封莎

云服务用户数据安全能力标准问世打造云计算数据安全“行业公约”

当前,以云计算大数据、人工智能等为代表的新一代信息技术迅猛发展,并且与各领域、各行业跨界融合,已经成为创新最活跃、渗透最广泛、影响最深远的新一轮科技革命。云计算的市场规模和用户量持续扩大,已经逐渐替代传统的IT模式,成为信息系统主要的架构方式。但是,伴随云计算迅猛发展的同时,对数据的安全性质疑浮出水面,甚至愈演愈烈。对云上用户数据的监管,用户对行业标准和规范的呼声越来越高。7.25-26日,在北京国际会议中心,由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会联合主办的2017可信云大会上,中国信息通信研究院高级工程师封莎女士以用户的视角作为切入点,分享了云服务数据安全保护力度规范的研究成果,并就制订的云服务用户数据保护能力的参考框架、云服务用户数据保护能力评估办法进行了详细研讨。

云服务用户数据安全不可用传统替代

资料显示,2016年全球的公有云服务市场规模达到2000亿美元,增速是17.4%,预计到2020年将达到3800亿美元,年增长率预计达到15%以上。我国云计算市场在2017年时规模达到291亿元,据Gartner预测,到2020年会达到699亿元规模,并且保持30%以上的增长率。从激增的数据背后不难看出市场规模和用户量持续扩大,已促使传统IT模式逐渐转型成为云计算为主的架构方式。

在业内正感受云计算市场的繁荣似火时,冰水从天而降。2015年,阿里云因为云服务器的故障持续7小时中断服务。2016-2017年,亚马逊的AWS分别发生两次时间非常长的中断事故。宕机事故一波未平,更为惊恐的数据泄露一波又起。DROPBOX超过6800万条用户帐号数据泄露,2014年苹果iCloud发生众多好莱坞明星隐私信息泄露事件,2016年cloudflare数百万网络托管客户数据泄露,2017年,亚马逊AWS发生了共和党数据库美国2亿选民信息泄露的非常严重的事件。至此,云计算的数据安全性被推到风口浪尖。

为何云计算的数据安全问题如此突出?对此,封莎认为,传统的IT系统,其用户和服务商对数据安全保护的目标利益是一致的。但是在云计算架构下,用户的数据和业务从自有的数据中心或机房托管到了云服务商的平台上,造成用户和服务商分离成为两个完全独立的主体。数据的所有者和保管者分离,数据的所有权与保管权分离,必将会引发新的数据安全问题。“无论是从用户的角度还是从云服务商的角度,对于切实有效的行业标准和规范都存在着及其迫切的需求。”封莎说道。

基于用户,规范云服务数据安全保护力度

视角不同,看待云服务数据安全的内涵、范畴和落脚点就不尽相同。选取用户的视角,就是要将用户的切身利益作为重点关注,考虑将数据托管到云端后,用户所感知到数据安全问题和风险。“以用户的角度作为切入点,基于用户的视角对云服务安全数据保护力度进行规范。这是我们的一个研究成果。”封莎特此强调道。

封莎指出,要对云服务用户数据安全保护力度进行规范,那么云服务商需要具备用户数据安全保护的基本属性:

首先是基础属性,例如保密性、可用性、完整性,还有云服务特有的安全属性,包括持久性、隐私性、知情权、迁移安全性、销毁安全性还有返还安全性。此外,在此基础之上还要具备扩展属性,例如数据访问安全性、内部人员管控、应急响应、安全审计、用户投诉和反馈,数据防窃取、入侵防范、恶意代码防范和服务可审查性等。

其次,在上述基础属性之上细化出了相应的18大类38能力指标,例如,在基础能力构建中的保密性方面,可以细化为隔离安全性、存储保密性、加密算法的可配置、加解密性能、第三方加密支持和传输保密性等具体指标;在云数据特有能力构建的持久性方面,可以细化为存储持久性、本地备份和恢复、异地备份和恢复、双活数据中心构建、异地实时备份等具体指标;在扩展能力构建中的数据访问安全性方面,可以细化为数据访问授权、访问权限最小化、身份鉴别、鉴别信息要求、暴力破解防范和异常行为监测等具体指标。

“上述所列举的基础属性+云服务特有属性+扩展属性=规范云服务数据安全保护能力标准的主要内容。”封莎总结道。

在谈到云服务用户数据安全保护的能力构建参与方时,封莎指出应当包括以下几个方面:首先是国家和行业的主管部门,例如网信办、工信部相关行业的主管部门等;其次是第三方行业自律组织;第三是云服务提供商这一主体;最后是云安全的服务提供商,即为云计算、云服务提供安全解决方案的专业安全提供商。

规范,合理促进云服务安全生态形成

中国信息通信研究院牵头,联合UCloud、腾讯、阿里巴巴、京东、华为、中国电信、网宿、美团云、金山云、中国移动、中国联通、百度、浪潮、网易、360、青藤云安全、世纪互联等业内众多云服务商和安全厂商,基于用户视角,制订完成《云服务用户数据保护能力参考框架》、《云服务用户数据保护能力评估方法 第1部分:公有云》等两项标准,并在此次可信云主论坛上正式发布。

对此,封莎指出,云服务用户数据保护能力标准的发布,一方面为云服务商建立规范完备的用户数据保护体系、保障用户数据安全提供指导,另一方面为第三方行业自律组织评估云服务商用户数据安全保护能力提供依据,同时也为用户选择数据得到良好保护的云计算服务提供参考。

封莎提出,中国信息通信研究院将于2017年下半年开始第一批云服务数据保护能力评估工作,欢迎云服务商能够积极关注并且参与这项评估,使云服务商在“可信”的基础之上,实现对数据“安全”保护能力的全面提升。

“我们做这一项工作的目的,就是要规范和提升行业的安全能力,合力促进安全生态的形成。”封莎最后说道。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-01-04 09:58:00
云资讯 2018全球云计算开源大会正式启动
开源的历史可以追溯到20世纪60年代,在几十年的发展进程中,开源经历了从小到大,从无到有,从非主流到主流的过程。时至今日,开源已成为最具活力、最具开放精神、最被推崇 <详情>
2018-01-04 09:25:16
机房建设 小即是美:微型数据中心或许才是云计算的未来
如今,很多数据中心运营商和用户正在竭尽全力地让他们的数据中心规模变得更大。当然,密度更大,效率更高,性能也更高,但从根本上说,这是一个更大规模的旅程。 <详情>
2018-01-03 17:42:47
云资讯 出海印度 云计算厂商需要了解哪些政策?
印度目前云计算处于发展初级阶段,发展速度很快。根据Gardner的预测,印度2017年云计算的收入将达到10.81亿美元,相比2016年增长27%. <详情>
2018-01-03 10:33:00
云资讯 什么是多重云?云计算的下一步
你可能会认为“多重云”和“混合云”是一会儿事,但实际上在云计算的演变过程中,它们处在非常不同的阶段。 <详情>
2018-01-03 09:38:01
云资讯 亚马逊AWS预算邮件闹乌龙,预测数字大的惊人!
2018年1月1日,亚马逊向AWS用户发送了一系列的预测警告邮件,邮件正文里显示了目前用户的使用情况以及预测以后使用情况的数据。需要提及的是,在该错误的预测邮件中,未来 <详情>
总投资90亿元的中国移动厦门数据中心,一期电源工程项目候选人公示
2018-10-18 17:39:56
微型数据中心,是趋势?还是鸡肋?
2018-10-18 15:41:04
华云数据中标上药控股私有云千万级项目
2018-10-18 15:35:33
中国电信中层人事“大地震” 多名二级干部将进行调整
2018-10-18 15:30:48
央视海外 CDN 采购:腾讯云、网宿科技、金山云入围,价格分别为 509万元、460万元、981万元
2018-10-18 15:23:00
斯柯达计划将HPC计算量提升至15千兆次 扩建其数据中心
2018-10-18 15:12:00
北京通管局公布45家不合格电信设备生产企业 微软、小米上榜
2018-10-18 15:04:07
阿里云宣布新一轮降价:部分产品降90%
2018-10-18 14:53:59
赵丽颖婚讯导致微博崩溃,说明云计算在国内发展依然任重道远
2018-10-18 14:34:40
中国移动流量稳步增长,约11.4万台的大规模基站用综合机柜集采开启
2018-10-18 14:22:22
云南移动NB-IoT网络质量管理项目,诺基亚入围但只能三选一
2018-10-18 14:05:40
三大运营商展示“5G速度”:16个网络视频同时播放不卡顿
2018-10-18 13:54:44
维谛技术为深圳机场航站楼高效运营提供保障
2018-10-18 13:36:48
现场直播|光迅科技数据与接入产品业务部市场经理张玓:下一代光互联技术及其在开放数据中心的应用
2018-10-18 13:27:08
现场直播|Mellanox资深系统工程师于若信:面向未来数据的网络技术
2018-10-18 13:12:04