云深不知处——云计算的数据安全能力构建
大家下午好,我是封莎,来自中国信通院,是这一次可信云大会的主办方,感谢大家关注云安全,欢迎大家来到云安全论坛,下面我就给大家介绍一下中国信息通信研究院在云计算安全方面的一些研究成果。http://img.mp.sohu.com/upload/20170816/23ee03e76f794398a754b49a6d6fe010_th.png首先我们来看一下当前的云计算市场的发展情况。当前,以云计算、大数据、人工智能等为代表的新一代信息技术迅猛发展,与各领域、各行业、跨界融合,已经成为创新最活跃、渗透最广泛、影响最深远的新一轮科技革命。可以看一下这两张表格,在2016年的时候,全球的公有云服务市场规模就达到了2000亿美元,增速是17.4%,预计到2020年将达到3800亿美元,年增长率也将一直保持在15%以上。可以看出,云计算的服务类型不断的创新,市场规模和用户量持续扩大,已经替代了传统IT模式,成为信息系统的主要的架构方式。http://img.mp.sohu.com/upload/20170816/a3aff01bebb045e7801f4e217fe6851a_th.png以上是全球的情况,这一张是我国的云计算市场发展情况,发展的态势前景也是非常的看好。我国云计算的市场在2017年规模达到了291亿元,根据Gartner预测,到2020年将会达到699亿元规模,并且将持续保持30%以上的年增长率。http://img.mp.sohu.com/upload/20170816/5de07b3e294a4acb8f2566e0a0b3fac2_th.png我们也可以看到在云计算迅猛发展的同时,重大安全事故频发,也引起了巨大的关注。以上列出了从2015年到2017年,比较严重的云计算网络安全事件和故障。2015年,阿里云因为云服务器的故障发生持续7小时的中断服务时间。2016年和2017年,亚马逊AWS发生了十小时和三小时的两次服务中断事故。此外,包括谷歌云和微软Azure在内的全球主要云服务厂商也都发生过严重的服务中断事故。http://img.mp.sohu.com/upload/20170816/5263da7ce7a0464a87e005b14d1567a0_th.png下面这张表格是对国外主要云厂商云服近三年宕机时间的统计,2017年才刚刚过去一半,微软云服务的宕机时间就达到了740分钟,所以说云服务的可用性是现在考察云服务安全能力的一个非常重要的指标。http://img.mp.sohu.com/upload/20170816/a1032a7aa28f4289853dc58b4f9c1188_th.png此外,我们可以看到,除了宕机的问题以外,云计算的数据安全问题也日益凸显。这张图上,我整理了几个比较典型的云服务数据安全事件,包括2012年的DROPBOX发生的超过6800万条用户帐号数据泄露事件,2014年苹果ICloud众多好莱坞明星隐私信息泄露事件,2016年cloudflare数百万网络托管客户数据泄露事件,以及2017年亚马逊AWS共和党数据库中的美国2亿选民信息泄露的严重事件。http://img.mp.sohu.com/upload/20170816/ee73dd007fe04679960df88d52add642_th.png云计算数据安全问题,正越来越得到普遍的关注。下面我们来分析一下云计算安全和传统的IT系统安全有什么区别。首先我们看传统IT系统,用户即是服务商,所以对数据安全保护的目标利益是一致的。而在云计算的架构之下,用户和服务商发生了分离,数据的所有者和保管者分离,数据的所有权和保管权分离,这样会必然会引发一些新的问题。我总结了一下,大概有以下三类,一是传统IT系统的安全问题仍然存在,因为云计算说到底还是信息系统的一种;第二是由于不涉及切的利益,云服务商在运营过程中容易忽略,但是会长期潜在的一些未在的安全问题;第三就是云服务商可能为了自己的利益损害用户数据安全,比如说未经用户同意,将用户数据用来大数据分析、机器学习,或者在用户合同到期后未完全删除用户数据,甚至未经同意将用户数据提供给第三方等。http://img.mp.sohu.com/upload/20170816/4b9231021c9e495bb7b46fc09c64905a_th.png不仅如此,我们也看到在云计算数据安全保护方面,也出现了一些新的状况。我来举几个具体的事例,今年5月份,阿里云被网友指责监控其数据,并提醒其他用户删除阿里云镜像中的特定文件。对此阿里云发出声明,表示阿里云不会查看用户的秘钥和服务器证书,也不会监测用户服务器的端口流量。阿里云事件发生后不久,又有网友发帖称腾讯云以安全的名义对用户的数据进行侵犯,并演示了相关操作信息。为什么短短的时间之接连曝出类似的事件,这也引起了行业内的热议。除了这些事件,云服务商也由于标准规范的缺失在承担损失。今年6月,国内首例涉及云服务器责任认定的侵权案一审落定,阿里云因未对其上涉及游戏侵权的用户采取措施,而被乐动卓越起诉,被法院裁定承担侵权责任,赔偿26万元。这一事件也同样引起了争议。从以上两个角度看,当前云计算行业急需对用户数据安全保护能力进行规范,但是目前确实还没有一个从用户角度出发的标准和评估体系。http://img.mp.sohu.com/upload/20170816/bf246cd9be6f4e00a3c58daa2617f441_th.png这张图就是我们的一个研究成果,是从用户的角度,归纳提炼出了云服务用户数据安全的基本属性,首先是基础属性,就是大家都知道的数据保密性、可用性、完整性,在此基础上还有云数据特有的安全属性,包括持久性、隐私性、知情权、迁移安全性、销毁安全性还有返还安全性。此外,还生发出了一些扩展属性,比如数据访问安全性、内部人员管控、应急响应、安全审计、用户投诉和反馈,数据防窃取、入侵防范、恶意代码防范和服务可审查性等。在这些安全属性的基础之上,我们又细化出了对于云服务用户数据安全保护的能力指标,下面就来具体看一下。http://img.mp.sohu.com/upload/20170816/a06ca670508e46f2913eadc1998bfd60_th.png首先,基础属性中的保密性,由以下这几个具体指标构建,包括隔离安全性、存储保密性、加密算法的可配置、加解密性能、第三方加密支持和传输保密性等。时间关系,具体的指标内容我就不给大家一一介绍,我们在每一位来宾的座位上都放了一本我们特为本次云安全论坛编纂的《云安全特刊》,在这本特刊里,有一个详细的图表,对构建各属性的每一项具体指标都做了详细的说明,大家可以看一下这本特刊。另外在我们会场的侧面做了一个很大的背景墙,在这墙上也是以图表的方式对数十条安全指标做了详细的说明,大家也可以参考一下。http://img.mp.sohu.com/upload/20170816/21d38b9e75fc4d6f8cd5481696dd9307_th.pnghttp://img.mp.sohu.com/upload/20170816/02804bb5b3104475b8a21a65c499cae5_th.pnghttp://img.mp.sohu.com/upload/20170816/7fe9f4e3d1a041478d40fa0bb042348b_th.pnghttp://img.mp.sohu.com/upload/20170816/519e5fee96204cf595077cdf46ff773b_th.pnghttp://img.mp.sohu.com/upload/20170816/f74bd17bbe734df097b65628b7035e38_th.pnghttp://img.mp.sohu.com/upload/20170816/8b0f9390e0924c668baa5fa5b78b4f7a_th.pnghttp://img.mp.sohu.com/upload/20170816/3e76467e1afe4a8caf7960a052928cab_th.pnghttp://img.mp.sohu.com/upload/20170816/8a9984bd28a343d48fdb5e5cad918778_th.pnghttp://img.mp.sohu.com/upload/20170816/c1c36f8dba7b49cfb4a69dd487d137f2_th.png云服务用户数据安全保护的能力构建参与方包括以下几类,首先是国家和行业主管部门,比如网信办、工信部等,其次是第三方行业自律组织,第三是云服务提供商,最后是云安全的服务提供商。http://img.mp.sohu.com/upload/20170816/0403a5ebc01a4e9981e3732ab7d82f63_th.png持不同的视角看待云计算安全,其范畴、内涵、关键落点都不尽相同。国家视角站在国家安全的高度,全面考虑安全性和可控性,重点关注安全管理责任、数据主权、跨境流动等问题。企业视角从维护业务稳定运转不出差错的角度,重点关注企业是否具备与本身等级相匹配的安全技术能力和管理手段。用户视角从用户的切身利益出发,重点关注将数据托管在云端后用户所感知到的安全问题和风险。而我们现在做的这件事情,就是想要从用户角度出发来定义数据安全到底有哪些我们企业必须要达到的能力和指标。http://img.mp.sohu.com/upload/20170816/f5b37edfcbc444e0a20ed4161f099e84_th.png在多年可信云工作的基础上,针对用户数据安全,从用户的视角出发,我们研究制订了两项“云服务用户数据保护能力”标准,分别是《云服务用户数据保护能力的参考框架》和《云服务用户数据保护能力评估办法 第一部分:公有云》。标准规范的对象是云服务的用户数据,什么是云服务的用户数据呢?是指云计算服务用户在使用云计算服务过程中上传、存储、传输、处理和产生的数据。“云服务用户数据保护能力”标准一方面为云计算企业建立规范完备的用户数据保护体系、保障用户数据安全提供指导,另一方面为第三方机构对云计算服务提供者的用户数据安全保护能力评估提供依据,同时也为用户选择数据得到良好保护的云计算服务提供参考。http://img.mp.sohu.com/upload/20170816/6a60cff9f7774c5485a021d354616a57_th.png“云服务用户数据保护能力”标准聚焦于云服务用户数据,构建了云服务的用户保护能力的参考的框架:从数据的事前防范、事中保护和事后追溯这样一个全生命周期的流程,抽象提炼出数据安全的基本属性,构建18大类的38项数据安全保护能力指标。这些指标里面有必选的指标也有可选的指标:必选是说企业必须具备指标要求的数据安全保护的能力,而可选的指标不是必须的,但是可以证明这企业具备更全面和完备的数据保护能力的水平。这两项标准已经在今天上午的可信云大会上正式发布,力图打造云服务用户数据保护能力的“行业公约”。http://img.mp.sohu.com/upload/20170816/6133a3f483894f6c87f73cc9960b7ecb_th.png下一步,我们将会在标准基础之上,开始首批“云服务用户数据保护能力”评估工作,也非常希望在座的云服务厂商能够关注我们这项评估,参与到我们这项评估工作中来。这项评估将助力云服务商在达到“可信”的基础上,实现对数据“安全”保护能力的全面提升。还有值得一提的是,我们这两项标准的制定得到了行业内众多企业的大力支持和参与,像UCloud、腾讯、阿里、京东、华为、金山云等等,我在这里不一一点名了,在此对大家一并表示衷心的感谢。我们衷心的希望,能够通过此项工作,集合大家的力量,不断规范和提升行业的安全能力,从而促进行业安全生态的形成。http://img.mp.sohu.com/upload/20170816/94c12c43adc94e3daf816bb12f09126d_th.png我的介绍就到这里,谢谢大家。来源:云计算开源产业联盟
页:
[1]