近年来,互联网用户间流行着这样一句话——“涉密不上网,上网不涉密”。这看似调侃的一句话,却道出了一部分用户对互联网产品的不信任。
在这个信息爆炸的时代,大数据分析、数据库的建立以及人工智能越发普及,信息交换拉近了人与互联网的距离。但是随着这种亲密接触的频次的增加,用户个人隐私泄露的几率也相应提高,科技公司也为此迎来了更大的安防挑战。尤其是云存储这类与用户隐私息息相关的产品,其所掌握的安防技术,会受到用户的审视。但其实,用户大可不必对正规APP的安全性有所怀疑,像百度网盘等大厂商,会对用户的隐私安全负责。
提高安全防范标准,防止信息“内部泄露”
频发的隐私泄露事件的确给一部分互联网用户带来了恐慌,也造成了部分用户因噎废食,对所有互联网产品都产生了不信任感。针对APP隐私泄露给用户带来的恐慌,回形针做过一期科普视频。视频里将隐私安全问题归纳为了“内部泄露”和“外部攻击”两大方面,并且就大数据隐私泄露的方式即防御方法进行了介绍。
如视频中所说,大多数正规科技公司出品的APP会坚守用户隐私底线,不会偷听和偷看。并且除了改进产品功能以外,不会上传分析用户的录音或者照片。
除了坚守底线外,大厂的APP产品通常会采用差分隐私等技术来保护用户隐私,而百度网盘也引用了这一技术。回形针视频指出,差分隐私架构是通过统计学的方法在app采集的数据中加入噪音,将app采集到的大数据模糊化,让工作人员无法通过数据波动反推得到用户个人信息。
在保护隐私技术的基础上,百度网盘等大厂商还会通过引入监管认证机构等方式来进一步严格要求自己。而百度网盘已于2019年通过了中国质量认证中心颁发的关于ISO/IEC 27001(信息安全管理体系)认证证书。这是全球公认最权威、最被广泛接受和应用的信息安全领域的体系认证标准,评审环节囊括了抽查员工电脑信息、电子文档加密保护检查以及保密协议检查等一百多项标准。
应对“外部攻击”, 防护技术三位一体
为了应对外部攻击,百度网盘也同时接受了另一项安全考核,其通过的ISO/IEC 27018是第一个指导公有云服务供应商如何保护云用户个人可识别信息(PII)安全的国际标准。想要通过这个标准,科技公司需要搭建数据保护权限系统,以及脱敏处理算法等隐私保护体系,用以保护用户的信息不被“外部攻击”所截取。
在分析了诸多案例后,百度网盘安全团队总结出了常见的三大外部攻击手段,即由于用户账号被盗致使数据被恶意删除、窃取;因黑客入侵所导致的重要数据被拦截、窥探;以及分享链接操引发的数据外泄。并且针对这三大攻击手段构建了三道“技术”防线。
第一道防线是登录保护。在如今的网络环境中,邮箱劫持、木马植入、网站cookie盗取等非法行为正在严重影响着互联网用户的账户安全。为了应对此类威胁,百度网盘为用户提供了异地登录保护、网页登录身份验证、用户登录身份验证、登录设备保护等方式,并使用行业标准的身份验证协议OAth,确保用户在使用第三方应用时的账户信息安全。
第二道防线是在存储和传输环节进行反黑客保护。如今,黑客入侵、截取等事件屡见不鲜,许多运营商的安全防护能力让用户提心吊胆。为了防范黑客攻击,百度网盘采用了切割存储的方式:用户的数据在上传百度网盘服务器后,其中包含的敏感标识都采用加密数字化的方式进行脱敏。同时内部用户的个人文件都会被切分成不同的文件块分别存储在不同的服务器上。当用户对文件数据有需求的同时,系统会首先获取到内部系统安全的“通行证”,检索在不同机器上的数据块,通过不同的二进制数据库,把文件流式传输给用户。
此外,在数据传输过程中,百度网盘采用了高级别的HTTPS的传输加密协议,这种协议通过数字证书、加密算法、非对称密钥等技术确保数据在公网传输过程中的安全。
第三道防线是分享保护。在文件分享文件或数据时,非法工具会抓取用户所分享的信息。百度网盘针对用户在分享链接过程中可能产生的风险制定了一套成熟的应对措施——百度网盘设置了robot防抓取协议,让不法分子无法拦截百度网盘的分享链接。另一方面,在分享过程中,网盘用户可以设置链接有效期并勾选提取码选项,最大程度降低因人为操作不当导致的资料泄露风险。
综上所述,用户大可不必“谈网色变”,而是应该尽量使用更可靠地产品。trustdata发布的最新一期2020年第一季度关于移动大数据报告数据显示,2月份,百度网盘已成功跻身云办公软件打开率、使用率前三的行列,在频繁的数据交互,涉密度极高的云办公环境下,百度网盘的安全系数得到了各企业的认可和信任,这份信任足以证明其安全性经得住考验。
