数据时代,用户的隐私安全谁来守护?随着互联网安全事件频发,毋庸置疑,用户数据的安全被置放于水深火热的境地,在未知的下一刻,我们不知道数据是被保护,还是被泄露,抑或被盗取,个人如此,企业亦不例外,同样忧心忡忡。
现今云计算、大数据的浪潮席卷全球,大量企业应用正持续向云平台迁移,新技术新应用的推广带来了安全新挑战,鉴于各种云平台中用户数据的集中式存储与管理,对用户数据安全防护能力提出了更高要求,重点保护云平台上的用户数据安全已经刻不容缓,面对云平台防护能力千差万别的现状,亟待对云服务用户数据保护能力进行评估测试,以实现摸清家底、认清风险、找出漏洞、促进整改等目标。
2017年6月,我国正式发布网络安全法,成为我国网络空间法治建设的重要里程碑,这是我国网络领域的基础性法律,其中明确规定要加强对个人信息保护。2018年5月,欧盟《通用数据保护法规》(General Data Protection Regulation,简称GDPR)落地执行,各国对公民个人资料隐私已经愈来愈重视,由此,对企业的要求和处罚也越发多,越来越深重。
作为国家高端专业智库,中国信息通信研究院早已洞察这一趋势,在用户数据保护能力评估方面展开了系统性深入研究,借鉴国内外数据保护、安全评估等先进理念和成功经验,结合国家级风险评估队伍和一流的安全实战经验,已正式发布《云服务用户数据保护能力参考框架》、《云服务用户数据保护能力评估方法 第1部分:公有云》和《云服务用户数据保护能力评估方法 第2部分:私有云》三项重磅级标准,并同步启动了对国内主流云服务平台的用户数据保护能力评估工作。
用户数据保护能力评估的关键指标范围限定在事前防范、事中保护、事后追溯三个层面,具备如下主要特点:
(一)覆盖内容全。该评估覆盖18个评估内容,主要测评内容包括:数据持久性、数据私密性、数据隐私性、数据知情权、数据防窃取性、数据可用性、数据访问安全性、数据传输安全性、数据迁移安全性、数据销毁安全性、数据返还安全性、内部人员管控、入侵防范、恶意代码防范、应急响应、安全审计、用户投诉与反馈、服务可审查性。
(二)评估环节准。该评估主要包括39个评估点,包括了云平台生命周期中的最核心最重要的环节,主要测评点包括:数据存储持久性、数据存储完整性、数据本地备份和恢复、数据异地备份和恢复、双活中心建设、异地实时备份、数据隔离安全性、数据存储保密性、密钥或证书管理、加密算法可配置、加解密性能、第三方加密、数据隐私性、数据知情权、数据防窃取性、数据可迁移性等。
(三)实战效果佳。评估工作落地以来已进行了两个批次的评估。第一批为2017年,通过评测的有UCloud公有云、华为公有云、浪潮公有云、美团公有云、腾讯公有云、腾讯金融云。第二批为2018年,参加评测的企业包括金山公有云、同方有云公有云、天翼云公有云、移动云公有云、上海有孚公有云、佳讯飞鸿私有云、华大基因私有云、浪潮私有云,评估结果将于7月下旬组织召开专家评审会,对评估结果进行总结。
面对现如今的市场局面,云服务用户数据保护能力相关标准的出炉无疑是对网络安全法和GDPR最有力的实践,评估工作一方面为云服务商建立规范完备的用户数据保护体系、保障用户数据安全提供指导,另一方面为第三方行业自律组织评估云服务商用户数据安全保护能力提供依据,同时也为用户选择数据得到良好保护的云计算服务提供参考,提升行业安全能力,合力促进安全生态形成。
据悉,下一步,中国信息通信研究院会对标准的条款内容和技术测试手段进行更新,使其更加对标网络安全法和GDPR,敬请关注!
关联阅读:
【中国IDC圈原创,未经授权禁止转载】