“過度信任”時代已經(jīng)結(jié)束，誰來衡量云服務(wù)隱私與數(shù)據(jù)安全保護的“度”?

用戶曾經(jīng)對云的“過度信任”隨著一次次數(shù)據(jù)安全事件的披露和爆發(fā)而不斷被撼動。只看2017年上半年：

5月底，阿里云被網(wǎng)友指責監(jiān)控其數(shù)據(jù)，并提醒其他用戶刪除阿里云鏡像中的特定文件。對此阿里云發(fā)出聲明，表示阿里云不會查看用戶的秘鑰和服務(wù)器證書，也不會監(jiān)測用戶服務(wù)器的端口流量。阿里云事件發(fā)生后不久，又有網(wǎng)友發(fā)帖稱騰訊云以安全的名義對用戶的數(shù)據(jù)進行侵犯，并演示了相關(guān)操作信息。

半個月內(nèi)發(fā)生了兩起類似事件，在IT圈迅速傳播，引發(fā)了業(yè)界的熱議，在技術(shù)“大蝦”們忙著尋找真相的同時，更多的“小白”用戶則表示了深深的擔憂。大家普遍認為，在云計算和大數(shù)據(jù)時代，數(shù)據(jù)安全風險不斷增加，安全隱患好似一個定時炸彈，不知道究竟什么時候會引爆。

一直以來，國內(nèi)云服務(wù)商高度重視用戶數(shù)據(jù)安全，很多企業(yè)甚至喊出了“用戶隱私第一”、“保護用戶數(shù)據(jù)是生命線”這樣的口號。然而，這依然難以消除用戶的重重顧慮。

身處通信、金融、能源、教育、醫(yī)療、航空、電商、游戲等等諸多行業(yè)領(lǐng)域的用戶帶著憂慮在云上“顫抖”：面對云計算引入的新的數(shù)據(jù)安全風險，云服務(wù)商能否實現(xiàn)對于用戶數(shù)據(jù)安全保護的承諾?如何確保用戶在“云”上得到的數(shù)據(jù)安全服務(wù)是有效的?

另一方面，云服務(wù)商也由于標準規(guī)范的缺失在承擔損失。2017年6月，國內(nèi)首例涉及云服務(wù)器責任認定的侵權(quán)案一審落定，阿里云因未對其上涉及游戲侵權(quán)的用戶采取措施，而被樂動卓越起訴，被北京市石景山區(qū)人民法院裁定承擔侵權(quán)責任，賠償26萬元。這一事件也引發(fā)了在社會立法與行業(yè)標準層面的新爭議：云計算這一新生互聯(lián)網(wǎng)產(chǎn)物是否適用于舊法?云服務(wù)提供商是否屬于傳統(tǒng)法律意義上的網(wǎng)絡(luò)服務(wù)提供者?如何衡量網(wǎng)絡(luò)隱私安全保護的“力”與“度”?

從標準做起 構(gòu)建云服務(wù)用戶數(shù)據(jù)保護能力“行業(yè)公約”

云時代的用戶數(shù)據(jù)安全問題如此牽動人心，即使云服務(wù)商不斷提升自身平臺的安全水平，并作出相應(yīng)的安全承諾，仍然收效甚微。由于云平臺上用戶數(shù)據(jù)的所有權(quán)和保管權(quán)出現(xiàn)了分離，一方面，用戶不僅要關(guān)心數(shù)據(jù)存儲環(huán)境的安全，同時還要時時擔憂數(shù)據(jù)是否會被其他組織查看甚至挪用，另一方面，云服務(wù)商也對用戶數(shù)據(jù)保護的范圍界定而迷茫。

面對云數(shù)據(jù)安全市場存在的亂象和在數(shù)據(jù)安全上的切實需求，加速建設(shè)云計算用戶數(shù)據(jù)保護標準架構(gòu)與信任體系勢在必行。國內(nèi)權(quán)威云計算評估體系——可信云即將在 7月25日-26日召開的“2017可信云大會”上正式發(fā)布《云服務(wù)用戶數(shù)據(jù)保護能力參考框架》和《云服務(wù)用戶數(shù)據(jù)保護能力評估方法 第1部分：公有云》兩項重磅級標準。

18類38項指標，全面升級構(gòu)建“行業(yè)公約”

《云服務(wù)用戶數(shù)據(jù)保護能力參考框架》從用戶角度提出云服務(wù)用戶數(shù)據(jù)保護保護能力參考框架，從事前防范、事中保護、事后追溯全生命周期流程，抽象提煉出數(shù)據(jù)安全的基本屬性，構(gòu)建18大類的38項數(shù)據(jù)安全保護能力指標，打造云服務(wù)用戶數(shù)據(jù)保護能力“行業(yè)公約”，助力云服務(wù)商在達到數(shù)據(jù)“可信”的基礎(chǔ)之上，實現(xiàn)對數(shù)據(jù)“安全”保護能力的全面提升。

聚焦“重災(zāi)區(qū)”，開啟公有云全方位評估

《云服務(wù)用戶數(shù)據(jù)保護能力評估方法 第1部分：公有云》與《云服務(wù)用戶數(shù)據(jù)保護能力參考框架》配套使用，針對公有云用戶數(shù)據(jù)安全保護“痛點”，對云服務(wù)商在提供公有云服務(wù)時應(yīng)具備的用戶數(shù)據(jù)安全保護能力要求和評估方法進行規(guī)范。通過多種評估手段，公正客觀考察云服務(wù)商各項數(shù)據(jù)保護能力指標的完備性、規(guī)范性和真實性。

從“用戶視角”出發(fā)，解用戶所憂

持不同的視角看待云計算安全，其范疇、內(nèi)涵、關(guān)鍵落點都不盡相同。國家視角站在國家安全的高度，全面考慮安全性和可控性，重點關(guān)注安全管理責任、數(shù)據(jù)主權(quán)、跨境流動等問題。企業(yè)視角從維護業(yè)務(wù)穩(wěn)定運轉(zhuǎn)不出差錯的角度，重點關(guān)注企業(yè)是否具備與本身等級相匹配的安全技術(shù)能力和管理手段。用戶視角從用戶的切身利益出發(fā)，重點關(guān)注將數(shù)據(jù)托管在云端后用戶所感知到的安全問題和風險。

云服務(wù)用戶數(shù)據(jù)保護能力標準正是開創(chuàng)性的從用戶視角出發(fā)，將用戶對數(shù)據(jù)的安全需求放在第一位，解用戶之憂。通過提煉用戶關(guān)切的一系列針對云服務(wù)商的數(shù)據(jù)保護能力的要求，搭建云服務(wù)商和用戶之間溝通信任的橋梁。

獲得業(yè)內(nèi)廣泛支持，奠定行業(yè)自律基石

值得一提的是，《云服務(wù)用戶數(shù)據(jù)保護能力參考框架》和《云服務(wù)用戶數(shù)據(jù)保護能力評估方法 第1部分：公有云》兩項標準在研制過程中，得到了包括UCloud、騰訊、阿里巴巴、京東、華為、中國電信、網(wǎng)宿、美團、金山云、中國移動、中國聯(lián)通、百度、浪潮、網(wǎng)易、360、青藤云安全、世紀互聯(lián)等業(yè)內(nèi)眾多云服務(wù)商和安全廠商的大力支持和推動。云服務(wù)用戶數(shù)據(jù)保護能力標準一方面為云服務(wù)商建立規(guī)范完備的用戶數(shù)據(jù)保護體系、保障用戶數(shù)據(jù)安全提供指導(dǎo)，另一方面為第三方行業(yè)自律組織評估云服務(wù)商用戶數(shù)據(jù)安全保護能力提供依據(jù)，同時也為用戶選擇數(shù)據(jù)得到良好保護的云計算服務(wù)提供參考，以此規(guī)范和提升行業(yè)安全能力，合力促進安全生態(tài)形成。

保護你的數(shù)據(jù)奶酪，規(guī)范云服務(wù)用戶數(shù)據(jù)保護能力提供。

建立云計算“新信任時代”，7月26日可信云大會云安全論壇期待您的到來!