2015年8月,在美国拉斯维加斯举办的全球最大黑客大会Def Con上,一家名为“书生云”的公司以其美国医疗云事业部SurMD的名义向全球黑客发起挑战赛——将其云服务器管理员账号对外开放,黑客们将与公司管理员拥有同样的权限。在7天时间内,看哪位黑客能将用户数据“偷走”,奖金10万美元。这项挑战赛吸引了全球600多名黑客参与,但最终没有一位成功破解。
数据安全不再边缘化
书生云是一家低调的中国云公司,它的前身是一家老牌IT企业,在过去10多年中一直参与国家涉密系统建设,其电子公文和电子印章技术具备对抗CIA(美国中情局)级别的攻击能力,被外交部、最高人民检察院、国务院办公厅和一些最为机密的国家机构及中国的每一家银行广泛采用,是中国唯一一家具备涉密资质的互联网企业。
近年来,云计算落地的脚步正在加快,但有关云上的安全事故也日益突出,很多是有关用户数据的。书生云在这些安全技术之上,又创新了云的安全技术。
“在安全领域,以前,市场过于看重网络安全和系统安全,数据安全被边缘化。”书生云CEO王东临说。在安全领域,网络安全防止他人攻入企业的网络,系统安全则防止他人攻入企业的服务器,而数据安全,是即使他人攻入企业内部,拿到数据也解不开。这几种安全技术从不同层面保障企业安全,之间是互补关系。“我特别要指出一点,系统安全和网络安全都做不到万无一失,数据安全可以确保在这些防线攻破后,数据不被偷走,是守住一个底线。”王东临说,“未来,数据安全会得到它应有的地位。”
We don't trust anybody,including us
王东临曾经说过一句话:“We don't trust anybody, including us。”这句话精辟地描述了企业应有的安全意识。“人是很难琢磨的。金融机构防风控体系已经做得相当完善,也不能完全控制明星交易员的贪心。巴林银行就是这么倒闭的,连英国女王也因此损失了钱。普通企业风控能有金融机构做得好吗?”王东临说,“最好的手段是所有这些我都不依赖。”
就算是企业的老板、工程师、网络管理员都出了问题,就算是公司的全部代码都被泄露出去,就算是顶级黑客都来攻击、企业的服务器完全被坏人掌控......在一切最坏的情况下,运用书生的云技术,企业还能保障自身的数据安全。
现实中,很多中国云计算公司对用户数据是不加密的,这很危险。美国主流云计算供应商对用户数据做了加密,但为了保障服务,这些云服务商拿着密钥,并把密钥存在服务器上。于是,这些云计算服务企业的密钥管理系统成为黑客的攻击目标。一旦被攻破,影响将会非常大。还有一些小的云服务企业提供一种在服务器上不出现明文密钥的安全技术,但通常会牺牲云服务的一些特性,例如成本增加5倍,这样就做不大。
数据安全的核心不在加密算法上,而在密钥管理上。书生云提供的TruPrivacy云数据加密技术,在服务器上也不出现明文密钥,但它做到了不牺牲云的特性。这是书生云的专利技术。这个安全技术对密钥层层加密,主密钥掌握在用户手中,并与用户端的认证方式结合起来——用户端可以是数字证书、密码芯片、账号密码等等。
通过技术的层层设防,书生云的独家秘笈TruPrivacy安全技术,将人为及非人为的安全隐患全部隔离在外,真正为用户构建起安全的防护网,从而可以保障核心机密的牢不可破,让一切攻击徒劳无功。
