首页
首页  >  网络快报  >  信息化

云服务用户数据保护能力标准问世
可信云打造云计算数据安全“行业公约”

2017-07-24  来源:人民邮电报  作者:黄鱼

    随着云计算、大数据的浪潮席卷全球,数据安全问题日益严峻。在这个数据即资产的DT时代,数据的产生量越来越大,托管在云平台上的数据越来越多,全球和数据有关的安全事件层出不穷,如何保护云平台上的用户数据安全已经成为整个行业乃至国家关注的焦点问题。

    一直以来,国内云服务商高度重视用户数据安全,很多企业甚至喊出了“用户隐私第一”、“保护用户数据是生命线”这样的口号。然而,这依然难以消除用户的重重顾虑。

    谁动了我的数据?用户数据安全问题愈演愈烈

    今年5月底,阿里云就被网友指责监控其数据,并提醒其他用户删除阿里云镜像中的特定文件。对此阿里云发表声明,表示阿里云不会查看用户的密钥和服务器证书,也不会监测用户服务器的端口流量。阿里云事件发生后不久,又有网友发帖称腾讯云以安全的名义对用户的数据进行侵犯,并演示了相关操作信息。

    半个月内发生了两起类似事件,引发了业界的热议,在技术“大虾”们忙着寻找真相的同时,更多的“小白”用户则表示了深深的担忧。大家普遍认为,在云计算和大数据时代,数据安全风险不断增加,安全隐患好似一个定时炸弹,不知道究竟什么时候会引爆。

    为什么云时代的用户数据安全问题如此牵动人心?

    其实这不难理解,与传统的IT系统相比,今天正在大量兴起的云平台改变了用户数据的存储方式。过去,用户数据都存储在企业的自有数据中心里,而现在这些数据都被托管到了云服务商的云平台上。这意味着数据的所有权和保管权出现了分离,虽然大多数情况下用户和云服务商的利益一致,但是仍然存在少数情况下的不一致,因此用户不仅要关心这些数据存储环境的安全,同时还要时时担忧这些数据是否会被其他组织查看甚至挪用。

    事实上,在云计算发展过程中,用户对云服务不信任是正常现象。IDC相关调查显示,全球对云计算安全、性能、可靠性等抱有怀疑态度的用户占70%以上。因此,即使云服务商不断提升自身平台的安全水平,并作出相应的安全承诺,用户的顾虑仍然无法消除,无法建立对云平台的信任。这意味着,业界各方更需要携手合作,合力推进云计算市场的数据保护信任体系的建设。

    面对云数据安全市场存在的乱象和用户在数据安全上的切实需求,中国信息通信研究院即将在 7月25日~26日召开的“2017可信云大会”上正式发布《云服务用户数据保护能力参考框架》和《云服务用户数据保护能力评估方法 第1部分:公有云》两项重磅级标准。

    “安全”全面升级,构建强大云服务用户数据保护能力

    《云服务用户数据保护能力参考框架》从用户角度提出云计算用户数保护能力参考框架,从事前防范、事中保护、事后追溯全生命周期流程,抽象提炼出云计算数据安全的基本属性,涵盖18大类的38项数据安全保护能力指标,构建云服务用户数据保护能力“行业公约”,助力云服务提供商在达到数据“可信”的基础之上,实现对数据“安全”保护能力的全面提升。

    聚焦公有云,打造全方位多角度评估手段

    《云服务用户数据保护能力评估方法 第1部分:公有云》与《云服务用户数据保护能力参考框架》配套使用,针对公有云用户数据安全保护“痛点”,对云服务商在提供公有云服务时应具备的用户数据安全保护能力要求和评估方法进行规范。通过材料审查、人员访谈、技术测试和模拟监测等多种评估手段,全方位、权威、公正考察云服务商用户数据保护能力指标的完备性、规范性和真实性。

    国内首个从“用户视角”出发的数据保护能力评估标准

    不同的角色从不同的角度看云计算安全存在不同的视角,持不同的视角所关注的安全范畴和内涵都不尽相同。国家视角站在国家安全的高度,全面考虑安全性和可控性,重点关注安全管理责任、数据主权、跨境流动等问题。企业视角从维护业务稳定运转不出差错的角度,重点关注企业是否具备与本身等级相匹配的安全技术能力和管理手段。用户视角从用户的切身利益出发,重点关注将数据托管在云端后用户所感知到的安全问题和风险。

    云服务用户数据保护能力标准正是开创性地从用户视角出发,将用户对数据的安全需求放在第一位,想用户之所想,想用户之未想,提炼出一系列用户关切的针对云服务商的数据保护能力要求,如持久性、隐私性、可知性、可迁移性、可销毁性、可返还性等等,试图搭建云服务商和用户之间沟通信任的桥梁,消除用户在数据保护上的忧虑。

    主流企业参与标准制定

    值得一提的是,《云服务用户数据保护能力参考框架》和《云服务用户数据保护能力评估方法 第1部分:公有云》两项标准在研究和制定过程中,得到了包括UCloud、腾讯、阿里巴巴、京东、华为、中国电信、网宿、美团、金山云、中国移动、中国联通、百度、浪潮、网易、360、青藤云安全、世纪互联等行业内众多云服务商和安全厂商的大力支持和推动。各方一致认为,云服务用户数据保护能力标准一方面为云服务商建立规范完备的用户数据保护体系、保障用户数据安全提供指导,一方面为第三方机构对云服务商用户数据安全保护能力评估提供依据,同时也为用户选择数据得到良好保护的云计算服务提供参考。

    * * *

    “安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”今年6月1日,我国《网络安全法》正式实施,为用户数据安全保障奠定了坚实的法律基石。除了国家法律法规和行业监管政策的指导和规范,第三方行业自律组织在规范云计算行业市场环境、提升云计算行业安全能力和水平、帮助用户建立对云服务商的信任方面将起到巨大的推动作用。在7月26日的“2017可信云大会云安全论坛”上,可信云将披露更多有关云服务用户数据保护能力标准的信息。

关键词:

相关新闻