• 12月23日 星期一

关于公有云的数据安全、隐私保护与社会责任

「 云,

可不只是能帮你备份照片,

分享文档这么简单。

作者| 汪宇杰 / 2018-2019年度微软最有价值专家

编辑| 珲哥

关于我,以及本文的受众

汪宇杰,Windows与.NET开发者,2018-2019年度微软最有价值专家(Windows开发方向)。从事网站开发相关工作,具备7年公有云Azure的开发及使用经验。本文面向非计算机专业领域的读者,尽可能通俗易懂的科普公有云数据安全、隐私保护领域知识。笔者非云技术方面的专家,如有偏误或遗漏,欢迎随时探讨补充。笔者熟悉微软智能云Azure,因此文中的大部分案例选取Azure来说明。笔者非微软公司员工,不存在任何形式的受雇于微软公司。

云2C和2B

云这个名词大部分人都不会陌生。对于广大C端用户来说,云等于网盘、iCloud备份等能够让你在网络上存储和同步个人数据的服务。但其实,云指的是计算资源,它可不只是能帮你备份照片,分享文档那么简单。电商网站亚马逊位于自家AWS云平台,淘宝位于自家阿里云平台,Office 365位于微软自家云平台Azure。这些云也租赁给其他企业和个人使用,例如微软Azure国际版,在全球54个地区拥有数百项服务。技术从业者、企业用户(B端)利用云平台架设网站、应用后台、游戏服务器等服务。云技术具备各种优势,例如可以利用弹性计算能力,应对双11等短时间高负荷的访问,也能利用云平台覆盖的地区来拓展自己的业务到世界的每一个角落。

本地数据中心VS公有云

“我的数据是自己保管安全,还是放在云端安全?我将数据放在公有云上,别人能看到吗?云服务商自己会看我的数据吗?”相信很多个人和企业都有这样的疑问。对云没有了解之前,大家都倾向在自己的数据中心和设备上保管自己的数据。这个想法是很常见的。另外,“数据会丢失吗?服务器会被入侵吗?云上别人的服务器有恶意软件是否会影响我的数据?”这写都是阻碍我们将数据和服务迁移到云的常见问题。

事实是,大多数时候,公有云都比自己运维的数据中心更加安全可靠。这个道理非常简单,云服务就像水电煤,是由专业机构提供的,按需使用、按需付费的服务。而自来水厂、电厂、天然气厂,都是由高度专业的机构来管理和运维的。这比个人在家开采天然气要安全许多。毕竟你无法配备最先进的设备和团队帮你开采天然气。同样,公有云的数据中心,就像水电煤厂一样,具备专业的人员去运维。不仅是技术人员,也有后勤、保安等资源来保证非技术的方面。大规模的云,比如微软智能云Azure,在全球54个地区有超过100所数据中心,服务140多个国家。它必须配备分布式自治系统去运维,因为纯靠人工没有这个精力和资源去维护这样规模的数据中心,并且人类比机器容易犯错。有兴趣的读者可以了解一下这个微软在十几年前就投入研究,并早已配备的数据中心自治系统:Autopilot(参见微软研究院Michael Isard 的论文)。

- 传送门 -

https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/osr2007.pdf

关于公有云的数据安全、隐私保护与社会责任关于公有云的数据安全、隐私保护与社会责任

(图:微软智能云Azure的一个数据中心)

来源:Microsoft Global Datacenters and Network Infrastructure 短片

先进的云服务提供从最基础的IaaS到PaaS以及高级SaaS等多种服务模型,越高级越易用,越基础越可控。例如微软智能云Azure上架设网站可以使用App Services,而不需要自己开虚拟机,这就意味着用户无需关心复杂的环境安装和配置,也无需自己给虚拟机打安全补丁,这些基础维护工作都由云服务商来完成。这无疑比自己运维数据中心省心省力。

当然,业界也存在混合云的形式,让企业只将一部分服务运行在公有云上,而将系统其余部分运行在私有数据中心里。另外,云服务的稳定性重要指标是SLA(Service Level Agreements),不在本文的探讨范围内,有兴趣的读者可以点这个链接了解一下。

- 传送门 -

https://en.wikipedia.org/wiki/Service-level_agreement

云服务的行业规范

各行有各行的规范,云也不例外。要判断一家云服务商是否足够安全可靠,最直接的办法是看它获得的证书。例如微软公有云平台Azure,拥有比任何其他云服务商都多的认证,如《一般数据保护条例》(GDPR)、ISO 27001、HIPAA、FedRAMP、SOC 1 和 SOC 2)以及国家/地区特定标准(包括澳大利亚 IRAP、英国 G-Cloud 和新加坡 MTCS),严苛的第三方审核(如英国标准协会进行的审核),采用全球首个云隐私行业标准:ISO/IEC 27018。而亚马逊AWS则具备SOC3认证。这些证书是由三方权威机构亲临云服务商的数据中心去做审计核查后颁发的。有严格的标准规范,才能让一家云服务商有从业资格。

关于公有云的数据安全、隐私保护与社会责任

(图:微软Azure云服务获取的部分资质证书)

例如GDPR(节选自维基百科):

《一般资料保护规范》(英语:General Data Protection Regulation,缩写作 GDPR;欧盟法规编号:(EU) 2016/679),是在欧盟法律中对所有欧盟个人关于数据保护和隐私的规范,涉及了欧洲境外的个人资料出口。GDPR 主要目标为取回公民以及住民对于个人资料的控制,以及为了国际商务而简化在欧盟内的统一规范。

个人数据处理者必须清楚地披露任何数据收集,声明数据处理的合法基础和目的,保留数据的时间以及是否与任何第三方或欧盟以外的国家共享数据。用户有权以通用格式请求处理器收集的数据的便携式副本,并有权在特定情况下删除其数据。 公共主管部门和以核心活动为中心定期或系统地处理个人数据的企业需要雇用数据保护官员(DPO)负责管理GDPR的合规性。如果数据泄露对用户隐私产生不利影响,企业必须在72小时内报告任何数据泄露。

- 传送门 -

https://zh.wikipedia.org/zh-hans/歐盟一般資料保護規範

又例如FedRAMP认证:

联邦风险与授权管理计划 (FedRAMP) 提供一种标准方法来对美国政府使用的云产品和服务进行安全评估、授权和持续监视。FedRAMP 的目标是保护在云端的美国公民数据,它是该国政府最严格的安全符合性框架。因此,云服务提供商 (CSP) 需要获取 FedRAMP 授权才能向联邦政府提供云服务。FedRAMP 划分为以下不同类别:低级、中等和高级。FedRAMP 高级认证最为严格,必须取得该证书以保护政府在云计算中的一些最敏感但未分类的数据。

云上的数据如何存储?

说了这么多,很多读者可能还是不了解云上的数据如何被有效存储。是不是云服务商管理员打开“我的电脑,D盘\你的账户名”就能浏览你的数据?这在任何一家正规云服务商那边,都是不可能出现的情况。

数据有许多形式,正常人认为数据等于照片、视频、文档,存储在硬盘里。谁有权限开机,谁就能双击打开查看。但实际上计算机存储数据的方式有多种多样,服务器上最常用的就是数据库。比如最常用的关系型数据库(如微软SQL Server),此类数据可以理解为表格形式的内容,例如用户的姓名、身份证号、地址等信息。对于文件等数据,也有专门的数据库系统去管理。而数据库本身有严格的安全设计,需要账户密码,以及特定的IP地址白名单才能访问,也能对不同的账号设置不同的访问权限。不管是你自己在虚拟机上建数据库,还是直接用云平台提供的数据库服务,没有你的账号,谁也无法打开你的数据库。这个账户不是指你自己的Apple ID、微软账户等,而是提供服务的企业在他们程序里使用的账号。一个正规企业里只有少数人员可以使用这个账号,且访问数据库等敏感操作需要记录在案。生产环境数据库也不是随时都可以访问,需要向企业里其他专人申请开通一段时间的权限。大部分时候,对数据库系统的操作,如查找、写入、更改、删除数据等动作,是由应用程序自动完成。少数情况需要人工介入进行常规维护,如数据清理、性能优化等。

对于存储在数据库系统以外的数据,例如网站后台的程序文件,或者用户上传到网站目录里的头像(当然这是一种非常不安全不合规的程序设计,然而还是有大量网站在这样操作)。这些真的会存储在云服务器的硬盘目录里。而云端服务器通常是虚拟机,你的虚拟机和其他用户的通过物理或逻辑(软件或网络)方式隔离运行,以避免未授权的访问。另外,数据不单指的是信息和文件,应用程序的代码、编译完成的二进制文件等,也属于客户数据。如果保管不妥,就会被竞争对手“自主研发成功“。这样同样属于云服务商有责任保护的范畴。

对于云提供的专用存储服务,如微软云的Blob Storage,允许用户自己设置访问级别。如果设置为匿名,就需要专用的密钥来访问。

关于公有云的数据安全、隐私保护与社会责任

(图:Azure Blob Storage的访问级别)

还有一些云服务商自己提供的产品,数据由其自己托管,如Office 365。但是由于程序是别人的,数据也是别人的,所以作为终端用户,我们只能相信和接受企业隐私声明里对数据保存、使用和分享的条款。

退一万步讲,就算云服务商的机房遭到物理方式入侵,比如硬盘被盗窃(似乎还没发生过这种事件),也无法访问硬盘内容。在正规的云服务商,硬盘里的数据会加密保存,这个过程由软硬件配合完成,最常用的加密芯片是TPM芯片。(此加密方法在某些国家或地区的要求有所不同)

*可信平台模块(英语:Trusted Platform Module,缩写:TPM)是一项安全密码处理器的国际标准,旨在使用设备中集成的专用微控制器(安全硬件)处理设备中的加密密钥。(摘自维基百科)

另外,正规的云服务器上的数据通常不会只存一块硬盘,而是一组磁盘阵列。因为数据中心里硬件故障率最高的就是磁盘损坏。磁盘阵列通过将数据同时保存到多块硬盘里,有效避免硬盘损坏而丢失数据的情况。云通常也能让用户手工选择如何备份自己的数据。如微软云智能云Azure可以选择LRS、GRS和RA-GRS三种本地/异地备份方式。

关于公有云的数据安全、隐私保护与社会责任

(图:Azure存储账户的备份选项)

安全事故

看完上面几节,相信大家对云的安全规范有了概念上的认识。你可能会有疑问:既然云又专业又安全,还有行业规范的审计,那为什么我们还时常听说云服务发生数据泄露等事故呢?这里面有个问题要搞清楚:到底是谁的锅?我们先看看几个案例。

AWS数据泄露

“据外媒 9 月 6 日报道,继美国私人安全公司 TigerSwan 9,400 份雇佣简历在未受保护的 AWS 数据库上泄露后,安全公司研究人员 Kromtech 再次曝光另一起 AWS 存储数据泄露事件 —— 知名云服务供应商 BroadSoft 未妥善保护时代华纳托管在亚马逊存储服务器的数据,导致逾 400 万客户信息在线泄露,其中包括客户地址、账户设置、电话号码、用户名、MAC 地址、调制解调器硬件序列号等敏感信息。研究人员 Kromtech 于 8 月底针对该公司基于云服务存储数据库进行安全检查时发现,管理人员因配置错误未关闭服务器公共访问权限,导致任意用户均可匿名访问。”参考链接。这可不能全怪AWS,足以说明仔细操作至关重要。

苹果iCloud“艳照门”

2014年9月,有黑客疑似利用iCloud的安全机制缺陷,获取了众多女性的裸照,并在网上疯狂传播。在2018年年初,竟然又发生了一次同样的事件。其实,苹果公司没有自家公有云服务,而是采用亚马逊AWS及微软Azure提供的服务。iCloud的安全问题在于当时“查找我的iPhone” 功能的设计缺陷,以及当时没有强制要求双重验证。

- 传送门 -

https://www.theregister.co.uk/2011/09/02/icloud_runs_on_microsoft_azure_and_amazon/

其他云

为了避免不必要的麻烦,国内云服务商的事故(如腾讯云的前沿数控、她拍事件,阿里云涉万科等40余家企业200余项目的源代码泄露等)此处不做详细展开,大家可以自行搜索关键词了解。其中多数是云服务商和用户均有责任。简单提一下,腾讯云硬盘坏了是有责任,但是企业的技术人员难道不知道自己备份数据吗?阿里云代码泄露,确实是默认策略不是最佳安全实践,有一定的责任。但是技术人员的专业素质有待提高?什么是private,什么是internal,都需要心中有数,否则会造成严重而不可逆转的后果。

常见数据泄露原因

用户自身原因

  • 使用盗版或不受支持的产品

盗版软件经常含有病毒和木马。不仅客户端软件有这个危险,服务器上使用的软件更是危险。服务器通常存储大量用户的数据。因此黑客更喜欢把木马植入盗版的服务器软件里。由于服务器软件比客户端软件贵很多,所以有些IT人员就选择了安装盗版。尽管操作系统都带有一定的安全措施,云也有自己的安全策略,但终究无法阻挡所有的恶意软件。盗版系统更是危险,比如Windows服务器,不是所有云都自带Windows授权,有些人通过破解补丁激活了Windows,洋洋得意炫耀着自己的“技术”的时候,殊不知可能黑客早已窥探你的服务器很久了。

商业软件和洗衣机、电冰箱等家用电器一样,有“保修期”,过了质保的软件不再被企业支持,也就不会有安全补丁,即使付费购买延期服务,也迟早会到期(如Windows Server 2008/R2将在明年停止支持)。在IT整体水平比较落后的国家和地区,通常会有人认为老系统或软件等于稳定: “我运行的好好的,为啥要让我掏钱升级?” 这样一来无疑又成为了黑客的目标。正规云服务商现在已经不会提供过期的操作系统,但是你自己使用什么软件,它并不能控制。同样的道理也适用于Linux服务器产品。要知道,Linux世界有很多开源免费的软件协议里可是有一条大写的:NO WARRANT。既然你同意了无质保的协议,就要承担相应风险。

- 传送门 -

https://www.microsoft.com/en-us/cloud-platform/windows-server-2008

  • 禁用更新

许多专业水平有限的IT人员有个习惯:第一时间禁用Windows自动更新。这在IT水平不够先进的国家和地区尤为明显。这有一个历史原因:习惯于使用盗版软件。很久以前,盗版系统更新会被微软黑屏或锁机器。另一个原因:担心微软补丁质量不好,引起生产环境发生问题。而禁用更新以后,系统得不到及时的安全更新,就会成为黑客的目标。

  • 没有专业训练就用云

对于B端用户来说,正确操作云平台需要经过专门的培训。这也就是为什么AWS、Azure等一流云平台有专门的认证证书。操作不规范,结果两行泪。举个例子,没有收割机的时候,人工收水稻。有了收割机,得教会专业人员去操作,才能成功收割水稻。云技术同理,未来云、人工智能等领先技术会取代很多劳动力,但这并不意味着很多人会失去工作,而彰显着工作内容的转变。虽然各家云服务商都在努力把界面做得易于操作,节约学习成本,但是如果对云没有基础知识层面了解,直接上手,还是会酿成事故。从上一节的案例中就能发现不少损失归咎于用户自己的失误。

关于公有云的数据安全、隐私保护与社会责任

(图:AWS认证)

关于公有云的数据安全、隐私保护与社会责任

(图:Azure认证)

  • 自己的系统使用了危险实践

在系统架构、软件设计业内,有许多预防安全事故的最佳实践可以遵循,这些应当成为程序员的基本素养。如加密存储敏感数据,后端必须再次验证前端已经验证完的输入等等。在网站领域,也有OWASP这样的安全实践。然而有些公司技术人员水平有限,缺乏这些必要的安全素质。公司一味急求快速上线和利益,也忽视了这方面的管理,最终导致灾难。

云服务商的原因

  • 免费赠品

国内某云平台上创建的全新机器,居然预装了Java,而且JDK还采用Oracle版本。然而这种免费赠品多了,本身也是威胁之一。我不需要的软件,却默认安装在服务器上,万一有漏洞导致服务器被入侵,由谁来负责?另外,有些软件具有法律风险,在客户不知情的情况下赠送Oracle Java SDK,一旦客户因此被起诉,更是麻烦重重。

国外某云全新安装的服务器系统同样“免费赠送”了Python,性质是一样的。云环境应该尽量最小化安装和配置,而不是根据程序员的口味和情怀,去绑架客户的习惯。相信Antd的圣诞彩蛋已经给过类似的教训了。

- 传送门 -

https://zhuanlan.zhihu.com/p/53262709

  • 默认策略

云本身的安全策略,如数据的访问有默认限制。例如微软Azure上的数据库服务Azure SQL Database,需要用户手工添加IP地址白名单才能访问。不然会阻止一切外部和内部访问,甚至包括来自Azure云自己的其他服务(如网站、虚拟机等)对该数据库的访问。所以就算你的数据库账号泄露了(比如负责某酒店系统的程序员那样把密码签入GitHub),别人的IP地址不在Azure的防火墙规则里,还是访问不了你的数据库。

关于公有云的数据安全、隐私保护与社会责任

(图:微软云Azure数据库防火墙设置)

如果阿里云的代码仓库默认权限能调整为私有,而不是内部,也就不会出现代码泄露的背锅事件了。诸如此类的策略还有很多,比如密码复杂程度要求等。通过推荐最安全的默认设置,可以规避一些不那么专业的用户做危险实践。

  • 运营失职

云服务商类似于餐饮行业,虽然有食品安全法,但是违规操作时有发生。例如未经许可访问客户数据,甚至将数据作为自己盈利目的,或出售给客户的竞争对手等。有时候不正规条款也容易造成麻烦,比如使用某家云的AI服务做人脸识别,就意味着允许该云使用最终用户的照片等数据做自己的业务。如果没有隐私协议或最终用户不去阅读(我相信没几个人会去读法律文件)的话,此类的“数据泄露”虽然法律上没有问题,但是道德上已经输了。

行业潜规则

你是否好奇,为什么一个全新的手机号,注册了一场展览会的门票,就会收到各种其他公司的垃圾广告?其实行业里对于这种能收集用户个人信息的软件和服务,有一定的“潜规则”。各家合作厂商通常会互相共享用户数据。就算是竞争对手,也可以从专门从事数据买卖的“合法”公司购买别人的数据。平时有很多朋友圈里转发的小游戏或者抽奖等要求输入姓名或手机号的,实际上都是为了收集个人信息。还有那种“如果你姓X,身份证/手机号有XXX的就转发”之类的看似娱乐性质的微博,都是类似目的。

对于企业用户,也有一样的问题。笔者曾在国内某知名域名服务商注册完域名没过几天,就收到多条来自某搜索引擎询问是否要付费推广网站的垃圾邮件和骚扰电话,且源源不绝持续多年。而在海外注册的域名完全清净无骚扰。

在海外,通常有个法律规定的,叫做“隐私政策”的页面,让用户在使用服务之前就有办法明确知道自己的数据会如何被使用,企业也会遵守这个协议。我们微软最有价值专家组办的线下活动,微软公司也明确要求我们不准收集个人信息,为了签到等目的收集的信息也必须自觉在活动后销毁。

政府监管与隐私保护

我认为,政府对于技术的监管非常必要。但是如何操作,以及管辖范围,是需要根据国情探讨的问题。国外有些科技巨头公司,被要求在产品里加入后门,或者提供一个“万能钥匙”以便解密用户的数据。但是,从技术上说,没有一家科技公司会这样做。任何在产品里留下的后门,都是对系统的潜在安全隐患,黑客的专业敏感度可以很容易发现并掌握这些后门。一旦黑客掌握了用户数据,去暗网售卖,其后果不堪设想。企业数据(如保密的工程图纸等),关系到企业的生死存亡。个人数据,如家庭住址等,直接关系到用户一家的生命财产安全。

在不安插后门的情况下,想要通过技术手段获取用户数据的办法只有一种:利用系统漏洞。但这并不可靠。因为软件公司会经常通过系统更新来修复新发现的漏洞,在信息安全领域,研究人员也有行业约定,必须向企业报告漏洞(如360、腾讯等安全团队)。所以要想入侵系统,政府通常从一些非光明的渠道购买漏洞,或让自己的研究人员挖掘漏洞,并且不告诉受害企业,以积累自己的“武器库”(如美国NSA武器库事件)。显然这也是非常不安全的,当黑客拿走了这些武器,就会导致不可控的后果。

所以要做到监管,只能让企业主动配合。但这对于公司来说非常艰难。一方面,公司有责任保护用户的隐私。另一方面,公司也有责任配合政府对恐怖分子等嫌疑对象的监控,保障社会安全。在美国,企业可以拒绝政府对个人数据的要求。在中国,企业也得按照中国法律办事,具体过程我不便阐述,读者可以自行研究。

数年前,FBI曾经要求苹果公司解锁德克萨斯州萨瑟兰市第一浸信会教堂枪击案枪手所用的iPhone。同样,微软也被要求交出恐怖分子嫌疑人的电子邮件数据。谷歌、Facebook等的企业,同样也面临过类似的问题。在2017年6月26日版的《Privacy in Microsoft Cloud Services》(微软云服务中的隐私)声明中,面对政府监管要求。微软回应如下:

Responding to government requests for data. In the case of government surveillance, Microsoft has taken steps to ensure that there are no “back doors” and no direct or unfettered government access to your data, andMicrosoft does not provide any government with its encryption keys or the ability to break its encryption.While we are obliged to respect the laws of countries in which we operate, we are also committed to fight for legal protection ofyour privacy as a fundamental human right.If a government entity approaches Microsoft directly with a request related to a Microsoft Online Services customer, Microsoft will first try to redirect the entity to the customer to respond. We impose carefully defined requirements for government and law enforcement requests for customer data. We will not disclose data hosted in Microsoft business cloud services to a government agency unless required by law. If we are compelled by law to disclose customer data, we will promptly notify the customer and provide a copy of the request, unless we are legally prohibited from doing so.3 Microsoft publishes its law enforcement requests report to identify the number and types of requests it receives and its compliance with those requests. Microsoft received permission from the U.S. government to publish information about Foreign Intelligence Surveillance Act orders and National Security Letters.

- 传送门 -

https://edition.cnn.com/2017/11/05/us/texas-church-shooting/index.html

当然,大快人心的好事也不是没发生过。曾经有个小哥哥因为用微软OneDrive分享儿童色情内容而被捕。

- 传送门 -

https://www.neowin.net/news/man-arrested-after-microsoft-finds-child-porn-on-onedrive-account/

技术其实总是出现在法律之前。从前的电子邮件、数码相片等技术,在没有相关法律的年代,发送垃圾邮件者不会得到惩罚,数码相片也曾经不能作为证据使用。关键问题是,法律的制定者能否及时跟上技术的脚步,并将合理监管应用在云、AI等新技术方向上。

关于公有云的数据安全、隐私保护与社会责任

(图:微软隐私保护专题页面)

关于公有云的数据安全、隐私保护与社会责任

(图:谷歌的隐私政策)

违法内容鉴定

读到这里的读者可能有个问题。云服务商既然有行规,承诺动不看数据,甚至也看不到加密的用户数据。如何保证用户没有使用云服务干坏事呢?每天那么大用户量产生的数据,如何及时鉴定?

以2C的服务举例,如网盘、电子邮件等。实际上大部分时候,并不是由人工来查看你存储的文件,而是由计算机自动判断。技术方案有好多种,例如对比文件HASH:计算机存储的每个文件,都可以计算哈希值(HASH),这就像文件的指纹一样,是唯一的。要鉴定你是否存储了黄片,只需要对比已知黄片的HASH就行。现在也能够使用AI鉴定照片内容。譬如,在OneDrive上传婴儿照片就会被AI鉴定为疑似儿童色情。有兴趣的读者可以了解一下微软如何使用PhotoDNA鉴定违法内容。谷歌也在用相似的方案扫描用户的照片和邮件。

- 传送门 -

https://www.microsoft.com/en-us/photodna

关于公有云的数据安全、隐私保护与社会责任

(图:PhotoDNA示意图)

来源:https://www.microsoft.com/en-us/photodna

技术与道德

科技是第一生产力,尤其是在现在这个时代,各行各业都离不开计算机和网络。能提供大规模云服务的领头企业很少,无数人的日常生活都会依赖他们的产品和服务。计算资源的关键性不亚于水和食物,一个小失误可能造成的影响比十几年前更严重,譬如医疗系统出了问题就是生死攸关的。公有云其实和任何一种社会公共服务本质上是一样的,不管是面对企业还是个人消费者,希望良知能大于利益。对用户负责、对社会负责,在长远的角度,就是可持续发展的业务。

数字资产、版权、隐私保护等,不仅需要法律来约束,更需要教育的跟进。公司如何设计产品、程序员如何写代码,最终是人本身素质的一种体现。平时老奸巨猾的人,设计的应用通常有陷阱。平时偷鸡摸狗的人,写的程序也不老实。比起技术和法律,道德才是最后一道至关重要的防线。我曾经目睹过应届生程序员所谓大城市生活所迫,利用自己的技术知识,做假抢票软件,甚至伪造车票,坑害同样生活不易的社会底层人民。随着IT行业的发展,有越来越多的人加入这个行列,层次差距非常大。IT行业早已不像几十年前那样只有少数高素质的精英才能加入。企业面试恐怕不能只以技术水平作为唯一要求,道德也是个重要把关标准。

能力越大,责任越大。信息安全不是一家的事,而需要云服务商、企业、政府共同努力才能保证。让技术用于正途,是科技企业的一种社会责任。我认为,一家企业的成功不在于它能赚多少钱,而在于它对人类和社会创造了哪些价值。保护用户的数字资产,是最基本的道德和义务。愿科技予力全球每一人、每一组织,成就不凡。

△封图来源:lieyunwang.com

推荐阅读:

  • 那些你一定要知道的传播学顶级期刊

  • Dr. 传播学顶级国际学术会议参会指南

  • Dr. 传播学写论文常用的英文文献数据库 | 私货分享

  • 教你六步写好一篇学术论文

  • 从吴亦凡iTunes事件看媒体议题设置如何影响舆论

  • Vlog:95后世代的新镜像

数洞社媒

社媒资讯 · 学术观点 · 数据洞察

本文由北京大学新媒体研究院 社会化媒体研究中心官方微信平台“数洞社媒”原创发布,未经授权,请勿转载。

据说关注本洞的人

都很好看⬇️

上一篇新闻

「热点聚焦」阙天舒 王子玥:数字经济时代的全球数据安全治理与中国策略

下一篇新闻

迎娶小37岁娇妻又添喜事,黎姿初恋男友黄玉郎宣布将第五次当爸爸

评论

订阅每日新闻

订阅每日新闻以免错过最新最热门的新加坡新闻。