云服务用户数据安全能力标准问世,打造云计算数据安全“行业公约”
当前,以云计算、大数据、人工智能等为代表的新一代信息技术迅猛发展,并且与各领域、各行业跨界融合,已经成为创新最活跃、渗透广泛、影响最深远的新一轮科技革命。云计算的市场规模和用户量持续扩大,已经逐渐替代传统的IT模式,成为信息系统主要的架构方式。但是,伴随云计算迅猛发展的同时,对数据的安全性质疑浮出水面,甚至愈演愈烈。对云上用户数据的监管,用户对行业标准和规范的呼声越来越高。7.25-26日,在北京国际会议中心,由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会联合主办的2017可信云大会上,中国信息通信研究院高级工程师封莎女士以用户的视角作为切入点,分享了云服务数据安全保护力度规范的研究成果,并就制订的云服务用户数据保护能力的参考框架、云服务用户数据保护能力评估办法进行了详细研讨。
云服务用户数据安全不可用传统替代
资料显示,2016年全球的公有云服务市场规模达到2000亿美元,增速是17.4%,预计到2020年将达到3800亿美元,年增长率预计达到15%以上。我国云计算市场在2017年时规模达到291亿元,据Gartner预测,到2020年会达到699亿元规模,并且保持30%以上的增长率。从激增的数据背后不难看出市场规模和用户量持续扩大,已促使传统IT模式逐渐转型成为云计算为主的架构方式。
在业内正感受云计算市场的繁荣似火时,冰水从天而降。2015年,阿里云因为云服务器的故障持续7小时中断服务。2016-2017年,亚马逊的AWS分别发生两次时间非常长的中断事故。宕机事故一波未平,更为惊恐的数据泄露一波又起。DROPBOX超过6800万条用户帐号数据泄露,2014年苹果iCloud发生众多好莱坞明星隐私信息泄露事件,2016年cloudflare数百万网络托管客户数据泄露,2017年,亚马逊AWS发生了共和党数据库美国2亿选民信息泄露的非常严重的事件。至此,云计算的数据安全性被推到风口浪尖。
为何云计算的数据安全问题如此突出?对此,封莎认为,传统的IT系统,其用户和服务商对数据安全保护的目标利益是一致的。但是在云计算架构下,用户的数据和业务从自有的数据中心或机房托管到了云服务商的平台上,造成用户和服务商分离成为两个完全独立的主体。数据的所有者和保管者分离,数据的所有权与保管权分离,必将会引发新的数据安全问题。“无论是从用户的角度还是从云服务商的角度,对于切实有效的行业标准和规范都存在着及其迫切的需求。”封莎说道。
基于用户,规范云服务数据安全保护力度
视角不同,看待云服务数据安全的内涵、范畴和落脚点就不尽相同。选取用户的视角,就是要将用户的切身利益作为重点关注,考虑将数据托管到云端后,用户所感知到数据安全问题和风险。“以用户的角度作为切入点,基于用户的视角对云服务安全数据保护力度进行规范。这是我们的一个研究成果。”封莎特此强调道。
封莎指出,要对云服务用户数据安全保护力度进行规范,那么云服务商需要具备用户数据安全保护的基本属性:
首先是基础属性,例如保密性、可用性、完整性,还有云服务特有的安全属性,包括持久性、隐私性、知情权、迁移安全性、销毁安全性还有返还安全性。此外,在此基础之上还要具备扩展属性,例如数据访问安全性、内部人员管控、应急响应、安全审计、用户投诉和反馈,数据防窃取、入侵防范、恶意代码防范和服务可审查性等。
其次,在上述基础属性之上细化出了相应的18大类38项能力指标,例如,在基础能力构建中的保密性方面,可以细化为隔离安全性、存储保密性、加密算法的可配置、加解密性能、第三方加密支持和传输保密性等具体指标;在云数据特有能力构建的持久性方面,可以细化为存储持久性、本地备份和恢复、异地备份和恢复、双活数据中心构建、异地实时备份等具体指标;在扩展能力构建中的数据访问安全性方面,可以细化为数据访问授权、访问权限最小化、身份鉴别、鉴别信息要求、暴力破解防范和异常行为监测等具体指标。
“上述所列举的基础属性+云服务特有属性+扩展属性=规范云服务数据安全保护能力标准的主要内容。”封莎总结道。
在谈到云服务用户数据安全保护的能力构建参与方时,封莎指出应当包括以下几个方面:首先是国家和行业的主管部门,例如网信办、工信部相关行业的主管部门等;其次是第三方行业自律组织;第三是云服务提供商这一主体;最后是云安全的服务提供商,即为云计算、云服务提供安全解决方案的专业安全提供商。
规范,合理促进云服务安全生态形成
中国信息通信研究院牵头,联合UCloud、腾讯、阿里巴巴、京东、华为、中国电信、网宿、美团云、金山云、中国移动、中国联通、百度、浪潮、网易、360、青藤云安全、世纪互联等业内众多云服务商和安全厂商,基于用户视角,制订完成《云服务用户数据保护能力参考框架》、《云服务用户数据保护能力评估方法 第1部分:公有云》等两项标准,并在此次可信云主论坛上正式发布。
对此,封莎指出,云服务用户数据保护能力标准的发布,一方面为云服务商建立规范完备的用户数据保护体系、保障用户数据安全提供指导,另一方面为第三方行业自律组织评估云服务商用户数据安全保护能力提供依据,同时也为用户选择数据得到良好保护的云计算服务提供参考。
封莎提出,中国信息通信研究院将于2017年下半年开始第一批云服务数据保护能力评估工作,欢迎云服务商能够积极关注并且参与这项评估,使云服务商在“可信”的基础之上,实现对数据“安全”保护能力的全面提升。
“我们做这一项工作的目的,就是要规范和提升行业的安全能力,合力促进安全生态的形成。”封莎最后说道。
热门专题
