數(shù)據(jù)時代,用戶的隱私安全誰來守護?隨著互聯(lián)網(wǎng)安全事件頻發(fā),毋庸置疑,用戶數(shù)據(jù)的安全被置放于水深火熱的境地,在未知的下一刻,我們不知道數(shù)據(jù)是被保護,還是被泄露,抑或被盜取,個人如此,企業(yè)亦不例外,同樣憂心忡忡。
現(xiàn)今云計算、大數(shù)據(jù)的浪潮席卷全球,大量企業(yè)應用正持續(xù)向云平臺遷移,新技術新應用的推廣帶來了安全新挑戰(zhàn),鑒于各種云平臺中用戶數(shù)據(jù)的集中式存儲與管理,美國站群服務器 亞洲服務器,對用戶數(shù)據(jù)安全防護能力提出了更高要求,重點保護云平臺上的用戶數(shù)據(jù)安全已經(jīng)刻不容緩,面對云平臺防護能力千差萬別的現(xiàn)狀,亟待對云服務用戶數(shù)據(jù)保護能力進行評估測試,以實現(xiàn)摸清家底、認清風險、找出漏洞、促進整改等目標。
2017年6月,我國正式發(fā)布網(wǎng)絡安全法,成為我國網(wǎng)絡空間法治建設的重要里程碑,這是我國網(wǎng)絡領域的基礎性法律,云服務器租用,其中明確規(guī)定要加強對個人信息保護。2018年5月,歐盟《通用數(shù)據(jù)保護法規(guī)》(General Data Protection Regulation,簡稱GDPR)落地執(zhí)行,各國對公民個人資料隱私已經(jīng)愈來愈重視,由此,對企業(yè)的要求和處罰也越發(fā)多,越來越深重。
作為國家高端專業(yè)智庫,中國信息通信研究院早已洞察這一趨勢,在用戶數(shù)據(jù)保護能力評估方面展開了系統(tǒng)性深入研究,借鑒國內(nèi)外數(shù)據(jù)保護、安全評估等先進理念和成功經(jīng)驗,結(jié)合國家級風險評估隊伍和一流的安全實戰(zhàn)經(jīng)驗,已正式發(fā)布《云服務用戶數(shù)據(jù)保護能力參考框架》、《云服務用戶數(shù)據(jù)保護能力評估方法 第1部分:公有云》和《云服務用戶數(shù)據(jù)保護能力評估方法 第2部分:私有云》三項重磅級標準,并同步啟動了對國內(nèi)主流云服務平臺的用戶數(shù)據(jù)保護能力評估工作。
用戶數(shù)據(jù)保護能力評估的關鍵指標范圍限定在事前防范、事中保護、事后追溯三個層面,具備如下主要特點:
(一)覆蓋內(nèi)容全。該評估覆蓋18個評估內(nèi)容,主要測評內(nèi)容包括:數(shù)據(jù)持久性、數(shù)據(jù)私密性、數(shù)據(jù)隱私性、數(shù)據(jù)知情權、數(shù)據(jù)防竊取性、數(shù)據(jù)可用性、數(shù)據(jù)訪問安全性、數(shù)據(jù)傳輸安全性、數(shù)據(jù)遷移安全性、數(shù)據(jù)銷毀安全性、數(shù)據(jù)返還安全性、內(nèi)部人員管控、入侵防范、惡意代碼防范、應急響應、安全審計、用戶投訴與反饋、服務可審查性。
(二)評估環(huán)節(jié)準。該評估主要包括39個評估點,包括了云平臺生命周期中的最核心最重要的環(huán)節(jié),主要測評點包括:數(shù)據(jù)存儲持久性、數(shù)據(jù)存儲完整性、數(shù)據(jù)本地備份和恢復、數(shù)據(jù)異地備份和恢復、雙活中心建設、異地實時備份、數(shù)據(jù)隔離安全性、數(shù)據(jù)存儲保密性、密鑰或證書管理、加密算法可配置、加解密性能、第三方加密、數(shù)據(jù)隱私性、數(shù)據(jù)知情權、數(shù)據(jù)防竊取性、數(shù)據(jù)可遷移性等。
(三)實戰(zhàn)效果佳。評估工作落地以來已進行了兩個批次的評估。第一批為2017年,通過評測的有UCloud公有云、華為公有云、浪潮公有云、美團公有云、騰訊公有云、騰訊金融云。第二批為2018年,參加評測的企業(yè)包括金山公有云、同方有云公有云、天翼云公有云、移動云公有云、上海有孚公有云、佳訊飛鴻私有云、華大基因私有云、浪潮私有云,評估結(jié)果將于7月下旬組織召開專家評審會,對評估結(jié)果進行總結(jié)。
面對現(xiàn)如今的市場局面,云服務用戶數(shù)據(jù)保護能力相關標準的出爐無疑是對網(wǎng)絡安全法和GDPR最有力的實踐,評估工作一方面為云服務商建立規(guī)范完備的用戶數(shù)據(jù)保護體系、保障用戶數(shù)據(jù)安全提供指導,另一方面為第三方行業(yè)自律組織評估云服務商用戶數(shù)據(jù)安全保護能力提供依據(jù),同時也為用戶選擇數(shù)據(jù)得到良好保護的云計算服務提供參考,提升行業(yè)安全能力,合力促進安全生態(tài)形成。
據(jù)悉,下一步,中國信息通信研究院會對標準的條款內(nèi)容和技術測試手段進行更新,使其更加對標網(wǎng)絡安全法和GDPR,敬請關注!
