應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

在保障數(shù)據(jù)安全方面,AWS、微軟、阿里、騰訊、華為是怎么做的?

2017-12-21 11:10 安全那些事

導(dǎo)讀:數(shù)據(jù)是信息化時(shí)代的“石油”。 在互聯(lián)網(wǎng)經(jīng)濟(jì)時(shí)代,數(shù)據(jù)是新的生產(chǎn)要素,是基礎(chǔ)性資源和戰(zhàn)略性資源,也是重要生產(chǎn)力。因此數(shù)據(jù)是構(gòu)建數(shù)字經(jīng)濟(jì)的關(guān)鍵因素。

  數(shù)據(jù)是信息化時(shí)代的“石油”。 在互聯(lián)網(wǎng)經(jīng)濟(jì)時(shí)代,數(shù)據(jù)是新的生產(chǎn)要素,是基礎(chǔ)性資源和戰(zhàn)略性資源,也是重要生產(chǎn)力。因此數(shù)據(jù)是構(gòu)建數(shù)字經(jīng)濟(jì)的關(guān)鍵因素。

  那么數(shù)據(jù)在哪里呢?在移動(dòng)互聯(lián)網(wǎng)、云計(jì)算普及的今天,云計(jì)算平臺(tái)數(shù)據(jù)重要集中存儲(chǔ)、處理和應(yīng)用平臺(tái),云計(jì)算企業(yè)成為最大的數(shù)據(jù)中心。因此,安全性更是不言而喻。

  中央領(lǐng)導(dǎo)特別強(qiáng)調(diào),切實(shí)保障國(guó)家數(shù)據(jù)安全,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù),強(qiáng)化國(guó)家關(guān)鍵數(shù)據(jù)資源保護(hù)能力,增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力。今年6月1日正式實(shí)施《網(wǎng)絡(luò)安全法》特別對(duì)數(shù)據(jù)安全組明確規(guī)定和規(guī)范。

  云計(jì)算企業(yè)該如何保障數(shù)據(jù)安全的呢?又是如何做的呢?

  怎么保障云計(jì)算的數(shù)據(jù)安全?

  云服務(wù)主要是通過(guò)三種方式來(lái)保證數(shù)據(jù)安全: 一是技術(shù)安全:如防泄漏保護(hù)、權(quán)限保護(hù)、數(shù)據(jù)管理、數(shù)據(jù)加密等等;二是邏輯安全,也就是確保被授權(quán)的程序和數(shù)據(jù)的訪問(wèn)是根據(jù)用戶的身份的認(rèn)證授予的;另一種方式是影響非常大卻容易被忽略——物理安全,云計(jì)算也是有服務(wù)器、IDC,必須只有授權(quán)且允許的人員才能物理接觸。

  那么如何判定云計(jì)算企業(yè)都在這三方面下足功夫了呢?總不能邀請(qǐng)所有用戶和網(wǎng)友入場(chǎng)駐點(diǎn)定期勘察甚至做實(shí)施直播吧?再說(shuō)那樣也不符合安全保護(hù)規(guī)定。不過(guò),這些安全措施可以通過(guò)國(guó)際通用的安全認(rèn)證、企業(yè)的安全承諾和自主發(fā)起的執(zhí)行措施等指標(biāo)來(lái)判定。

  數(shù)據(jù)安全的硬指標(biāo):標(biāo)準(zhǔn)認(rèn)證

  專業(yè)的結(jié)果必須有專業(yè)的規(guī)范,ISO就是其中之一。

  作為一個(gè)國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO),ISO發(fā)布了第一個(gè)信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn),也就是ISO20000,除此外還有業(yè)務(wù)連續(xù)性管理體系ISO22301等,這些均適用于云計(jì)算數(shù)據(jù)安全的標(biāo)準(zhǔn)。除此之外 ,還有PCI安全標(biāo)準(zhǔn)委員會(huì)制定的PCI數(shù)據(jù)安全措施——PCI DSS、CSA STAR云安全國(guó)際認(rèn)證外,以及一些國(guó)家和區(qū)域的本地標(biāo)準(zhǔn),例如新加坡 MTCS 第 3 級(jí)認(rèn)證、德國(guó)C5、德國(guó)C5(基礎(chǔ)與附加條款)、信息安全等級(jí)保護(hù)三級(jí)認(rèn)證、中央網(wǎng)信辦云安全審查等。

  簡(jiǎn)單羅列目前主流的幾家云計(jì)算企業(yè)AWS、微軟Azure、阿里云、騰訊云和華為云的認(rèn)證情況。這些標(biāo)準(zhǔn)對(duì)技術(shù)和要求有強(qiáng)制性要求,如果滿足不了是無(wú)法獲得認(rèn)證的。為了良好區(qū)分各家云計(jì)算企業(yè)在認(rèn)證的不同,我們?yōu)槊總€(gè)指標(biāo)10分,每獲得一個(gè)認(rèn)證就可加10分,最后通過(guò)總分判別各家獲得的認(rèn)證差異。

1_副本.jpg

2_副本.jpg

  當(dāng)然,安全標(biāo)準(zhǔn)認(rèn)證只是數(shù)據(jù)安全的基礎(chǔ)保障,只是個(gè)硬指標(biāo)。執(zhí)行是否到位是認(rèn)證的關(guān)鍵,所以再看兩個(gè)軟指標(biāo):人和服務(wù)。

  數(shù)據(jù)安全的軟實(shí)力:態(tài)度決定一切

  如果比人數(shù),那沒(méi)意義,可以看公司管理者對(duì)安全的態(tài)度。以下是各個(gè)公司對(duì)安全的態(tài)度,尤其是高層的態(tài)度。因?yàn)楦邔拥膽B(tài)度決定了下面的執(zhí)行,而且高管們不只是管理,也要站出來(lái)把立場(chǎng)講明白,要不然市場(chǎng)和用戶不知道。

3_副本.jpg

4_副本.jpg

  同上,每個(gè)指標(biāo)10分,最后通過(guò)總分判別各家的管理差異。好像,唯一沒(méi)表態(tài)的是微軟Azure。

  數(shù)據(jù)安全的最后一公里:執(zhí)行落地

  有戰(zhàn)略、有規(guī)范、就看具體落地執(zhí)行了,再好的制度,如果不落地也是零。所以,執(zhí)行非常關(guān)鍵。再看看各家對(duì)數(shù)據(jù)安全保護(hù)是怎么做的。如何判斷執(zhí)行力呢?可以通過(guò)云計(jì)算企業(yè)自主發(fā)布的安全白皮書(shū)等安全舉措來(lái)判定。

  繼續(xù)同上,每個(gè)指標(biāo)10分,最后通過(guò)總分判別各家的執(zhí)行力。

5_副本.jpg

  有2家公司拿到了10分,三家公司拿了20分。雖然只有兩個(gè)分?jǐn)?shù)等級(jí),但是仔細(xì)比較來(lái)看,各家的執(zhí)行力度和持久性各不相同。詳細(xì)參見(jiàn)表格。

  匯總來(lái)看

  AWS:認(rèn)證60+企業(yè)態(tài)度10+執(zhí)行落地20=90分;

  微軟Azure:認(rèn)證80+企業(yè)態(tài)度=0+執(zhí)行落地20=100分;

  阿里云:認(rèn)證100+企業(yè)態(tài)度=10+執(zhí)行落地20=130分;

  騰訊云:認(rèn)證0+企業(yè)態(tài)度=10+執(zhí)行落地20=100分;

  華為云:認(rèn)證60+企業(yè)態(tài)度=10+執(zhí)行落地10=80分;

  總之,數(shù)據(jù)安全很重要,各家云計(jì)算企業(yè)多努力。