12月14日,第七屆中國信息安全法律大會在上海開幕。此次大會以“主權、治理、密碼、執法”為主題,由多家國家政府部門和中國網絡空間安全協會聯合指導,公安部第三研究所、西安交通大學信息安全法律研究中心、中國信息通信研究院互聯網法律研究中心、北京郵電大學互聯網治理與法律研究中心、中國網絡空間戰略研究所聯合承辦。
會上,中國云計算安全政策與法律工作組發布的《中國云計算安全政策與法律藍皮書(2016)》指出,云服務面臨的最大風險在于用戶數據所有權與控制權的分離。用戶將數據托管給服務商后,實際的數據控制權轉移,對數據享有優先訪問權的不是用戶,而是云服務商。這種控制權旁落的狀況無疑會對用戶數據安全構成極大風險。
藍皮書披露,近年來,云平臺大規模數據泄露的安全事件不絕于耳,無論對于云服務商的業務持續性保障,還是用戶自身的合法權益維護,數據安全始終是政策立法必須優先解決的問題,也是云安全中最為重要的內容。
藍皮書認為,基于云計算分布式存儲和處理的技術特點,云服務中的數據流動相較于傳統IT 服務而言更為靈活和難于控制,用戶無法知道數據確切的存放位置(在多數據中心的情況下,云服務商也無法獲知某一特定時刻數據存儲的具體位置),這顯然對用戶的數據安全是不利的。
西安交通大學信息安全法律研究中心副主任王玥告訴《法制日報》記者,云存儲的這種特點可能產生與法律之間的沖突,從而給利益相關者帶來不利的法律后果,例如歐盟法律要求提供存儲服務的經營者在任何時候都應該知道個人數據的所在位置;各國法律都對能夠存儲和傳輸的信息類別進行了限制,當數據異地存儲時,用戶可能在不知道的情況下違反當地法律規定。
王玥介紹說,為了實現成本效益,在多租戶共享資源的情況下,云風險常常與API、IP 動態分配、資源共享等技術特性相關,云服務商通常將用戶數據集中存儲,缺乏數據隔離措施和安全的API 控制,很可能產生數據混同和數據丟失的情況。即使云服務商承諾數據是安全可靠的,但對用戶而言,目前缺乏有效的聲明或審計證實這種可靠性的存在。在出現重大事故時,數據仍然面臨損失后無法恢復的風險。
藍皮書提出,雖然在傳統的網絡安全模型中,針對網絡終端用戶的安全接入和訪問控制有成熟的解決方案,但云環境下數據傳輸將更為開放和多元化,傳統物理區域隔離的方法無法有效保證遠距離傳輸的安全性,電磁泄漏和竊聽將成為更加突出的安全威脅。
“特別是在IaaS 中,服務商為每個用戶提供自助服務管理界面,需要針對不同類型的租戶提供差異化的用戶身份認證管理授權策略,確保‘合法’用戶訪問正確的服務器,同時也需要在用戶訪問行為的日志記錄和安全事件的報告分析方面提供差異化的解決方案,用戶認證、網關、授權、審計方面因為差異性的存在而更為難于管理。薄弱的用戶驗證機制,或者是單因素的用戶密碼驗證很可能產生安全隱患,而按需服務所具有的潛在安全漏洞又將導致各種未經授權的非法訪問,從而產生新的安全風險。”王玥說。
據了解,中國云計算安全政策與法律工作組由公安部、工信部及省市等政府部門,中國科學院、中國社科院、西安交通大學、北京郵電大學、蘭州大學等學術機構和英特爾(中國)公司、微軟公司、思科(中國)公司、華為公司、中興公司等中外云計算產業組織的專家學者組成。工作組旨在通過對云計算安全政策法律的研究,為國家決策提供政策法律建議,為云服務商進行業務創新、服務創新、最佳實踐交流等提供政策支持和咨詢服務。
京公網安備 11010502049343號