導讀:數(shù)據(jù)是信息化時代的“石油”。 在互聯(lián)網(wǎng)經(jīng)濟時代,數(shù)據(jù)是新的生產(chǎn)要素,是基礎(chǔ)性資源和戰(zhàn)略性資源,也是重要生產(chǎn)力。因此數(shù)據(jù)是構(gòu)建數(shù)字經(jīng)濟的關(guān)鍵因素。
數(shù)據(jù)是信息化時代的“石油”。 在互聯(lián)網(wǎng)經(jīng)濟時代,數(shù)據(jù)是新的生產(chǎn)要素,是基礎(chǔ)性資源和戰(zhàn)略性資源,也是重要生產(chǎn)力。因此數(shù)據(jù)是構(gòu)建數(shù)字經(jīng)濟的關(guān)鍵因素。
那么數(shù)據(jù)在哪里呢?在移動互聯(lián)網(wǎng)、云計算普及的今天,云計算平臺數(shù)據(jù)重要集中存儲、處理和應用平臺,云計算企業(yè)成為最大的數(shù)據(jù)中心。因此,安全性更是不言而喻。
中央領(lǐng)導特別強調(diào),切實保障國家數(shù)據(jù)安全,加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,強化國家關(guān)鍵數(shù)據(jù)資源保護能力,增強數(shù)據(jù)安全預警和溯源能力。今年6月1日正式實施《網(wǎng)絡(luò)安全法》特別對數(shù)據(jù)安全組明確規(guī)定和規(guī)范。
云計算企業(yè)該如何保障數(shù)據(jù)安全的呢?又是如何做的呢?
怎么保障云計算的數(shù)據(jù)安全?
云服務(wù)主要是通過三種方式來保證數(shù)據(jù)安全: 一是技術(shù)安全:如防泄漏保護、權(quán)限保護、數(shù)據(jù)管理、數(shù)據(jù)加密等等;二是邏輯安全,也就是確保被授權(quán)的程序和數(shù)據(jù)的訪問是根據(jù)用戶的身份的認證授予的;另一種方式是影響非常大卻容易被忽略——物理安全,云計算也是有服務(wù)器、IDC,必須只有授權(quán)且允許的人員才能物理接觸。
那么如何判定云計算企業(yè)都在這三方面下足功夫了呢?總不能邀請所有用戶和網(wǎng)友入場駐點定期勘察甚至做實施直播吧?再說那樣也不符合安全保護規(guī)定。不過,這些安全措施可以通過國際通用的安全認證、企業(yè)的安全承諾和自主發(fā)起的執(zhí)行措施等指標來判定。
數(shù)據(jù)安全的硬指標:標準認證
專業(yè)的結(jié)果必須有專業(yè)的規(guī)范,ISO就是其中之一。
作為一個國際標準化組織(International Organization for Standardization,ISO),ISO發(fā)布了第一個信息技術(shù)服務(wù)管理體系標準,也就是ISO20000,除此外還有業(yè)務(wù)連續(xù)性管理體系ISO22301等,這些均適用于云計算數(shù)據(jù)安全的標準。除此之外 ,還有PCI安全標準委員會制定的PCI數(shù)據(jù)安全措施——PCI DSS、CSA STAR云安全國際認證外,以及一些國家和區(qū)域的本地標準,例如新加坡 MTCS 第 3 級認證、德國C5、德國C5(基礎(chǔ)與附加條款)、信息安全等級保護三級認證、中央網(wǎng)信辦云安全審查等。
簡單羅列目前主流的幾家云計算企業(yè)AWS、微軟Azure、阿里云、騰訊云和華為云的認證情況。這些標準對技術(shù)和要求有強制性要求,如果滿足不了是無法獲得認證的。為了良好區(qū)分各家云計算企業(yè)在認證的不同,我們?yōu)槊總€指標10分,每獲得一個認證就可加10分,最后通過總分判別各家獲得的認證差異。
當然,安全標準認證只是數(shù)據(jù)安全的基礎(chǔ)保障,只是個硬指標。執(zhí)行是否到位是認證的關(guān)鍵,所以再看兩個軟指標:人和服務(wù)。
數(shù)據(jù)安全的軟實力:態(tài)度決定一切
如果比人數(shù),那沒意義,可以看公司管理者對安全的態(tài)度。以下是各個公司對安全的態(tài)度,尤其是高層的態(tài)度。因為高層的態(tài)度決定了下面的執(zhí)行,而且高管們不只是管理,也要站出來把立場講明白,要不然市場和用戶不知道。
同上,每個指標10分,最后通過總分判別各家的管理差異。好像,唯一沒表態(tài)的是微軟Azure。
數(shù)據(jù)安全的最后一公里:執(zhí)行落地
有戰(zhàn)略、有規(guī)范、就看具體落地執(zhí)行了,再好的制度,如果不落地也是零。所以,執(zhí)行非常關(guān)鍵。再看看各家對數(shù)據(jù)安全保護是怎么做的。如何判斷執(zhí)行力呢?可以通過云計算企業(yè)自主發(fā)布的安全白皮書等安全舉措來判定。
繼續(xù)同上,每個指標10分,最后通過總分判別各家的執(zhí)行力。
有2家公司拿到了10分,三家公司拿了20分。雖然只有兩個分數(shù)等級,但是仔細比較來看,各家的執(zhí)行力度和持久性各不相同。詳細參見表格。
匯總來看
AWS:認證60+企業(yè)態(tài)度10+執(zhí)行落地20=90分;
微軟Azure:認證80+企業(yè)態(tài)度=0+執(zhí)行落地20=100分;
阿里云:認證100+企業(yè)態(tài)度=10+執(zhí)行落地20=130分;
騰訊云:認證0+企業(yè)態(tài)度=10+執(zhí)行落地20=100分;
華為云:認證60+企業(yè)態(tài)度=10+執(zhí)行落地10=80分;
總之,數(shù)據(jù)安全很重要,各家云計算企業(yè)多努力。