随着云计算、大数据的浪潮席卷全球,大量企业应用正持续向云平台迁移,安全风险日益扩大蔓延。在这个数据即资产的DT时代,数据的产生量越来越大,托管在云平台上的数据越来越多,全球和数据有关的安全事件层出不穷,如何保护云平台上的用户数据安全已经成为整个行业乃至国家关注的焦点问题。
“过度信任”时代已经结束
谁来衡量云服务隐私与数据安全保护的“度”?
用户曾经对云的“过度信任”随着一次次数据安全事件的披露和爆发而不断被撼动。只看2017年上半年:
5月底,阿里云被网友指责监控其数据,并提醒其他用户删除阿里云镜像中的特定文件。对此阿里云发出声明,表示阿里云不会查看用户的秘钥和服务器证书,也不会监测用户服务器的端口流量。阿里云事件发生后不久,又有网友发帖称腾讯云以安全的名义对用户的数据进行侵犯,并演示了相关操作信息。
半个月内发生了两起类似事件,在IT圈迅速传播,引发了业界的热议,在技术“大虾”们忙着寻找真相的同时,更多的“小白”用户则表示了深深的担忧。大家普遍认为,在云计算和大数据时代,数据安全风险不断增加,安全隐患好似一个定时炸弹,不知道究竟什么时候会引爆。
一直以来,国内云服务商高度重视用户数据安全,很多企业甚至喊出了“用户隐私第一”、“保护用户数据是生命线”这样的口号。然而,这依然难以消除用户的重重顾虑。
身处通信、金融、能源、教育、医疗、航空、电商、游戏等等诸多行业领域的用户带着忧虑在云上“颤抖”:面对云计算引入的新的数据安全风险,云服务商能否实现对于用户数据安全保护的承诺?如何确保用户在“云”上得到的数据安全服务是有效的?
另一方面,云服务商也由于标准规范的缺失在承担损失。2017年6月,国内首例涉及云服务器责任认定的侵权案一审落定,阿里云因未对其上涉及游戏侵权的用户采取措施,而被乐动卓越起诉,被北京市石景山区人民法院裁定承担侵权责任,赔偿26万元。这一事件也引发了在社会立法与行业标准层面的新争议:云计算这一新生互联网产物是否适用于旧法?云服务提供商是否属于传统法律意义上的网络服务提供者?如何衡量网络隐私安全保护的“力”与“度”?
从标准做起
构建云服务用户数据保护能力“行业公约”
云时代的用户数据安全问题如此牵动人心,即使云服务商不断提升自身平台的安全水平,并作出相应的安全承诺,仍然收效甚微。由于云平台上用户数据的所有权和保管权出现了分离,一方面,用户不仅要关心数据存储环境的安全,同时还要时时担忧数据是否会被其他组织查看甚至挪用,另一方面,云服务商也对用户数据保护的范围界定而迷茫。
面对云数据安全市场存在的乱象和在数据安全上的切实需求,加速建设云计算用户数据保护标准架构与信任体系势在必行。国内权威云计算评估体系——可信云即将在 7月25日-26日召开的“2017可信云大会”上正式发布《云服务用户数据保护能力参考框架》和《云服务用户数据保护能力评估方法 第1部分:公有云》两项重磅级标准。
18类38项指标,全面升级构建“行业公约”
《云服务用户数据保护能力参考框架》从用户角度提出云服务用户数据保护保护能力参考框架,从事前防范、事中保护、事后追溯全生命周期流程,抽象提炼出数据安全的基本属性,构建18大类的38项数据安全保护能力指标,打造云服务用户数据保护能力“行业公约”,助力云服务商在达到数据“可信”的基础之上,实现对数据“安全”保护能力的全面提升。
聚焦“重灾区”,开启公有云全方位评估
《云服务用户数据保护能力评估方法 第1部分:公有云》与《云服务用户数据保护能力参考框架》配套使用,针对公有云用户数据安全保护“痛点”,对云服务商在提供公有云服务时应具备的用户数据安全保护能力要求和评估方法进行规范。通过多种评估手段,公正客观考察云服务商各项数据保护能力指标的完备性、规范性和真实性。
从“用户视角”出发,解用户所忧
持不同的视角看待云计算安全,其范畴、内涵、关键落点都不尽相同。国家视角站在国家安全的高度,全面考虑安全性和可控性,重点关注安全管理责任、数据主权、跨境流动等问题。企业视角从维护业务稳定运转不出差错的角度,重点关注企业是否具备与本身等级相匹配的安全技术能力和管理手段。用户视角从用户的切身利益出发,重点关注将数据托管在云端后用户所感知到的安全问题和风险。
云服务用户数据保护能力标准正是开创性的从用户视角出发,将用户对数据的安全需求放在第一位,解用户之忧。通过提炼用户关切的一系列针对云服务商的数据保护能力的要求,搭建云服务商和用户之间沟通信任的桥梁。
获得业内广泛支持,奠定行业自律基石
值得一提的是,《云服务用户数据保护能力参考框架》和《云服务用户数据保护能力评估方法 第1部分:公有云》两项标准在研制过程中,得到了包括UCloud、腾讯、阿里巴巴、京东、华为、中国电信、网宿、美团、金山云、中国移动、中国联通、百度、浪潮、网易、360、青藤云安全、世纪互联等业内众多云服务商和安全厂商的大力支持和推动。云服务用户数据保护能力标准一方面为云服务商建立规范完备的用户数据保护体系、保障用户数据安全提供指导,另一方面为第三方行业自律组织评估云服务商用户数据安全保护能力提供依据,同时也为用户选择数据得到良好保护的云计算服务提供参考,以此规范和提升行业安全能力,合力促进安全生态形成。
保护你的数据奶酪
规范云服务用户数据保护能力提供
建立云计算“新信任时代”
7月26日可信云大会云安全论坛期待您的到来!
