大家下午好,我是封莎来自中国信通院,是这一次可信云的主办方,首先特别欢迎大家来到云安全论坛,下面我就给大家介绍一下中国信息通信研究院在云计算安全方面的一些研究成果。首先我们来看一下当前的云市场发展情况,当前云计算、大数据人工智能代表的新一代的信息技术发展,并且各领域、各行业、跨界融合已经成为创新最活跃、渗透最广泛、影响最深远的新一轮科技革命。我们可以看一下这两幅图在2016年的时候,全球的公有云服务市场规模就达到了2千亿美元,增速是17.4%,预计到2020年将达到了3800亿美元,年增长率也是达到了15%以上。你可以看到云计算的服务市场类型不断的创新,市场规模和用户量持续扩大,已经替代了传统IT模式,成为信息系统的主要的架构方式。 以上是全球的情况,这一张是我国的云市场发展情况,保持发展的态势前景也是非常的看好,我国云计算的市场在2017年规模达到了291亿元,根据Gartner预测到2020年会达到699亿元规模,并且保持30%以上的增长率。
我们也可以看到在这云计算迅猛发展的同时,重大安全事故也是频发也取得了巨大的关注。从2015年到现在2017年比较严重的网络冲突和故障,在2015年阿里云因为云服务器的故障持续7小时的中断服务。在2016年和2017年分别亚马逊的AWS是发生了两次时间非常长的中断事故,包括谷歌的云还有微软的Engine这一些全球主要的厂商也都发生过服务中断的事故。
下面是国外主要云厂商云服宕机的统计,尤其是在2017年现在微软的宕机时间达到了740分钟这样一个体量,所以说云服务的可用性是现在一个非常重要的指标。所以我们可以看到,除了宕机的问题以外呢,云计算的数据安全问题也是日益凸显,我总结了几个比较典型的云计算主要的安全事件,包括2012年的DR OPBOX2016年超过了6800万条的用户帐号发生了数据泄露。2014年苹果ICLOUD众多好莱坞明星隐私信息的泄露,2016年也是发生了数百万网络托管的数据泄露。在2017年亚马逊AWS也是发生了共和党数据库美国2亿选民信息泄露的非常严重的事件。
所以我们说云计算里面的数据安全,是一个得到大家普遍的重视。下面我们来分析一下云计算安全和传统的安全系统的安全有什么区别。首先我们看一下传统的IT系统,它的用户和服务商,所以对数据安全保护的目标利益是一致的。而在云计算的架构之下呢,用户各服务商是发生了分离,数据的所有者保管者分离,数据的所有保管权分离,这样会必然发觉一些新的问题我总结了一下,大概有以下三要,一类是传统,因为云计算说到底还是信息系统。第二就是不涉及切身的利益,云服务商在运营过程中会容易忽略,但是会长期潜在的一些未在的安全问题。第三就是说云服务商可能为了自己的利益损害用户数据安全,比如说用户用来大数据分析、机器学习。或者在用户合同到期后未完成删除,还有就是未经数据的同意提供给第三方。
不仅如此我们也看到在云计算数据安全保护的方面,也出现了一些新的状况,我们来举具体的事例,今年5月底阿里云额网络职责,监控及数据,并且它还提醒其他的用户删除阿里云特定的文件对此外阿里云发表了声明,表示他们不会用这一件信息以及端口。
在这一件事不久有人发问了腾讯云以安全的名义对用户的数据进行侵犯。短短两个月时间引起了行业的注意,对于用户是否保障云安全是天然不侵犯感。另外一个方面就是上个月国内首先例涉及云服务器责任认定的侵权案一审定,还有就是阿里云树大招风。这样我们可以看到从用户的角度还是从云服务商的角度都在缺乏着一个对云上用户数据的监管或者说是行业标准和规范的需求,都存在着这样一个急切的需求。
急需从用户的角度出发,对云服务安全数据保护力度进行一个规范。这是我们的一个研究成果吧,就是我们从用户的角度,对云服务商需要具备的一个用户数据安全保护的基本属性,我们做了分类,首先是基础属性,就是大家都知道保密性、可用性、完整性,另外还有特有的安全属性,包括持久性、隐私性、知情权、迁移安全性、销毁安全性还有返还安全性。此外在这基础之上还有一些扩展的属性,比如说数据访问的安全性、内部人员的管控、应急响应、安全审计、用户投诉和反馈,数据防窃取、入侵防范、恶意代码等等服务可审查性。我们总结了这一些基本的属性。
在这属性的基础之上呢,我们又从更加的细化、然后细化出了对于云上用户数据安全保护的能力指标,在基础能力保密性我们总结出了以下这几点指标,首先是隔离安全性还有存储保密性还有加密算法的可配置、加解密性能、第三方加密支持、还有传输保密性等等,具体的指标我们就不给大家一一的介绍了。我们在每一位来宾的座位上都放了我们云安全特刊,在这特刊里,我们有一个详细的图表,对属性具体的定义做了一个详细的说明,大家可以看一下特刊,另外在我们展厅的侧面做了一个很大的背景墙,在这墙上也是图表的方式对我们一些标准主要的指标做了详细的说明,大家也可以参照一下。
下面是基础能力构建中的可用性,就是包含了数据可用性这一个指标,还有就是完整性里面包括存储完整。云数据特有能力构建其中持久性包括的指标有存储的持久性、本地备份和恢复、异地悲愤和恢复、双活数据中心构建、异地实时备份这样几条具体的指标。
还有数据隐私性、知情性、迁移安全性等等,其中迁移安全性包括数据迁移安全和业务连续性这两项指标。特有能力包括返回安全性、销毁安全性,其中销毁安全性数据可销毁性还有禁止数据恢复的两条指标。
下面扩展能力构建,扩展能力构建数据访问安全性里面,包括了数据访问授权、访问权限最小化、身份鉴别、鉴别信息、暴力破解防范、异常行为监测这样几条具体指标。 还有数据防窃取性内部人员管控应急响应,以上几条扩展能力还有安全审计就是常规的安全审计还有自动化安全审计,用户投诉和反馈还有服务可审查性也是扩展里面的具体的要求。以上就是我们标准的主要内容。
下面我给大家介绍一下云服务用户数据安全保护的能力构建参与方,从这我们角度来看包括以下几个方面,首先是国家和行业的主管部门,可能就是包括网信办、包括工信部相关行业的主管部门,另外第三方行业自律组织,第三就是云服务提供商这是一个主体,最后是云安全的服务提供商是专业的为云计算、服务来提供安全的解决方案一些居第的安全提供商。
下来是云服务用户数据的安全视角,谈到这视角,因为不同的视角看待的云计算的安全它是内涵范畴还有落脚点都是完全不同的,所谓的国家视角就是说站在国家安全的高度,要全面的考虑一个安全性和可控性,重点是关注安全的管理责任、数据主权跨境流动的等等恩情,企业的视角是从维护稳定,重点是关注是否具备本身及相匹配的安全能力和管理手段。 接下来是用户的视角,就是从用户的切身利益重点关注将数据托管在云端后,用户所感知到的一个问题和风险。
所以我们就是从用户的视角出发,制订了云服务用户数据保护能力的参考框架、云服务用户数据保护能力评估办法。这两项在今天可信云主论坛上做了一个发布。规范的对象是云服务的用户数据,什么是云服务的用户数据它的定义就是指云计算服务用去在云计算服务过程中上传、传输处理和产生的数据,而不包括云服务的眼生数据,和云服务提供商的数据,我们的标准是为建立规范完备的数据体系,保障用户数据安全提供指导,其次是为第三方的行业组织来评估云服务商用户的安全保护,最后是为用户选择数据得到良好保护的云计算服务提供参考。
我们做这一项的工作目的也是想要规范和提升行业的能力,来以此合理促进安全生态的形成。我们是从事前防范、事中保护、还有事后追溯的全生命的周期的流程,提出18位32项基本的用户保护的指标,这一些指标里面有必选的指标也有可选的指标。必选是说企业必须具备一个相应的指标要求的数据安全保护的能力。而可选的指标是必须的,但是我们都能够拿到选指标的要求,可以证明这企业有一些更全面和完备的数据保护能力的水平。
下一步我们会在标准基础之上,将要开始第一批的云服务数据保护能力的评估,也非常的希望在座的云服务厂商、云服务提供商能够关注我们这一项评估,参与我们这一项评估。这一项评估是想助力云服务商信用可信的基础之上,实现对数据安全的保护能力的全面提升。这一项的标准制定工作得到众多的云服务厂商和云服务安全提供商的大力支持和参与,在此对他们表示一定的感谢。像腾讯云、UCloud积极的参与云数据保护的能力。
好,我的介绍就到这里,谢谢大家。