12月14日,第七届中国信息安全法律大会在上海开幕。此次大会以“主权、治理、密码、执法”为主题,由多家国家政府部门和中国网络空间安全协会联合指导,公安部第三研究所、西安交通大学信息安全法律研究中心、中国信息通信研究院互联网法律研究中心、北京邮电大学互联网治理与法律研究中心、中国网络空间战略研究所联合承办。
会上,中国云计算安全政策与法律工作组发布的《中国云计算安全政策与法律蓝皮书(2016)》指出,云服务面临的最大风险在于用户数据所有权与控制权的分离。用户将数据托管给服务商后,实际的数据控制权转移,对数据享有优先访问权的不是用户,而是云服务商。这种控制权旁落的状况无疑会对用户数据安全构成极大风险。
蓝皮书披露,近年来,云平台大规模数据泄露的安全事件不绝于耳,无论对于云服务商的业务持续性保障,还是用户自身的合法权益维护,数据安全始终是政策立法必须优先解决的问题,也是云安全中最为重要的内容。
蓝皮书认为,基于云计算分布式存储和处理的技术特点,云服务中的数据流动相较于传统IT 服务而言更为灵活和难于控制,用户无法知道数据确切的存放位置(在多数据中心的情况下,云服务商也无法获知某一特定时刻数据存储的具体位置),这显然对用户的数据安全是不利的。
西安交通大学信息安全法律研究中心副主任王玥告诉《法制日报》记者,云存储的这种特点可能产生与法律之间的冲突,从而给利益相关者带来不利的法律后果,例如欧盟法律要求提供存储服务的经营者在任何时候都应该知道个人数据的所在位置;各国法律都对能够存储和传输的信息类别进行了限制,当数据异地存储时,用户可能在不知道的情况下违反当地法律规定。
王玥介绍说,为了实现成本效益,在多租户共享资源的情况下,云风险常常与API、IP 动态分配、资源共享等技术特性相关,云服务商通常将用户数据集中存储,缺乏数据隔离措施和安全的API 控制,很可能产生数据混同和数据丢失的情况。即使云服务商承诺数据是安全可靠的,但对用户而言,目前缺乏有效的声明或审计证实这种可靠性的存在。在出现重大事故时,数据仍然面临损失后无法恢复的风险。
蓝皮书提出,虽然在传统的网络安全模型中,针对网络终端用户的安全接入和访问控制有成熟的解决方案,但云环境下数据传输将更为开放和多元化,传统物理区域隔离的方法无法有效保证远距离传输的安全性,电磁泄漏和窃听将成为更加突出的安全威胁。
“特别是在IaaS 中,服务商为每个用户提供自助服务管理界面,需要针对不同类型的租户提供差异化的用户身份认证管理授权策略,确保‘合法’用户访问正确的服务器,同时也需要在用户访问行为的日志记录和安全事件的报告分析方面提供差异化的解决方案,用户认证、网关、授权、审计方面因为差异性的存在而更为难于管理。薄弱的用户验证机制,或者是单因素的用户密码验证很可能产生安全隐患,而按需服务所具有的潜在安全漏洞又将导致各种未经授权的非法访问,从而产生新的安全风险。”王玥说。
据了解,中国云计算安全政策与法律工作组由公安部、工信部及省市等政府部门,中国科学院、中国社科院、西安交通大学、北京邮电大学、兰州大学等学术机构和英特尔(中国)公司、微软公司、思科(中国)公司、华为公司、中兴公司等中外云计算产业组织的专家学者组成。工作组旨在通过对云计算安全政策法律的研究,为国家决策提供政策法律建议,为云服务商进行业务创新、服务创新、最佳实践交流等提供政策支持和咨询服务。