來(lái)構(gòu)建自身云服務(wù)品牌的常用手段，能夠在實(shí)際上增強(qiáng)技術(shù)的安全性，保證云服務(wù)符合各項(xiàng)法律和標(biāo)準(zhǔn)的要求。

除了積極參與各國(guó)際組織的標(biāo)準(zhǔn)制定之外，許多處于技術(shù)領(lǐng)先地位的云服務(wù)提供商也開(kāi)始利用自己的先發(fā)優(yōu)勢(shì)制定并推廣事實(shí)標(biāo)準(zhǔn)。如IBM聯(lián)合VMWare、Sun和AMD等公司共同簽署了“開(kāi)放云計(jì)算宣言”，提出了開(kāi)放云計(jì)算方面的若干原則，對(duì)業(yè)界公認(rèn)的、市場(chǎng)實(shí)際接納的技術(shù)標(biāo)準(zhǔn)進(jìn)行正式的聲明，在維持自身的市場(chǎng)領(lǐng)先地位的同時(shí)也為云計(jì)算的安全性和互操作提供了保證。

標(biāo)準(zhǔn)化已經(jīng)成為業(yè)界的共識(shí)，更完善的標(biāo)準(zhǔn)體系和云計(jì)算安全評(píng)估認(rèn)證體系才能使云服務(wù)商的責(zé)任更加明確，幫助客戶應(yīng)對(duì)新技術(shù)環(huán)境對(duì)商業(yè)秘密保護(hù)的沖擊。

對(duì)于商業(yè)秘密領(lǐng)域，云計(jì)算的推廣是一把雙刃劍。云計(jì)算獨(dú)特的技術(shù)特征和便利性決定了企業(yè)在采用云服務(wù)方案的同時(shí)必須承擔(dān)一定的商業(yè)秘密泄露風(fēng)險(xiǎn)。在企業(yè)用戶自身的網(wǎng)絡(luò)信息安全防范措施之外，云服務(wù)提供商在商業(yè)秘密保護(hù)上應(yīng)積極推進(jìn)云安全的標(biāo)準(zhǔn)化進(jìn)程，協(xié)助標(biāo)準(zhǔn)化組織制定行業(yè)標(biāo)準(zhǔn)并構(gòu)建事實(shí)標(biāo)準(zhǔn)，確保云服務(wù)的合規(guī)性和安全性，構(gòu)建云安全新生態(tài)。