《企业网D1Net》9月10日讯

Dropbox所提供的云服务对企业来说是一个安全的选择吗？想要在云上安全的存储数据，企业要考虑哪些方面呢？

Dropbox是现在人们广泛使用的一个云存储平台，但是现在该服务的安全问题正在受到安全研究人员审查，因为客户数据的隐私权正在受到质疑。在八月份举办的USENIX安全会议上，两名研究人员发布了一份白皮书，对攻击Dropbox和获取其用户数据的办法进行了描述。虽然实际研究的价值值得讨论，但它引导出了一个新的问题：用户该如何来保护存储在云端的数据的安全性和完整性。Dropbox已经逐渐意识到了这一研究，但是该研究对于Dropbox来说并不是一个需要及时处理的安全风险。

Dropbox的发言人表示，Dropbox对进行Dropbox安全性研究额人员和其他人帮助Dropbox解决问题的人表示感谢。但Dropbox目前并不认为USENIX会议上所发布的研究报告展示出了Dropbox客户端的脆弱性。Dropbox的发言人表示：“在白皮书中所列举的案列中，用户的电脑首先需要全部暴露在攻击中，而不仅仅是用户的Dropbox。”尽管Dropbox没有对云存储的安全性提高警惕，但是其他公司有。CipherCloud的高级总监Willy Leichter表示云存储安全模型的问题不仅仅包括Dropbox的认证方法。

Leichter表示：“云文件共享绕过了企业的安全系统，但是企业还是需要对信息进行审查，来预防敏感数据泄露给未经授权的局外人”

Wave Systems的首席执行官Steven Sprague表示，在他看来，最基本的问题在于Dropbox可以读取所有用户所有的文件，如果密钥由Dropbox掌管，那么对数据进行加密是没有任何价值的。NetIQ的解决策略总监Geoff Webb也表示赞同，他认为密钥的所有权是一个关键问题。

Webb表示，用户所犯的重大错误之一是：以为像Dropbox这样的公司对数据进行了加密，就可以实现某种程度上的完全安全。虽然你上传到Dropbox的数据是加密了的，但是你无法确定谁能够获取密钥，如果密钥遭到破坏，那么加密的数据就不会再受到保护了。Dropbox和那些试图提供一个安全在线云服务所面临的挑战是：易用性和安全性一般都是对立的。开源云存储厂商ownCloud的产品副总裁Matt Richards表示，安全性是相对的，最安全的系统是任何人都无法访问的。他看到的是Dropbox经验的另一面，那就是易用性。

“我们所面临的问题还有很多，这个模型对你来说足够安全了吗？，换句话说，你能够放心的将敏感企业数据委托给为用户精心设计的这些服务吗？” Richard说，“去阿姆斯特丹旅游的照片在重要性上完全不同于收益报表、销售预测、产品路线图或者是财政表格。”因此，企业用户应该怎么样做才能正确的保护云上的数据呢？”

CipherCloud's Leichter 表示：“企业需要具有数据上传到云之前，保护敏感和监管信息的能力。”在他看来，安全模型不能仅仅只专注于SSL（安全套接字层）隧道的保护，或者是依赖于应用程序厂商承诺保护数据以及在数据上传到云之前对敏感数据进行保护。Wave Systems的Sprague推荐使用独立加密，并独立提供加密密钥。

“这样，上传到Dropbox的数据才不会被提供商读取。”Sprague 表示。

并非巧合的是，Wave Systems允许其用户通过一个叫做scrambls产品来对上传到云的数据进行加密。Sprague 解释，要对scrambls系统进行攻击，攻击者必须要访问两个系统。这样就可以对Dropbox或者scrambls的内外攻击起到保护作用。

将数据存储在云最重要的问题就是密码。“不要将你无法掌控和控制的敏感信息存储在云。” ownCloud'的Richards建议：“在实践中，对隐私/安全的需求需要与访问需求相平衡”。将云存储解决方案与现有的安全性实践相结合也是取得成功的关键。

ownCloud所提供的方法利用一个开源项目，该项目可以进行远程和本地安装，并且还可以与现有的IT策略和程序相结合。“当你配置了ownCloud，你可以对主要存储位置进行选择，添加二级存储位置，并且这些位置的安全性可与现存的企业存储相媲美，因为你可以对它进行掌控。”Richards表示。ownCloud的存储位置可包括：Amazon's S3 storage、 Google 和 Dropbox。企业需要对云存储的风险和限制有一个良好的理解。