这两天,贵阳大数据产业博览会如火如荼。数字经济中的数据安全再一次受到广泛关注。
特别是5月25日欧盟GDPR(一般数据保护条例)正式落地执行,对于Facebook这样曾经出售用户信息的公司将加以限制,强制其必须在征得用户许可后方能使用用户个人资料。
其实数据安全、数据保护早已引起了国家的重视。记得去年10月,也是在贵阳,阿里云与国家密码管理局联合为“云上贵州”提供了国家级的加密保护。
众所周知,数据安全、数据保护的核心在于两大方面,一是安全防护技术,二是人为安全意识。这两大领域都随着互联网甚至万物互联时代的到来,变得更加复杂,同时也更加重要。
合规
首先,任何一家数据服务提供商,特别是云计算公司,因为运营着众多企业的数据,责任重大,因此有义务必须符合当地的法律法规。
欧洲5月25日生效的GDPR《一般数据保护条例》非常明确的指出对于隐私信息的安全保护是非常重要的责任。企业需要针对隐私信息/个人信息部署/采取强有力的安全保护措施。而什么样的安全保护是有效的,就要依据安全行业的最佳时间来评判,比如TLS1.2的传输加密协议。同时也有很多安全公司和机构应势而为,将其产品、服务和能力拓展到隐私保护方面,比如SAP日前收购的Gigya,本身是提供身份管理服务的,他们拓展其服务到客户授权管理,有针对性的解决GDPR之下的客户授权管理的要求。但无论任何产品、服务、技术都只是针对GDPR的某一个要求,而非GDPR整体,需要企业从管理体系上系统化的完成隐私保护工作。
很明显,随着云计算、人工智能时代的来临,无论是企业还是个人的数据资产会越来越敏感,同时也会受到越来越严格的合规监管。
实际上,包括此前CSA(Cloud Security Alliance,云安全联盟)、ISO 22301业务连续性管理体系、德国C5附加条款,还有ISO27001、MTCS Level3和ISO 20000等,已经覆盖到物理安全,资产管理、运维管理、鉴权与访问控制、加密到秘钥管理等十多个个方面上百个基础要求,并且,对渗透测试周期、密码管理强度、客户安全管理灵活性提出更高的要求。
很显然,对于任何一家全球性云服务商而言,去完成这些合规都是必需的。
值得一提的是,阿里云不仅做到了,而且居于全球领先——阿里云是全球首家通过CSA、ISO 22301、德国C5附加条款合规审计的云服务商,也是亚太首家通过德国C5和ISO27001的合规审计,而在MTCS Level3和ISO 20000的合规方面做到中国首家。在国内,阿里云也是国家首批通过中央网信办云安全审查(增强级)和云等级保护的四级测评的云服务商。
这些数据表明,一家云服务商不仅要放眼全球市场,而且需要在数据安全机制、流程、技术等维度全面投入——因为每一次合规审计,都是对云安全体系的一次全盘检验。
安全机制流程
如果说合规是安全能力的体现,那么安全机制流程则是人为安全意识的风险防范。
举个例子,一年前爆发的“WannaCry”其实就是利用微软“Windows”系统的漏洞,自动扫描445文件共享端口,将所有磁盘文件复制后加密、锁死,黑客可以远程控制木马,向用户勒索比特币“赎金”。但这一系统漏洞微软早在事发前2个月就已经公布,而且与“WannaCry”同源的恶意软件在此之前也已经被曝光。
但就是这样一个“众所周知”的系统漏洞,竟然仍引起了全球范围内严重的病毒感染,这只能说明绝大部分企业甚至云计算服务商的安全意识薄弱。
事实上,一个健全的安全机制流程,需要对每一个数据安全环节、机制、真实性、有效性进行把关,从体系上进行完善。据悉,2016年阿里云通过 “全球最严”的数据安全审计的时候,审计方安永针对阿里云的数据安全审计过程,涉及阿里云内部产品、研发、安全、服务等团队日常流程机制中的核心控制点共217项,对每一项进行逐一验证,无一遗漏。
今天的企业IT,越来越多是部署在私有云+公有云的混合IT架构之上的,这就需要企业形成立体化的全方位的防御体系,从正面防御转向加强持续检测和快速响应的投入力度进行转变,变被动为主动智能安全运营。
阿里云总裁胡晓明
换句话说,全网安全可视化的基础是全网可见性,像阿里云就是覆盖所有IT layers,全网可见;与此同时,阿里云数据驱动的持续监控和深度学习、分析,形成自动感知、自动预警、自动止血和反击的闭环能力。
正因为此,“WannaCry”勒索病毒并没有对阿里云客户造成重大损失,因为阿里云早在3月份就第一时间通知用户,并推出一键修复工具,提醒用户把445端口关掉,而且在阿里云平台外围搭建防御层,为用户留出修复漏洞的时间。
技术和市场落地
事实上,阿里云在数据安全、保护和隐私方面的努力得到了客户的认可,包括海关、国税、政务云(国内前三强的浙江政务云、云上贵州、江苏政务网)、中石油、中石化等国家部委、央企这些对数据安全和数据隐私最为敏感的政企客户都选择了阿里云。原因很简单,因为阿里云值得信赖。
“从成立第一天起,阿里云就将数据安全和用户隐私当做第一原则。2015年7月,阿里云发布《数据保护倡议书》,明确表示绝对不碰客户数据。”阿里云总裁胡晓明在2018云栖大会武汉峰会上再一次强调了数据安全是阿里云的底线,重申了阿里云坚决不碰客户数据承诺:过去、现在、未来,阿里云都会严格遵守倡议书中的约定。
实际上,早在2014年,阿里云发布了V1.2版《安全白皮书》,将阿里云的安全体系、数据安全机制、公开透明地提供给技术开发者、企业客户和公众。发布之后,白皮书每年定期更新。2017年更推出业界首个企业云安全架构(Alibaba Cloud Security Compass)。
如今,阿里云一方面正在用加密计算,保护云服务器密钥和内部敏感信息,让云上更安全;另一方面,通过阿里云神龙云服务器,提供“芯片级”的数据保护,只有用户才能看到并使用自己的数据。
众所周知,在数据安全领域,国际通用的标准是从合规、安全机制流程、数据安全技术的应用、数据安全用户隐私的倡导与实践等维度来论证一家云服务商,而阿里云作为这一领域的全满贯选手,同时又在人工智能、物联网等重要趋势领域领跑业界,带动国内整个云计算产业的发展,显然是值得国人尊敬和骄傲的。
