數(shù)據(jù)是信息化時(shí)代的“石油”�����。
在互聯(lián)網(wǎng)經(jīng)濟(jì)時(shí)代���,數(shù)據(jù)是新的生產(chǎn)要素,是基礎(chǔ)性資源和戰(zhàn)略性資源�,也是重要生產(chǎn)力。因此數(shù)據(jù)是構(gòu)建數(shù)字經(jīng)濟(jì)的關(guān)鍵因素����。
那么數(shù)據(jù)在哪里呢?在移動互聯(lián)網(wǎng)��、云計(jì)算普及的今天�����,云計(jì)算平臺數(shù)據(jù)重要集中存儲��、處理和應(yīng)用平臺�����,云計(jì)算企業(yè)成為最大的數(shù)據(jù)中心�。因此����,安全性更是不言而喻�����。
中央領(lǐng)導(dǎo)特別強(qiáng)調(diào)��,切實(shí)保障國家數(shù)據(jù)安全�����,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù),強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力���,增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力�。今年6月1日正式實(shí)施《網(wǎng)絡(luò)安全法》特別對數(shù)據(jù)安全組明確規(guī)定和規(guī)范��。
云計(jì)算企業(yè)該如何保障數(shù)據(jù)安全的呢?又是如何做的呢?
怎么保障云計(jì)算的數(shù)據(jù)安全?
云服務(wù)主要是通過三種方式來保證數(shù)據(jù)安全:
一是技術(shù)安全:如防泄漏保護(hù)��、權(quán)限保護(hù)���、數(shù)據(jù)管理��、數(shù)據(jù)加密等等;二是邏輯安全�,也就是確保被授權(quán)的程序和數(shù)據(jù)的訪問是根據(jù)用戶的身份的認(rèn)證授予的;另一種方式是影響非常大卻容易被忽略——物理安全��,云計(jì)算也是有服務(wù)器���、IDC�,必須只有授權(quán)且允許的人員才能物理接觸����。
那么如何判定云計(jì)算企業(yè)都在這三方面下足功夫了呢?總不能邀請所有用戶和網(wǎng)友入場駐點(diǎn)定期勘察甚至做實(shí)施直播吧?再說那樣也不符合安全保護(hù)規(guī)定。不過�,這些安全措施可以通過國際通用的安全認(rèn)證��、企業(yè)的安全承諾和自主發(fā)起的執(zhí)行措施等指標(biāo)來判定���。
數(shù)據(jù)安全的硬指標(biāo):標(biāo)準(zhǔn)認(rèn)證
專業(yè)的結(jié)果必須有專業(yè)的規(guī)范,ISO就是其中之一����。
作為一個(gè)國際標(biāo)準(zhǔn)化組織(International Organization for
Standardization,ISO)��,ISO發(fā)布了第一個(gè)信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn)��,也就是ISO20000�,除此外還有業(yè)務(wù)連續(xù)性管理體系ISO22301等,這些均適用于云計(jì)算數(shù)據(jù)安全的標(biāo)準(zhǔn)�����。除此之外
��,還有PCI安全標(biāo)準(zhǔn)委員會制定的PCI數(shù)據(jù)安全措施——PCI DSS��、CSA STAR云安全國際認(rèn)證外���,以及一些國家和區(qū)域的本地標(biāo)準(zhǔn)�,例如新加坡 MTCS 第
3 級認(rèn)證��、德國C5��、德國C5(基礎(chǔ)與附加條款)����、信息安全等級保護(hù)三級認(rèn)證、中央網(wǎng)信辦云安全審查等����。
簡單羅列目前主流的幾家云計(jì)算企業(yè)AWS、微軟Azure��、阿里云����、騰訊云和華為云的認(rèn)證情況。這些標(biāo)準(zhǔn)對技術(shù)和要求有強(qiáng)制性要求��,如果滿足不了是無法獲得認(rèn)證的�。為了良好區(qū)分各家云計(jì)算企業(yè)在認(rèn)證的不同,我們?yōu)槊總€(gè)指標(biāo)10分�,每獲得一個(gè)認(rèn)證就可加10分,最后通過總分判別各家獲得的認(rèn)證差異��。
當(dāng)然,安全標(biāo)準(zhǔn)認(rèn)證只是數(shù)據(jù)安全的基礎(chǔ)保障�����,只是個(gè)硬指標(biāo)��。執(zhí)行是否到位是認(rèn)證的關(guān)鍵�,所以再看兩個(gè)軟指標(biāo):人和服務(wù)。
數(shù)據(jù)安全的軟實(shí)力:態(tài)度決定一切
如果比人數(shù)��,那沒意義���,可以看公司管理者對安全的態(tài)度�。以下是各個(gè)公司對安全的態(tài)度�,尤其是高層的態(tài)度。因?yàn)楦邔拥膽B(tài)度決定了下面的執(zhí)行�����,而且高管們不只是管理��,也要站出來把立場講明白����,要不然市場和用戶不知道。
同上���,每個(gè)指標(biāo)10分���,最后通過總分判別各家的管理差異。好像�,唯一沒表態(tài)的是微軟Azure。
數(shù)據(jù)安全的最后一公里:執(zhí)行落地
有戰(zhàn)略�、有規(guī)范、就看具體落地執(zhí)行了��,再好的制度�����,如果不落地也是零�����。所以�,執(zhí)行非常關(guān)鍵。再看看各家對數(shù)據(jù)安全保護(hù)是怎么做的����。如何判斷執(zhí)行力呢?可以通過云計(jì)算企業(yè)自主發(fā)布的安全白皮書等安全舉措來判定��。
繼續(xù)同上�,每個(gè)指標(biāo)10分�����,最后通過總分判別各家的執(zhí)行力�。
有2家公司拿到了10分,三家公司拿了20分���。雖然只有兩個(gè)分?jǐn)?shù)等級���,但是仔細(xì)比較來看,各家的執(zhí)行力度和持久性各不相同�����。詳細(xì)參見表格�。
匯總來看
AWS:認(rèn)證60+企業(yè)態(tài)度10+執(zhí)行落地20=90分;
微軟Azure:認(rèn)證80+企業(yè)態(tài)度=0+執(zhí)行落地20=100分;
阿里云:認(rèn)證100+企業(yè)態(tài)度=10+執(zhí)行落地20=130分;
騰訊云:認(rèn)證0+企業(yè)態(tài)度=10+執(zhí)行落地20=100分;
華為云:認(rèn)證60+企業(yè)態(tài)度=10+執(zhí)行落地10=80分;
總之,數(shù)據(jù)安全很重要���,各家云計(jì)算企業(yè)多努力��。
