數據時代，用戶的隱私安全誰來守護？隨著互聯網安全事件頻發，毋庸置疑，用戶數據的安全被置放于水深火熱的境地，在未知的下一刻，我們不知道數據是被保護，還是被泄露，抑或被盜取，個人如此，企業亦不例外，同樣憂心忡忡。

現今云計算、大數據的浪潮席卷全球，大量企業應用正持續向云平臺遷移，新技術新應用的推廣帶來了安全新挑戰，鑒于各種云平臺中用戶數據的集中式存儲與管理，美國站群服務器 亞洲服務器，對用戶數據安全防護能力提出了更高要求，重點保護云平臺上的用戶數據安全已經刻不容緩，面對云平臺防護能力千差萬別的現狀，亟待對云服務用戶數據保護能力進行評估測試，以實現摸清家底、認清風險、找出漏洞、促進整改等目標。

2017年6月，我國正式發布網絡安全法，成為我國網絡空間法治建設的重要里程碑，這是我國網絡領域的基礎性法律，云服務器租用，其中明確規定要加強對個人信息保護。2018年5月，歐盟《通用數據保護法規》(General Data Protection Regulation，簡稱GDPR)落地執行，各國對公民個人資料隱私已經愈來愈重視，由此，對企業的要求和處罰也越發多，越來越深重。

作為國家高端專業智庫，中國信息通信研究院早已洞察這一趨勢，在用戶數據保護能力評估方面展開了系統性深入研究，借鑒國內外數據保護、安全評估等先進理念和成功經驗，結合國家級風險評估隊伍和一流的安全實戰經驗，已正式發布《云服務用戶數據保護能力參考框架》、《云服務用戶數據保護能力評估方法 第1部分：公有云》和《云服務用戶數據保護能力評估方法 第2部分：私有云》三項重磅級標準，并同步啟動了對國內主流云服務平臺的用戶數據保護能力評估工作。

用戶數據保護能力評估的關鍵指標范圍限定在事前防范、事中保護、事后追溯三個層面，具備如下主要特點：

（一）覆蓋內容全。該評估覆蓋18個評估內容，主要測評內容包括：數據持久性、數據私密性、數據隱私性、數據知情權、數據防竊取性、數據可用性、數據訪問安全性、數據傳輸安全性、數據遷移安全性、數據銷毀安全性、數據返還安全性、內部人員管控、入侵防范、惡意代碼防范、應急響應、安全審計、用戶投訴與反饋、服務可審查性。

（二）評估環節準。該評估主要包括39個評估點，包括了云平臺生命周期中的最核心最重要的環節，主要測評點包括：數據存儲持久性、數據存儲完整性、數據本地備份和恢復、數據異地備份和恢復、雙活中心建設、異地實時備份、數據隔離安全性、數據存儲保密性、密鑰或證書管理、加密算法可配置、加解密性能、第三方加密、數據隱私性、數據知情權、數據防竊取性、數據可遷移性等。

（三）實戰效果佳。評估工作落地以來已進行了兩個批次的評估。第一批為2017年，通過評測的有UCloud公有云、華為公有云、浪潮公有云、美團公有云、騰訊公有云、騰訊金融云。第二批為2018年，參加評測的企業包括金山公有云、同方有云公有云、天翼云公有云、移動云公有云、上海有孚公有云、佳訊飛鴻私有云、華大基因私有云、浪潮私有云，評估結果將于7月下旬組織召開專家評審會，對評估結果進行總結。

面對現如今的市場局面，云服務用戶數據保護能力相關標準的出爐無疑是對網絡安全法和GDPR最有力的實踐，評估工作一方面為云服務商建立規范完備的用戶數據保護體系、保障用戶數據安全提供指導，另一方面為第三方行業自律組織評估云服務商用戶數據安全保護能力提供依據，同時也為用戶選擇數據得到良好保護的云計算服務提供參考，提升行業安全能力，合力促進安全生態形成。

據悉，下一步，中國信息通信研究院會對標準的條款內容和技術測試手段進行更新，使其更加對標網絡安全法和GDPR，敬請關注！