云環境下的商業秘密保護

李俐婷

云計算是全球新一輪IT革命最重要的標志性創新，日益成為引領未來信息產業乃至整個經濟社會創新發展的戰略性關鍵技術和基礎性創新平臺，在創造機遇的同時也帶來了挑戰。云環境的部署與應用能夠幫助企業以更低運行成本獲取計算資源，但托管在云端的商業秘密也處于泄露的風險中。由于歐美各國政府及企業在應對云環境下的商業秘密泄露方面已經有了較為完備的解決方案，故本文從歐美地區的典型案例出發，探索云環境下商業秘密保護的最佳實踐。

一、云環境下商業秘密新特征

云環境下商業秘密表現出了新的特征。雖然商業秘密的種類沒有發生變化，但是其表現形式發生了變化，如在IaaS模式下，商業秘密表現為存放在云端的用戶虛擬機等硬件中一切涉及商業秘密的技術信息與經營信息。云環境本身的開放性、數據的分布式存儲結構特性和云計算資源的共享性也增加了商業秘密泄露的風險。2014年Verizon公司在一份研究報告中指出，近一半的商業秘密泄露的發生都與現任或者離任的員工有關，尤其是在制造業、金融業等領域更為突出。以2010年的Sasqua Group v.Courtney案為例，獵頭公司Sasqua起訴前員工Lori Courtney竊取其數據庫中客戶信息，并在跳槽后利用這些信息接觸客戶，這些保密信息包括客戶的簡歷、客戶關系等內容。云計算應用的普及和頻發的商業秘密侵權事件都說明了保證云端商業秘密的安全十分重要。

二、云環境下商業秘密的保護

云環境下商業秘密的保護需要云服務提供商與用戶通力合作。谷歌在“CloudNext”大會上展示了其云安全戰略，重申了云環境下企業應在商業秘密保護方面承擔責任，認為原有的由云服務提供商負責數據中心的物理安全、由企業客戶負責應用和數據的安全防護格局應該改變。云服務提供商應努力建立用戶的信任，以完備的安全措施說服用戶將商業秘密放在云端。以國外主流云服務商的實踐為例，建立起云環境下商業秘密的安全保障可以從以下兩個方面努力：

規范化服務打造“可信云”

為了確保云服務的安全性和可靠性，微軟投入大量人力物力來構建自身“可信云（Trusted Cloud）”的框架，該框架包括安全、透明、隱私保護與合規四個方面。在雇傭數以千計的律師、分析師在100多個國家跟蹤分析當地法規政策外以確保提供的云服務合規之外，微軟還在全球多地開設數據中心來保護客戶的商業秘密。技術的安全性和規范性、服務條款的透明性使微軟成為了目前獲得全球許多國家認證最多的云服務商。

亞馬遜在2017年推出了“AWS秘密區域（AWS Secret Region）”服務，該服務符合多種合規要求，包括美國國家標準與技術局特別出版物800-53第4版—一對聯邦信息系統和組織的安全與隱私控制規定。“AWS秘密區域”服務主要面向美國的情報機構和第三方承包商，其規范化程度已經足夠打消政府在數據存取和取用過程中的種種安全顧慮。

主動參與標準化建設，構建事實標準

商業秘密的安全隱患是云服務在企業應用中的一大阻礙，客戶只有在確認將商業秘密存放在云端足夠安全時才會啟用云方案。為進一步推廣云服務的應用，美國政府通過《聯邦云計算計劃》、《聯邦風險和授權管理計劃》等確保云計算服務滿足信息安全要求，建立統一、可靠的云計算服務。近年來眾多從事標準化建設的國際組織也紛紛啟動了云計算相關的標準化建設，如國際標準化組織、分布式管理任務組等。

國外主流云服務商抓住這一時機，積極參與相關標準的建設，如IBM、思科、微軟等早早加入了電信管理論壇、谷歌參加國際互聯網工程任務組關于云計算標準的討論等，都是IT企業通過標準化來構建自身云服務品牌的常用手段，能夠在實際上增強技術的安全性，保證云服務符合各項法律和標準的要求。

除了積極參與各國際組織的標準制定之外，許多處于技術領先地位的云服務提供商也開始利用自己的先發優勢制定并推廣事實標準。如IBM聯合VMWare、Sun和AMD等公司共同簽署了“開放云計算宣言”，提出了開放云計算方面的若干原則，對業界公認的、市場實際接納的技術標準進行正式的聲明，在維持自身的市場領先地位的同時也為云計算的安全性和互操作提供了保證。

標準化已經成為業界的共識，更完善的標準體系和云計算安全評估認證體系才能使云服務商的責任更加明確，幫助客戶應對新技術環境對商業秘密保護的沖擊。

對于商業秘密領域，云計算的推廣是一把雙刃劍。云計算獨特的技術特征和便利性決定了企業在采用云服務方案的同時必須承擔一定的商業秘密泄露風險。在企業用戶自身的網絡信息安全防范措施之外，云服務提供商在商業秘密保護上應積極推進云安全的標準化進程，協助標準化組織制定行業標準并構建事實標準，確保云服務的合規性和安全性，構建云安全新生態。