扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
一、云计算服务数据安全风险
二、国内外云计算服务数据安全相关政策法规
随着云计算技术和产业的不断发展,很多国家和地区纷纷制定云计算服务数据安全相关法律法规和政策标准,以推动云计算的健康有序发展,在云上数据责任权属、云上数据安全监管、云服务商安全能力等方面进行探索和实践。
(一)欧盟高度重视云平台数据安全问题
2018 年,欧盟发布《通用数据保护条例》(GDPR)(以下简称《条例》),对云平台进行了相应的规制。《条例》要求云服务提供商必须采取适当的技术和组织措施来确保数据的安全,包括数据加密、匿名化、访问控制等;同时,《条例》强调数据主体的权益,如知情权、访问权、更正权、删除权等,云服务提供商需要确保这些权益得到保障。《欧洲云计算战略》则是一个更广泛的政策文件,它提出了欧洲在云计算领域的发展目标和策略,包括促进云计算创新、提高云服务的安全性和可信度、保护用户数据等;同时,推动建立透明的认证和评估机制,让用户能够信任和选择符合高标准的云服务提供商。
(二)美国通过政策文件和技术指南规制云计算数据安全
早在 2011 年,美国就启动了联邦云计算风险与授权管理项目(FedRAMP),规定只有中、低安全风险的系统和数据才能迁移上云,并发布了中、低影响级别的安全控制基线。随着对云安全信心的提升,云服务应用范围扩大到涉密系统和敏感信息,2016 年联邦云计算风险与授权管理项目提出了高影响级别的安全控制基线。强调云计算实施的安全性和透明度,并要求建立相应的安全管理制度和应急管理制度,以确保云平台的正常运作和数据安全。2022 年 1 月,美国白宫发布《加强国家安全、国防部和情报系统网络安全》,明确要求构建国家安全系统云技术网络安全能力,要求国家安全系统委员会制定并发布与国家安全系统委员会云迁移和运营相关的最低安全标准和控制指南。同年 3 月,美国国务院情报研究局发布《国务院情报研究局网络安全战略》,强调加快云计算环境迁移,改进网络安全风险管理。2022 年美国联邦网络安全和基础设施安全局还发布一系列技术指南,包括《安全云业务应用程序技术参考框架》《可信互联网连接 3.0:云计算用例》等,加强云计算环境下的安全能力,确保云计算环境下的数据安全。
(三)我国在云计算数据安全的顶层设计和制度设计不断完善
我国已发布一系列云计算数据安全相关的政策法规和标准指南,这些文件对云计算服务商和云计算用户都提出了明确的要求,并重点关注云安全监管和评估等方面。
1. 政策法规层面
2014 年 12 月,中央网信办发布《关于加强党政部门云计算服务网络安全管理的意见》,明确提出了党政部门提供给服务商的数据、设备等资源,以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。服务商应保障党政部门对这些资源的访问、利用、支配,未经党政部门授权,不得访问、修改、披露、利用、转让、销毁党政部门数据;在服务合同终止时,应按要求做好数据、文档等资源的移交和清除工作。2019 年 7 月,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部和财政部联合发布了《云计算服务安全评估办法》,该《办法》明确了云计算服务安全评估的重点,包括对云服务商人员背景及稳定性的评估,特别是能够访问客户数据、能够收集相关元数据的人员;客户迁移数据的可行性和便捷性等要求。通过这些评估,旨在提高党政机关、关键信息基础设施运营者在采购和使用云计算服务的安全可控水平,降低采购和使用云计算服务带来的数据安全风险。
2. 标准指南层面
目前,国家已发布云计算安全相关标准共 5 项,包括《云计算服务安全指南》《云计算服务安全能力要求》《云计算安全参考架构》《云计算服务安全能力评估方法》《云计算服务运行监管框架》,每项标准均对数据安全提出了不同层面的要求。
一是《信息安全技术 云计算服务安全指南》(GB/T 31167-2023)在 2014 版标准的基础上进行了修订,提出了客户采用云计算服务的安全管理基本原则,给出了采用云计算服务的生命周期各阶段的安全管理和技术措施,提出了云计算服务安全管理原则和相关责任划分,标准针对数据移交范围、数据完整性验证、数据安全删除等方面对云服务商提出了相关要求。
二是《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2023)在 2014 版标准的基础上进行了修订,规定了云服务商提供云计算服务时应具备的安全能力,适用于对云计算服务能力的建设、监督、管理和评估,标准设置专章“数据安全保护”,从通用数据安全、媒体访问和使用、剩余信息保护、数据使用保护、数据共享保护、数据迁移保护等方面提出了数据加密、数据备份、数据脱敏、数据防泄漏、数据防篡改等要求。
三是《信息安全技术 云计算安全参考架构》(GB/T 35279-2017)针对云服务级别协议所具有的动态性及多方参与的特点导致对责任认定不清、云计算的强大计算与存储能力被非法利用等问题,规定了云计算安全参考架构,描述了云计算角色,规范了各角色的安全职责、安全功能组件及其关系,适用于指导所有云计算参与者在进行云计算系统规划时对安全的评估与设计。
四是《信息安全技术 云计算服务安全能力评估方法》(GB/T 34942-2017)提出了开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。该标准为第三方评估机构对云服务商提供云计算服务的安全能力进行评估提供了依据,也为云服务商在对其云计算服务安全能力进行自评估提供了参考。
五是《信息安全技术 云计算服务运行监管框架》(GB/T 37972-2019)规范了政府部门云服务客户在使用云计算服务的过程中的监管框架、监管过程及监管方式。同时,标准为云服务商制定和实施云计算服务持续监管策略和计划提供指导,也为监管方进行持续监管活动提供指导。该标准采用与联邦云计算风险与授权管理项目(FedRAMP)不同的云计算服务持续监管方式,主要从云计算服务审查或检查的视角制定云计算服务运行监管过程,定义了云服务商和运行监管方两个角色,并明确了安全控制措施有效性运行监管、重大变更监管和应急响应监管三个过程。
三、云计算服务数据安全工作建议
持续提升云计算服务数据安全防护能力,需要国家、行业的监管引领下,科研机构、高校、云服务商等方面共同参与,协力合作。
(一)加快云数据安全相关标准研制和试点推广工作
一是按照数据安全工作急需、云技术发展急用的原则,研制云计算服务数据安全参考框架、云计算服务数据安全能力成熟度模型、云计算服务数据风险评估方法、云计算服务数据接口安全等标准。二是提升云计算服务安全标准的有效性和可操作性,解决云计算服务数据安全突出风险,探索云计算服务数据安全难点问题标准化路径,选取云服务商、第三方合作商、云评估机构等典型组织,开展标准适用性和实施效果评价;在标准应用实践中全程进行跟踪,及时发现问题、总结经验、完善标准,推动云计算服务数据安全标准化工作高速、高质量发展。
(二)制定出台云计算服务数据安全相关制度文件,加强云计算服务数据安全相关监督管理
针对云服务商和云服务用户的数据安全主体责任不清、未对重要数据上云进行评估保护等新问题,国家应出台云计算服务数据管理办法、标准合同模板等文件。一是指导云服务商对云平台上的数据进行分类分级管理,重点保护重要数据和个人信息,对云平台收集和承载数据分别建立管理机制,并通过云平台提供数据分类分级保护功能服务;二是建立云服务用户分类管理机制,对党政机关、关键信息基础设施运营者使用云计算服务加强安全风险提醒,对其部署在云平台上的信息系统和数据加强安全保护;三是在合同模板中明确云服务商、云服务用户和第三方服务商的数据安全责任。
(三)以关键环节和关键技术为突破点,完善云计算服务数据安全技术体系
应加强在云计算服务过程中的数据收集、存储、使用、加工、传输、提供、公开等关键环节的安全保障能力建设,强化云上数据的审计监测、安全预警、应急处置和追踪溯源能力。目前,数据防泄露、数据库安全防护等技术发展相对成熟,数据识别、分类分级、数据脱敏、数据权限管理等基础技术以及隐私合规检测、数据滥用分析、隐私计算、数据流转分析等关键技术还相对薄弱,应积极推动产学研用结合,加强基础、关键技术在云计算服务数据安全防护中的研究和应用推广。
数据作为关键生产要素的价值日益凸显,随着云平台广泛应用、云计算服务的深入发展,作为数据流通的重要基础设施,把安全贯穿云计算服务数据管理的全过程,严守数据安全底线,对带动数据要素高质量供给、合规高效流通具有重要作用。
(本文刊登于《中国信息安全》杂志2024年第2期)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情