“過度信任”時(shí)代已經(jīng)結(jié)束，誰來衡量云服務(wù)隱私與數(shù)據(jù)安全保護(hù)的“度”?

用戶曾經(jīng)對(duì)云的“過度信任”隨著一次次數(shù)據(jù)安全事件的披露和爆發(fā)而不斷被撼動(dòng)。只看2017年上半年：

5月底，阿里云被網(wǎng)友指責(zé)監(jiān)控其數(shù)據(jù)，并提醒其他用戶刪除阿里云鏡像中的特定文件。對(duì)此阿里云發(fā)出聲明，表示阿里云不會(huì)查看用戶的秘鑰和服務(wù)器證書，也不會(huì)監(jiān)測(cè)用戶服務(wù)器的端口流量。阿里云事件發(fā)生后不久，又有網(wǎng)友發(fā)帖稱騰訊云以安全的名義對(duì)用戶的數(shù)據(jù)進(jìn)行侵犯，并演示了相關(guān)操作信息。

半個(gè)月內(nèi)發(fā)生了兩起類似事件，在IT圈迅速傳播，引發(fā)了業(yè)界的熱議，在技術(shù)“大蝦”們忙著尋找真相的同時(shí)，更多的“小白”用戶則表示了深深的擔(dān)憂。大家普遍認(rèn)為，在云計(jì)算和大數(shù)據(jù)時(shí)代，數(shù)據(jù)安全風(fēng)險(xiǎn)不斷增加，安全隱患好似一個(gè)定時(shí)炸彈，不知道究竟什么時(shí)候會(huì)引爆。

一直以來，國(guó)內(nèi)云服務(wù)商高度重視用戶數(shù)據(jù)安全，很多企業(yè)甚至喊出了“用戶隱私第一”、“保護(hù)用戶數(shù)據(jù)是生命線”這樣的口號(hào)。然而，這依然難以消除用戶的重重顧慮。

身處通信、金融、能源、教育、醫(yī)療、航空、電商、游戲等等諸多行業(yè)領(lǐng)域的用戶帶著憂慮在云上“顫抖”：面對(duì)云計(jì)算引入的新的數(shù)據(jù)安全風(fēng)險(xiǎn)，云服務(wù)商能否實(shí)現(xiàn)對(duì)于用戶數(shù)據(jù)安全保護(hù)的承諾?如何確保用戶在“云”上得到的數(shù)據(jù)安全服務(wù)是有效的?

另一方面，云服務(wù)商也由于標(biāo)準(zhǔn)規(guī)范的缺失在承擔(dān)損失。2017年6月，國(guó)內(nèi)首例涉及云服務(wù)器責(zé)任認(rèn)定的侵權(quán)案一審落定，阿里云因未對(duì)其上涉及游戲侵權(quán)的用戶采取措施，而被樂動(dòng)卓越起訴，被北京市石景山區(qū)人民法院裁定承擔(dān)侵權(quán)責(zé)任，賠償26萬元。這一事件也引發(fā)了在社會(huì)立法與行業(yè)標(biāo)準(zhǔn)層面的新爭(zhēng)議：云計(jì)算這一新生互聯(lián)網(wǎng)產(chǎn)物是否適用于舊法?云服務(wù)提供商是否屬于傳統(tǒng)法律意義上的網(wǎng)絡(luò)服務(wù)提供者?如何衡量網(wǎng)絡(luò)隱私安全保護(hù)的“力”與“度”?

從標(biāo)準(zhǔn)做起 構(gòu)建云服務(wù)用戶數(shù)據(jù)保護(hù)能力“行業(yè)公約”

云時(shí)代的用戶數(shù)據(jù)安全問題如此牽動(dòng)人心，即使云服務(wù)商不斷提升自身平臺(tái)的安全水平，并作出相應(yīng)的安全承諾，仍然收效甚微。由于云平臺(tái)上用戶數(shù)據(jù)的所有權(quán)和保管權(quán)出現(xiàn)了分離，一方面，用戶不僅要關(guān)心數(shù)據(jù)存儲(chǔ)環(huán)境的安全，同時(shí)還要時(shí)時(shí)擔(dān)憂數(shù)據(jù)是否會(huì)被其他組織查看甚至挪用，另一方面，云服務(wù)商也對(duì)用戶數(shù)據(jù)保護(hù)的范圍界定而迷茫。

面對(duì)云數(shù)據(jù)安全市場(chǎng)存在的亂象和在數(shù)據(jù)安全上的切實(shí)需求，加速建設(shè)云計(jì)算用戶數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)架構(gòu)與信任體系勢(shì)在必行。國(guó)內(nèi)權(quán)威云計(jì)算評(píng)估體系——可信云即將在 7月25日-26日召開的“2017可信云大會(huì)”上正式發(fā)布《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》和《云服務(wù)用戶數(shù)據(jù)保護(hù)能力評(píng)估方法 第1部分：公有云》兩項(xiàng)重磅級(jí)標(biāo)準(zhǔn)。

18類38項(xiàng)指標(biāo)，全面升級(jí)構(gòu)建“行業(yè)公約”

《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》從用戶角度提出云服務(wù)用戶數(shù)據(jù)保護(hù)保護(hù)能力參考框架，從事前防范、事中保護(hù)、事后追溯全生命周期流程，抽象提煉出數(shù)據(jù)安全的基本屬性，構(gòu)建18大類的38項(xiàng)數(shù)據(jù)安全保護(hù)能力指標(biāo)，打造云服務(wù)用戶數(shù)據(jù)保護(hù)能力“行業(yè)公約”，助力云服務(wù)商在達(dá)到數(shù)據(jù)“可信”的基礎(chǔ)之上，實(shí)現(xiàn)對(duì)數(shù)據(jù)“安全”保護(hù)能力的全面提升。

聚焦“重災(zāi)區(qū)”，開啟公有云全方位評(píng)估

《云服務(wù)用戶數(shù)據(jù)保護(hù)能力評(píng)估方法 第1部分：公有云》與《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》配套使用，針對(duì)公有云用戶數(shù)據(jù)安全保護(hù)“痛點(diǎn)”，對(duì)云服務(wù)商在提供公有云服務(wù)時(shí)應(yīng)具備的用戶數(shù)據(jù)安全保護(hù)能力要求和評(píng)估方法進(jìn)行規(guī)范。通過多種評(píng)估手段，公正客觀考察云服務(wù)商各項(xiàng)數(shù)據(jù)保護(hù)能力指標(biāo)的完備性、規(guī)范性和真實(shí)性。

從“用戶視角”出發(fā)，解用戶所憂

持不同的視角看待云計(jì)算安全，其范疇、內(nèi)涵、關(guān)鍵落點(diǎn)都不盡相同。國(guó)家視角站在國(guó)家安全的高度，全面考慮安全性和可控性，重點(diǎn)關(guān)注安全管理責(zé)任、數(shù)據(jù)主權(quán)、跨境流動(dòng)等問題。企業(yè)視角從維護(hù)業(yè)務(wù)穩(wěn)定運(yùn)轉(zhuǎn)不出差錯(cuò)的角度，重點(diǎn)關(guān)注企業(yè)是否具備與本身等級(jí)相匹配的安全技術(shù)能力和管理手段。用戶視角從用戶的切身利益出發(fā)，重點(diǎn)關(guān)注將數(shù)據(jù)托管在云端后用戶所感知到的安全問題和風(fēng)險(xiǎn)。

云服務(wù)用戶數(shù)據(jù)保護(hù)能力標(biāo)準(zhǔn)正是開創(chuàng)性的從用戶視角出發(fā)，將用戶對(duì)數(shù)據(jù)的安全需求放在第一位，解用戶之憂。通過提煉用戶關(guān)切的一系列針對(duì)云服務(wù)商的數(shù)據(jù)保護(hù)能力的要求，搭建云服務(wù)商和用戶之間溝通信任的橋梁。

獲得業(yè)內(nèi)廣泛支持，奠定行業(yè)自律基石

值得一提的是，《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》和《云服務(wù)用戶數(shù)據(jù)保護(hù)能力評(píng)估方法 第1部分：公有云》兩項(xiàng)標(biāo)準(zhǔn)在研制過程中，得到了包括UCloud、騰訊、阿里巴巴、京東、華為、中國(guó)電信、網(wǎng)宿、美團(tuán)、金山云、中國(guó)移動(dòng)、中國(guó)聯(lián)通、百度、浪潮、網(wǎng)易、360、青藤云安全、世紀(jì)互聯(lián)等業(yè)內(nèi)眾多云服務(wù)商和安全廠商的大力支持和推動(dòng)。云服務(wù)用戶數(shù)據(jù)保護(hù)能力標(biāo)準(zhǔn)一方面為云服務(wù)商建立規(guī)范完備的用戶數(shù)據(jù)保護(hù)體系、保障用戶數(shù)據(jù)安全提供指導(dǎo)，另一方面為第三方行業(yè)自律組織評(píng)估云服務(wù)商用戶數(shù)據(jù)安全保護(hù)能力提供依據(jù)，同時(shí)也為用戶選擇數(shù)據(jù)得到良好保護(hù)的云計(jì)算服務(wù)提供參考，以此規(guī)范和提升行業(yè)安全能力，合力促進(jìn)安全生態(tài)形成。

保護(hù)你的數(shù)據(jù)奶酪，規(guī)范云服務(wù)用戶數(shù)據(jù)保護(hù)能力提供。

建立云計(jì)算“新信任時(shí)代”，7月26日可信云大會(huì)云安全論壇期待您的到來!