DropBox是一个被广泛运用的云存储平台，现在已成为安全研究人员审查的目标，因为用户数据隐私安全被质疑。8月，USENIX安全会议上，两位研究人员发布白皮书，描述了攻击DropBox并获取用户资料的方式。这为本已乌云笼罩的安全问题更添一分阴霾，企业为保护云数据的完整性和安全性到底该怎么做。

　　当DropBox认识到发生的事情后，并没有它当作需要立即引起重视的安全风险来看待。一个DropBox发言人在一封发给eWeek的邮件中说DropBox感谢安全研究员和所有让DropBox更加安全的人所做的贡献。DropBox目前并未看到USENIX回忆上所陈述的客户端上的脆弱性。

　　“照此情况，用户的整个电脑，而不仅仅是用户的DropBox，将已经暴露在全面的攻击下”发言人这样说的。

　　虽然DropBox并未敲响云存储安全的警钟，CipherCloud的高级主管Willy Leichter告诉eWeek，关于云存储安全的问题超出了DropBox的身份验证方法。

　　“基于云的文件共享网站会绕过大多数企业安全，但企业扔需要能够检查离开他们网络的信息以防止敏感或数据泄露给未经授权的外人”，Leichter说。

　　Wave Systems的总裁Steven Sprague告诉eWeek说，在他看来，根本问题是DropBox可以为所有的客户阅读所有的文件，“只要钥匙在DropBox手中，谈什么加密都是没有意义的”。

　　NetIQ的策略主管Geoff Webb赞同加密密钥的所有权是一个关键考虑因素。他说用户所犯的最大错误就是想得太简单，觉得像DropBox这样的公司为数据提供加密，那绝对是倍儿安全，杠杠的！

　　开源云存储供应商的产品副总裁Matt Richards称，DropBox和所有试图提供安全在线云服务的人面临的挑战是易用性和安全性通常是对立的。重要的是要知道安全是相对的。所谓最安全的系统，就是没有人能进入。这跟DropBox的“易用”行径是完全相反的。给我们留下值得思考的问题。这样的模式，就你想用它来做的事情而言，真的足够安全么？换句话说，你能相信为消费者提供的企业敏感数据服务么？

　　因此，企业用户为了保护云数据到底该做什么？企业需要能够在敏感或监管数据流失之前保护他们，Leichter说。在他看来，安全模式不应该局限于只是保护安全套层（SSL）渠道或依赖于程序供应商的安全承诺来保护预防某些类型的数据的流失，抑或在敏感信息到云之前就先加密。

　　Wave Systems的 Sprague建议使用独立加密和独立提供的加密密钥。“如此一来，上传到DropBox的内容就不会被供应商读取”。 所谓靠天靠地不如靠自己，自家的门还是得自个儿锁，钥匙掌握在自己手中才是王道！因为用户始终需要记住的是：“安全首先需要自己负责”。

0

好文不易，鼓励一下吧！