涉密不上網(wǎng)上網(wǎng)不涉密？百度網(wǎng)盤“秘”不透風(fēng)

近年來，互聯(lián)網(wǎng)用戶間流行著這樣一句話——“涉密不上網(wǎng)，上網(wǎng)不涉密”。這看似調(diào)侃的一句話，卻道出了一部分用戶對互聯(lián)網(wǎng)產(chǎn)品的不信任。

在這個信息爆炸的時代，大數(shù)據(jù)分析、數(shù)據(jù)庫的建立以及人工智能越發(fā)普及，信息交換拉近了人與互聯(lián)網(wǎng)的距離。但是隨著這種親密接觸的頻次的增加，用戶個人隱私泄露的幾率也相應(yīng)提高，科技公司也為此迎來了更大的安防挑戰(zhàn)。尤其是云存儲這類與用戶隱私息息相關(guān)的產(chǎn)品，其所掌握的安防技術(shù)，會受到用戶的審視。但其實，用戶大可不必對正規(guī)APP的安全性有所懷疑，像百度網(wǎng)盤等大廠商，會對用戶的隱私安全負(fù)責(zé)。

提高安全防范標(biāo)準(zhǔn)，防止信息“內(nèi)部泄露”

頻發(fā)的隱私泄露事件的確給一部分互聯(lián)網(wǎng)用戶帶來了恐慌，也造成了部分用戶因噎廢食，對所有互聯(lián)網(wǎng)產(chǎn)品都產(chǎn)生了不信任感。針對APP隱私泄露給用戶帶來的恐慌，回形針做過一期科普視頻。視頻里將隱私安全問題歸納為了“內(nèi)部泄露”和“外部攻擊”兩大方面，并且就大數(shù)據(jù)隱私泄露的方式即防御方法進行了介紹。

如視頻中所說，大多數(shù)正規(guī)科技公司出品的APP會堅守用戶隱私底線，不會偷聽和偷看。并且除了改進產(chǎn)品功能以外，不會上傳分析用戶的錄音或者照片。

除了堅守底線外，大廠的APP產(chǎn)品通常會采用差分隱私等技術(shù)來保護用戶隱私，而百度網(wǎng)盤也引用了這一技術(shù)。回形針視頻指出，差分隱私架構(gòu)是通過統(tǒng)計學(xué)的方法在app采集的數(shù)據(jù)中加入噪音，將app采集到的大數(shù)據(jù)模糊化，讓工作人員無法通過數(shù)據(jù)波動反推得到用戶個人信息。

在保護隱私技術(shù)的基礎(chǔ)上，百度網(wǎng)盤等大廠商還會通過引入監(jiān)管認(rèn)證機構(gòu)等方式來進一步嚴(yán)格要求自己。而百度網(wǎng)盤已于2019年通過了中國質(zhì)量認(rèn)證中心頒發(fā)的關(guān)于ISO/IEC 27001(信息安全管理體系)認(rèn)證證書。這是全球公認(rèn)最權(quán)威、最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)，評審環(huán)節(jié)囊括了抽查員工電腦信息、電子文檔加密保護檢查以及保密協(xié)議檢查等一百多項標(biāo)準(zhǔn)。

應(yīng)對“外部攻擊”， 防護技術(shù)三位一體

為了應(yīng)對外部攻擊，百度網(wǎng)盤也同時接受了另一項安全考核，其通過的ISO/IEC 27018是第一個指導(dǎo)公有云服務(wù)供應(yīng)商如何保護云用戶個人可識別信息(PII)安全的國際標(biāo)準(zhǔn)。想要通過這個標(biāo)準(zhǔn)，科技公司需要搭建數(shù)據(jù)保護權(quán)限系統(tǒng)，以及脫敏處理算法等隱私保護體系，用以保護用戶的信息不被“外部攻擊”所截取。

在分析了諸多案例后，百度網(wǎng)盤安全團隊總結(jié)出了常見的三大外部攻擊手段，即由于用戶賬號被盜致使數(shù)據(jù)被惡意刪除、竊取;因黑客入侵所導(dǎo)致的重要數(shù)據(jù)被攔截、窺探;以及分享鏈接操引發(fā)的數(shù)據(jù)外泄。并且針對這三大攻擊手段構(gòu)建了三道“技術(shù)”防線。

第一道防線是登錄保護。在如今的網(wǎng)絡(luò)環(huán)境中，郵箱劫持、木馬植入、網(wǎng)站cookie盜取等非法行為正在嚴(yán)重影響著互聯(lián)網(wǎng)用戶的賬戶安全。為了應(yīng)對此類威脅，百度網(wǎng)盤為用戶提供了異地登錄保護、網(wǎng)頁登錄身份驗證、用戶登錄身份驗證、登錄設(shè)備保護等方式，并使用行業(yè)標(biāo)準(zhǔn)的身份驗證協(xié)議OAth，確保用戶在使用第三方應(yīng)用時的賬戶信息安全。

第二道防線是在存儲和傳輸環(huán)節(jié)進行反黑客保護。如今，黑客入侵、截取等事件屢見不鮮，許多運營商的安全防護能力讓用戶提心吊膽。為了防范黑客攻擊，百度網(wǎng)盤采用了切割存儲的方式：用戶的數(shù)據(jù)在上傳百度網(wǎng)盤服務(wù)器后，其中包含的敏感標(biāo)識都采用加密數(shù)字化的方式進行脫敏。同時內(nèi)部用戶的個人文件都會被切分成不同的文件塊分別存儲在不同的服務(wù)器上。當(dāng)用戶對文件數(shù)據(jù)有需求的同時，系統(tǒng)會首先獲取到內(nèi)部系統(tǒng)安全的“通行證”，檢索在不同機器上的數(shù)據(jù)塊，通過不同的二進制數(shù)據(jù)庫，把文件流式傳輸給用戶。

此外，在數(shù)據(jù)傳輸過程中，百度網(wǎng)盤采用了高級別的HTTPS的傳輸加密協(xié)議，這種協(xié)議通過數(shù)字證書、加密算法、非對稱密鑰等技術(shù)確保數(shù)據(jù)在公網(wǎng)傳輸過程中的安全。

第三道防線是分享保護。在文件分享文件或數(shù)據(jù)時，非法工具會抓取用戶所分享的信息。百度網(wǎng)盤針對用戶在分享鏈接過程中可能產(chǎn)生的風(fēng)險制定了一套成熟的應(yīng)對措施——百度網(wǎng)盤設(shè)置了robot防抓取協(xié)議，讓不法分子無法攔截百度網(wǎng)盤的分享鏈接。另一方面，在分享過程中，網(wǎng)盤用戶可以設(shè)置鏈接有效期并勾選提取碼選項，最大程度降低因人為操作不當(dāng)導(dǎo)致的資料泄露風(fēng)險。

綜上所述，用戶大可不必“談網(wǎng)色變”，而是應(yīng)該盡量使用更可靠地產(chǎn)品。trustdata發(fā)布的最新一期2020年第一季度關(guān)于移動大數(shù)據(jù)報告數(shù)據(jù)顯示，2月份，百度網(wǎng)盤已成功躋身云辦公軟件打開率、使用率前三的行列，在頻繁的數(shù)據(jù)交互，涉密度極高的云辦公環(huán)境下，百度網(wǎng)盤的安全系數(shù)得到了各企業(yè)的認(rèn)可和信任，這份信任足以證明其安全性經(jīng)得住考驗。