们需要采用一些方法策略实现个人隐私与功能之间的平衡,并保护其云中的应用程序和数据免受攻击。
个人隐私是每个人都很关注的事项。但是,信息交付是一项充满权衡的工作。例如,每个人都会对在淋浴间安装摄像头以自动重新订购肥皂的计划和想法而感到不满。
在早期,每个人都认为发送电子邮件、在线订购以及智能手机的应用充满奇妙的魔力,而对于其隐私的信息并不在意。
隐私增强技术使人们可以控制要支持的隐私信息数量,但可以限制其控件以保留功能。他们将加密功能与巧妙的算法结合在一起,以构建可以正确回答某些问题的数据库,但仅适用于合适的人员。
多年来,这一领域取得了巨大的发展,现在有许多方法和策略可以很好地保护个人隐私。因为它们只存储足够的信息供企业交付产品,同时避免了黑客或内部人员获得访问权限时可能带来的某些危险。
这些方法都有其局限性。他们只能抵御一般的攻击,如果网络攻击者的装备更好或攻击的针对性更强,则可能面临崩溃。在通常情况下,保护数量与加密计算所需的计算能力成正比。基本保护可能不会给系统增加明显的额外负载,但是即使对于云计算提供商而言,提供完善的安全性也可能无法实现。
但这些限制不应该阻止人们增加基本的保护措施。完全安全的方法其实并不存在,但是添加一些简单的解决方案可以保护人们免受采用云计算服务可能带来的一些网络攻击。
以下是平衡个人隐私与功能的9种方法和策略:
1. 使用功能
云计算提供商了解客户对安全性感到担忧,他们逐渐添加了使其更容易锁定数据的功能。例如,亚马逊公司提供了二十多种有助于增加安全性的产品。AWS防火墙管理器帮助确保防火墙只允许正确的数据包进入。AWS Macie会扫描人们的数据,寻找那些过于开放的敏感数据。谷歌云和Microsoft Azure都有自己的安全工具集。了解所有这些产品可能需要一个团队,但这是开始保护其云计算工作的最佳场所。
2. 关注加密
当人们只是为电脑设备进行加密时,保护密码、加密密钥和身份验证参数的安全就已经很困难了。对于云计算应用程序则复杂得多,特别是当它们由团队管理时。云计算供应商设计了各种不同的工具来提供帮助。人们仍然必须谨慎对待源代码管理,但是这些工具将帮助他们进行加密,以便将其安全地添加到云计算应用程序中。诸如Hashicorp公司的Vault、Doppler公司的Enclave、AWS公司的密钥管理系统,以及Okta公司的API管理工具之类的工具可以简化流程。采用这些工具都仍需要小心谨慎,但总比把密码写在一个笔记本上并锁在办公室要好。
3. 考虑专用硬件
用户最好不要与他人共享服务器硬件。也很难相信网络攻击者会采用一种共享正确机器的欺骗方法,然后采用Rowhammer等不同的极端方法,但是某些数据可能值得人们付出艰苦的努力。云计算供应商只为这种场合提供专用硬件。如果用户的计算负载相当稳定,那么在内部部署设施使用服务器甚至可能更具成本效益。一些人采用云计算供应商的混合工具,另外一些人则希望采用自己的内部部署服务器。在任何情况下,完全控制服务器比共享服务器成本更高昂,但它也避免了许多网络攻击。
4. 哈希算法
最简单的解决方案之一是使用单向函数隐藏个人信息。这些数学函数被设计成易于计算,但实际上不可能逆转。如果将某人的名字替换为f(name),浏览数据库的人只会看到单向函数中随机加密的信息。
这些数据对于普通的浏览器来说可能是难以理解的,但它仍然是有用的。例如,如果要搜索Bob的记录,可以计算f(Bob)并在查询中使用这个加密的值。这种方法对于偶然的浏览器来说是安全的,他们可能会在数据库中找到一个有趣的行并试图解读f(name)的值。它不会阻止网络攻击者具有针对性的浏览,因为他们知道在找Bob。更复杂的方法可以增加更多的保护层。
最常见的单向函数可能是安全哈希算法(SHA),它是美国国家标准技术研究所批准的函数集合。这有几个不同的版本,并且在早期版本中发现了一些弱点,所以一定要使用新版本。
5. 纯加密
良好的加密功能内置于操作系统和文件系统的许多层中。激活它们是一个很好的方法,可以添加一些基本的安全性,以防止网络攻击者和可能获得对人们的设备进行物理访问的人员。如果人们在笔记本电脑上存储数据,保持数据加密可以避免丢失时的一些担心。
但是,常规的加密功能并不是单向的,还有一种解密数据的方法。选择常规加密通常是不可避免的,因为人们正计划使用数据,但这为网络攻击者提供了另一条途径。如果可以应用正确的密钥来解密数据,则可以找到该密钥的副本并进行部署。
6. 虚假数据
尽管有些人抱怨“虚假新闻”正在破坏世界秩序,但虚假数据也有可能提供保护。一些开发人员并没有将真实的数据集公开给需要将其用于人工智能培训或计划等项目的合作伙伴或内部人员,而是在创建具有许多相同统计特性的数据的虚假版本。
例如,RTI公司创造了一个虚假的美国人口普查数据库,其数据包括美国1.1亿个家庭,3亿多人口。但却没有真实的个人信息,这3亿名美国人或多或少都在美国的同一地区,他们的个人信息与真实信息非常接近。而预测传染病路径的研究人员无需访问真实的个人数据就能进行研究。
一家名为Hazy的人工智能公司正在提供一种基于Python的工具,它可以在安全的数据中心内运行,并生成人们可以更自由地共享的数据的合成版本。
7. 差异隐私
差异隐私这一术语描述了一种通用方法,该方法只向数据添加足够的噪声以保护数据集中的私有信息,同时仍然保留足够的信息以供使用。例如,在每个人的年龄上随机加上或减去几岁,将隐藏这些人的确切出生年份,但平均年龄不会受到影响。
这种方法对于研究群体的大型统计工作更为有用。各个条目可能会被噪声破坏,但总体结果仍然是准确的。
微软公司已经开始共享White Noise,这是一个用Rust和Python构建的开源工具,用于为用户的SQL查询添加经过微调的噪声。
8. 同态加密
大多数加密算法都会对数据进行完全加密,以致没有正确的密钥,任何人都无法理解结果。同态方法使用更复杂的框架,因此无需密钥即可对加密数据执行许多基本算术运算。人们可以在不了解基础信息本身的情况下相加或相乘。
最简单的方案是可行的,但有局限性。《半透明数据库》这本著作的第14章描述了简单的会计工具,例如,可以支持加法,但不支持乘法。更完整的解决方案可以计算更多的任意函数,但是只有经过成本高昂的加密措施之后才能实现。
IBM公司现在正在共享一个开源工具包,用于在iOS和MacOS应用程序中嵌入同态加密,并承诺不久将推出Linux和Android版本。这些工具是初步的,但是它们提供了探索计算的能力,就像训练机器学习模型一样复杂,而无需访问未加密的数据。
9. 什么都不保留
程序员可能就像打包人员,他们保留数据以防日后对调试有用。最简单的解决方案之一是将算法设计为尽可能无状态和无日志的记录。在调试完成之后,需要停止使用大量信息填充硬盘。只需返回结果并停止即可。
保持尽可能少的信息也有危险,因为很难检测到滥用行为或修复错误。但另一方面不必担心网络攻击者会使用这种数字垃圾,因为他们不能攻击任何不存在的个人数据。
