數據(ju)泄(xie)露的(de)補償金額(e)通常不足以(yi)覆蓋真(zhen)正實際的(de)損失，尤其發生云端的(de)泄(xie)露事故。專家Frank Siemons在這里對數據(ju)泄(xie)露的(de)和(he)解協議選項進行了討(tao)論。

大多數公(gong)司在未來(lai)幾年內都會經歷一種(zhong)或另一種(zhong)形式的(de)(de)數據泄(xie)露。根據信息(xi)來(lai)源的(de)(de)不(bu)同(tong)，對(dui)于會受影(ying)響組(zu)織的(de)(de)估(gu)算也(ye)會有所不(bu)同(tong)，但通常每年有40%至60%的(de)(de)組(zu)織遭遇數據的(de)(de)泄(xie)露。當這(zhe)種(zhong)不(bu)可(ke)避免的(de)(de)泄(xie)露發生(sheng)(sheng)時，它可(ke)能對(dui)公(gong)司的(de)(de)財務和聲譽造成毀滅性(xing)的(de)(de)后果(guo)。傳統的(de)(de)風(feng)險管理策(ce)略會考慮財務的(de)(de)影(ying)響以及事件發生(sheng)(sheng)的(de)(de)概率以此來(lai)應對(dui)確定(ding)的(de)(de)風(feng)險。有四種(zhong)選項來(lai)管理這(zhe)些風(feng)險：

1.緩解(jie)風險：比如，該控制的(de)成本低(di)于(yu)可能造(zao)成的(de)損失;

2.回避風險(xian)：這(zhe)通常(chang)是(shi)針對(dui)(dui)那些會對(dui)(dui)財務(wu)影響重大并且(qie)發生概率(lv)高(gao)的風險(xian);

3.接受風(feng)險：組織由于各種原因(yin)包括成本效益的原因(yin)，決定不實施(shi)風(feng)險控(kong)制;以及

4.轉移風險：通常到第三方保險。

來(lai)自一個(ge)第三方服(fu)務提(ti)供商(shang)責任方的數據泄(xie)露(lu)補償不常被列入考慮的范疇，但這種選項應該值得調(diao)研。如(ru)果云平臺(tai)本身遭遇(yu)泄(xie)露(lu)，提(ti)供對(dui)客(ke)戶(hu)數據的訪問甚至是跨客(ke)戶(hu)數據的訪問會發生什(shen)么?

數據泄露索賠

大多數(shu)(shu)(shu)有(you)記錄的(de)(de)(de)(de)(de)(de)數(shu)(shu)(shu)據(ju)泄(xie)(xie)露(lu)補償(chang)(chang)(chang)(chang)案例涉及個人(ren)信息(xi)泄(xie)(xie)露(lu)，例如2014年(nian)Sony Pictures和(he)2015年(nian)TalkTalk的(de)(de)(de)(de)(de)(de)數(shu)(shu)(shu)據(ju)泄(xie)(xie)露(lu)。在(zai)這種情況下，個人(ren)信息(xi)遭到(dao)泄(xie)(xie)露(lu)，而對(dui)(dui)(dui)此負責的(de)(de)(de)(de)(de)(de)組(zu)(zu)織在(zai)法律訴訟之(zhi)前或(huo)之(zhi)后(hou)提供(gong)賠(pei)償(chang)(chang)(chang)(chang)，以補償(chang)(chang)(chang)(chang)用(yong)戶(hu)在(zai)金錢或(huo)隱私上(shang)的(de)(de)(de)(de)(de)(de)損(sun)失(shi)(shi)。雖(sui)然復雜了一(yi)點，公司(si)之(zhi)間確實存在(zai)一(yi)個類似的(de)(de)(de)(de)(de)(de)系統(tong)。這通常(chang)涵蓋(gai)在(zai)服務級別協議(SLA)中，其中包括(kuo)廣泛(fan)的(de)(de)(de)(de)(de)(de)服務指標和(he)條款，如對(dui)(dui)(dui)宕機時間和(he)數(shu)(shu)(shu)據(ju)泄(xie)(xie)露(lu)的(de)(de)(de)(de)(de)(de)補償(chang)(chang)(chang)(chang)。標準(zhun)SLA的(de)(de)(de)(de)(de)(de)主要問(wen)題是(shi)，在(zai)現實中，數(shu)(shu)(shu)據(ju)泄(xie)(xie)露(lu)賠(pei)償(chang)(chang)(chang)(chang)的(de)(de)(de)(de)(de)(de)價值與一(yi)次(ci)標準(zhun)的(de)(de)(de)(de)(de)(de)泄(xie)(xie)露(lu)或(huo)斷(duan)電可能(neng)對(dui)(dui)(dui)組(zu)(zu)織造(zao)成的(de)(de)(de)(de)(de)(de)重大損(sun)失(shi)(shi)相去(qu)甚(shen)遠。例如，一(yi)個組(zu)(zu)織的(de)(de)(de)(de)(de)(de)網站在(zai)黑(hei)色星期五銷售期間崩潰，導致了5000萬美(mei)元(yuan)的(de)(de)(de)(de)(de)(de)收入損(sun)失(shi)(shi)。該(gai)組(zu)(zu)織卻只是(shi)獲得了6小(xiao)時的(de)(de)(de)(de)(de)(de)服務積分，價值約300美(mei)元(yuan)。

云環境的細微差別

要深入了(le)解云客戶的安全(quan)事件和數(shu)據(ju)泄露補償的細節，了(le)解這些(xie)傳統選(xuan)項之間的一些(xie)關鍵差異很重要。

這(zhe)里最主要的(de)(de)(de)區別(bie)是責任(ren)從客戶(hu)轉(zhuan)到了(le)(le)云(yun)服務(wu)提(ti)(ti)供(gong)商(shang)。這(zhe)些責任(ren)不僅(jin)涵(han)蓋基(ji)礎設施的(de)(de)(de)可用(yong)(yong)性和(he)性能(neng)，而且還(huan)涵(han)蓋了(le)(le)該服務(wu)的(de)(de)(de)安全方面的(de)(de)(de)一(yi)部(bu)分。這(zhe)些責任(ren)會(hui)隨(sui)著(zhu)客戶(hu)對于云(yun)使用(yong)(yong)程度的(de)(de)(de)進一(yi)步加深而加重。例如，一(yi)個(ge)云(yun)服務(wu)提(ti)(ti)供(gong)商(shang)在(zai)基(ji)礎設施及服務(wu)模式(shi)上的(de)(de)(de)安全責任(ren)會(hui)比對軟件即服務(wu)的(de)(de)(de)模式(shi)更(geng)重，因(yin)為前者(zhe)(zhe)所(suo)提(ti)(ti)供(gong)的(de)(de)(de)服務(wu)比后者(zhe)(zhe)又增加了(le)(le)泄露的(de)(de)(de)可能(neng)性和(he)風(feng)險。攻擊(ji)者(zhe)(zhe)利用(yong)(yong)底層云(yun)系統發動的(de)(de)(de)攻擊(ji)所(suo)帶來的(de)(de)(de)潛在(zai)損害會(hui)變得更(geng)大(da)，原(yuan)因(yin)很簡單(dan)，因(yin)為云(yun)平臺(tai)控制著(zhu)更(geng)多的(de)(de)(de)服務(wu)。

另一個重要的(de)(de)區(qu)別是(shi)多(duo)租戶環境。云(yun)(yun)提(ti)供(gong)(gong)商是(shi)價(jia)值很高的(de)(de)攻(gong)(gong)擊(ji)目標，因為可(ke)(ke)以(yi)(yi)一下子訪(fang)問許多(duo)客戶的(de)(de)系(xi)統。舉個例子，假(jia)設(she)攻(gong)(gong)擊(ji)者(zhe)獲(huo)取了對Azure Web服務平臺或者(zhe)Rackspace內(nei)部(bu)(bu)基礎架構的(de)(de)訪(fang)問。如果這(zhe)在云(yun)(yun)采納(na)初(chu)期聽起來(lai)似乎有點遙不(bu)可(ke)(ke)及，還(huan)可(ke)(ke)以(yi)(yi)考慮來(lai)自內(nei)部(bu)(bu)攻(gong)(gong)擊(ji)的(de)(de)可(ke)(ke)能。云(yun)(yun)服務提(ti)供(gong)(gong)商的(de)(de)員工(gong)有沒有經過(guo)審(shen)查(cha)，以(yi)(yi)及該審(shen)查(cha)過(guo)程(cheng)是(shi)否同他們的(de)(de)客戶審(shen)查(cha)過(guo)程(cheng)一樣使用相同的(de)(de)標準?這(zhe)仍(reng)然(ran)是(shi)個未知數。

歷史云泄露

即便在(zai)云環境中發(fa)生的(de)(de)(de)(de)重大跨客戶安全泄露案例(li)在(zai)現實中很難找到(dao)，然而越(yue)來越(yue)多的(de)(de)(de)(de)安全專家正在(zai)對此巨大的(de)(de)(de)(de)風(feng)險提(ti)出警(jing)告(gao)。2015年(nian)，伍斯特理工學(xue)院的(de)(de)(de)(de)研究人員聲稱他們使(shi)用亞馬(ma)遜(xun)網(wang)絡服務實例(li)獲取了位(wei)于同一(yi)臺機器上的(de)(de)(de)(de)另一(yi)個(ge)AWS實例(li)的(de)(de)(de)(de)訪(fang)問，此舉在(zai)一(yi)個(ge)相當復(fu)雜(za)的(de)(de)(de)(de)白皮書中記錄在(zai)案。亞馬(ma)遜(xun)立即淡(dan)化了這種風(feng)險，表示該(gai)攻(gong)擊需要目(mu)標亞馬(ma)遜(xun)彈性計算云實例(li)上有 非(fei)常罕見的(de)(de)(de)(de)，不(bu)(bu)太(tai)可能預先(xian)存(cun)在(zai)的(de)(de)(de)(de)過時的(de)(de)(de)(de)第三方軟(ruan)件 。然而，這個(ge)例(li)子表明，只是(shi)(shi)因為數據在(zai)云中以及(ji)可能被加密過，并不(bu)(bu)意味著該(gai)系統是(shi)(shi)無(wu)堅不(bu)(bu)摧(cui)的(de)(de)(de)(de)。第一(yi)個(ge)轟(hong)動媒(mei)體的(de)(de)(de)(de)以云為主題的(de)(de)(de)(de)大型安全漏(lou)洞(dong)的(de)(de)(de)(de)爆發(fa)僅僅是(shi)(shi)時間問題。

結論

調研并對(dui)云數(shu)(shu)據泄露賠償政策達成一致至關重(zhong)要。這(zhe)(zhe)是由于(yu)(yu)數(shu)(shu)據泄露所增加(jia)(jia)的(de)(de)(de)(de)暴露風(feng)險(xian)(xian)和影響，而(er)這(zhe)(zhe)又會增加(jia)(jia)組(zu)織的(de)(de)(de)(de)風(feng)險(xian)(xian)。私人信息的(de)(de)(de)(de)泄露或大(da)范圍的(de)(de)(de)(de)服務(wu)宕機(ji)所帶來的(de)(de)(de)(de)損(sun)(sun)失不(bu)能簡單地用傳統的(de)(de)(de)(de)SLA賠償金(jin)額結(jie)算。損(sun)(sun)失可以(yi)高達百(bai)萬(wan)美金(jin)。只是給于(yu)(yu)幾個(ge)(ge)月(yue)的(de)(de)(de)(de)免費(fei)服務(wu)在(zai)這(zhe)(zhe)種(zhong)情(qing)況下根(gen)本起(qi)不(bu)到什么作用。例如，Azure應用網關云服務(wu)對(dui)于(yu)(yu)小(xiao)于(yu)(yu)99%的(de)(de)(de)(de)正(zheng)常運(yun)行時(shi)(shi)間只給于(yu)(yu)客戶25%的(de)(de)(de)(de)服務(wu)積分。假設你(ni)有一個(ge)(ge)大(da)型的(de)(de)(de)(de)網店，然后(hou)遭遇(yu)兩天的(de)(de)(de)(de)宕機(ji)時(shi)(shi)間。那些服務(wu)積分甚至都(dou)不(bu)值得我們花費(fei)幾個(ge)(ge)小(xiao)時(shi)(shi)的(de)(de)(de)(de)文書工(gong)作來獲得，尤(you)其當你(ni)需要處(chu)理最近的(de)(de)(de)(de)一次重(zhong)大(da)斷電事故的(de)(de)(de)(de)善后(hou)工(gong)作時(shi)(shi)。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產廠家。

歡迎來電咨詢0574 88168918,郵箱sales@aliance.cn，網址aliance.cn