封莎
各位领导、各位来宾,下午好!非常欢迎大家来到开源和私有云安全论坛,我是中国信息通过研究院云计算和大数据研究所的封莎,下面我给大家汇报一下中国信通院在私有云数据安全保护方面的工作成果。
刚才付处在致词中提到,我们要通过标准来规范云安全行业,提升整个行业的安全水平。在这个思想的指导之下,我们依托云计算开源产业联盟这样一个平台,制定了云服务用户数据能力保护评估系列标准。
首先,我想给大家介绍一下中国信通院在私有云安全发展方面的一些调研结果。我们通过大规模的调研,得到了以下这样的一系列数据首先是中国的私有云市场现在是处于一个增幅平稳的状态,目前仍将保持高速的发展。2017年中国私有云市场规模就已经达到426亿元,同比增长23.8%.其中安全性、可控性成为采纳私有云的一个重要考量,通过调查发现,67.2%和51%的受访企业分别将安全性和可控性纳入私有云选择的一个最为重要的考虑因素。
其中私有云的安全更是受到了广泛的关注,已经运用私有云的企业中,39.7%的企业在云安全上的投入占到了IT总投入的比例超过了10%.我们可以看一下这个图,29.4%的企业云安全投入占IT系统总投入大概是10%—20%.另外有10.3%的企业安全方面的投入占IT总投入的比例超过了20%.此外,还有近半数,即44.3%的企业在云安全方面的投入占IT系统的总投入占到了5%—10%的比例。
在所有的私有云安全问题中,数据安全问题成为的私有云安全能力建设的一个焦点。其中,数据安全、网络隔离、网络攻击防护等等这样一系列的问题都是私有云中面临的一些主要安全问题,关注数据安全问题的比例占到了62.7%.另外,超过半数企业将数据加密作为一个主要的安全保护措施,数据加密和用户隐私保护占比分别占到61.6%和51.2%,其他安全措施保护还包括完整性保护、数据备份与容灾还有残留数据等等。
在传统的安全系统里面,用户和服务商是一个主体,用户即服务商,所以对安全保护的目标是一致的。在云计算环境下,用户和服务商是分离的,数据的所有者和保管者分离,所有权和保管权分离,这样一个变化必然会引发新的数据安全问题。
我们总结得出,云计算体系下面临的数据安全问题主要包括以下三方面。一个是传统的IT系统存在的数据安全问题,第二就是云服务商在运行过程中容易忽略但是还会长期潜在的一些未知的安全问题,第三是云计算的场景之下最为独特的一点,就是云服务商可能为了自己的利益而损害用户的数据安全,比如将用户数据用来做机器学习、大数据分析,在到期后未经同意将数据转让第三方等等。
因此在这样的背景下,我们尝试着做了一些相关的工作,启动了云服务用户数据保护能力评估这样一项工作。这个评估就是针对云计算架构下的用户数据安全的痛点来规范云服务商对用户数据安全保护应具备的一些基本能力。
从更高的层面来看的话,云服务商应具备的数据安全能力可能有不同的视角,比如国家视角、企业视角、用户视角。其中国家视角就是站在国家安全的角度,全面的考虑安全性和可控性,重点关注的是安全管理责任、数据主权、跨境流动等等一些其他的安全问题。第二是企业视角,从业务维护运转不出差错的角度,重点关注企业的安全能力和管理手段。第三是用户视角,从用户切身利益出发,重点关注将数据托管云端后面临的安全风险。
中国信通院从去年的6、7月份开始启动相关标准制定工作。去年已经发布了前两个标准,分别是《云服务用户数据保护能力参考框架》和《云服务用户数据保护能力评估方法 第1部分:公有云》。经过近半年的酝酿,《云服务用户数据保护能力评估方法 第2部分:私有云》这一标准也已经完成,下面我就给大家介绍这项标准的主要内容。
这个标准主要的落脚点是从用户角度出发,涉及到15大类36项数据安全保护能力的一系列指标,全面的覆盖数据安全的事前防范、事中保护和事后追溯三个阶段。事前防范阶段涉及数据持久性、数据私密性、数据知情权等十大类指标;事中保护阶段涉及入侵防范和恶意代码防范两大类指标;事后追溯阶段包括安全审计、售后服务与技术支持和服务可审查性等三大类指标。