當前，以云計算、大數據、人工智能等為代表的新一代信息技術迅猛發(fā)展，與各領域、各行業(yè)、跨界融合，已經成為創(chuàng)新最活躍、滲透最廣泛、影響最深遠的新一輪科技革命。我國高度重視云計算發(fā)展，發(fā)布了《國務院關于促進云計算創(chuàng)新發(fā)展培育信息產業(yè)新業(yè)態(tài)的意見》(國發(fā)〔2015〕5號)等政策措施。在政府積極引導和企業(yè)戰(zhàn)略布局等推動下，經過社會各界共同努力，云計算已逐漸被市場認可和接受。“十二五”末期，我國云計算產業(yè)規(guī)模已達1500億元人民幣，產業(yè)發(fā)展勢頭迅猛、創(chuàng)新能力顯著增強、服務能力大幅提升、應用范疇不斷拓展，已成為提升信息化發(fā)展水平、打造數字經濟新動能的重要支撐。

 在這樣的背景下，2017年4月，工信部發(fā)布了《云計算發(fā)展三年行動計劃(2017-2019年)》，目標到2019年，我國云計算產業(yè)規(guī)模達到4300億元人民幣。不過在云計算產業(yè)快速發(fā)展的同時也面臨諸多問題，除了突破關鍵技術、業(yè)務運行的可靠性，數據安全也是目前企業(yè)上云的關注點。

2018年“3·15消費者權益保護日”將至，關于產品、服務等質量話題，又在這個特殊的日子里被億萬消費者關注。與食品、手機、服裝、旅游等消費品不同，云計算是一種看不見摸不著的技術服務，它又會出現哪些讓用戶頭疼的問題，是否配備完善的法律保護呢?

云服務宕機損失巨大

隨著我國在云計算政策上大力推動，云服務提供商如雨后春筍般發(fā)展起來。在市場上，各種叫賣云主機、云存儲的廣告鋪天蓋地。電信運營商、傳統(tǒng)IDC服務商、專業(yè)的云服務商、互聯網巨頭，甚至傳統(tǒng)的IT廠商都紛紛涉足云服務市場。云計算服務雖然大大減輕了用戶的成本，但是在其他方面仍然有不可規(guī)避的風險。隨著云計算技術的成熟，大量企業(yè)應用正持續(xù)向云平臺遷移，安全風險日益擴大蔓延，宕機事故的發(fā)生就是重要一點。

2014年，騰訊云宕機6分鐘。2015年，阿里云因為云服務器的故障發(fā)生持續(xù)7小時的中斷服務時間。2016年和2017年，亞馬遜AWS發(fā)生了10小時和3小時的兩次服務中斷事故。此外，包括谷歌云和微軟Azure在內的全球主要云服務廠商也都發(fā)生過嚴重的服務中斷事故。那么一次宕機事故，究竟會給企業(yè)帶來多大的損失?

風險建模公司AIR Worldwide近日發(fā)布了一份報告，預測了主要云服務器出現故障后可能帶來的損失。以微軟、AWS、谷歌為例，如果三大云供應商發(fā)生一起3-6天的云故障，將導致至少190億美元的損失。其中，只有11億到35億美元可以獲得保險，而剩余損失需企業(yè)自行承擔。關于宕機的影響，同時也取決于云服務提供商的規(guī)模：在美國3-6天的時間內，排名前三的云服務提供商的宕機事件將導致69億到147億美元的損失，以及15億到28億美元的行業(yè)保險損失。一個位居10至15位的云服務提供商的網絡事件持續(xù)3-6天，將導致11億至21億美元的虧損以及2.2億至4.5億美元的行業(yè)保險損失。雖然目前國內還沒有相關評估，但是每一次宕機造成的損失也不可低估。

“堵”不上的數據泄露

除了宕機事故，數據泄露也是近年來云服務市場發(fā)生的惡劣事件。中國信息通信研究院高級工程師封莎接受通信世界全媒體采訪時表示，云計算和傳統(tǒng)IT系統(tǒng)最顯著的區(qū)別之一，就是傳統(tǒng)IT系統(tǒng)，用戶即是服務商，所以對數據安全保護的目標利益是一致的。而在云計算的架構之下，用戶和服務商發(fā)生了分離，數據的所有者和保管者分離，數據的所有權和保管權分離，這樣會必然會引發(fā)一些新的問題，主要體現在以下三類，一是傳統(tǒng)IT系統(tǒng)的安全問題仍然存在，因為云計算說到底還是信息系統(tǒng)的一種;二是由于不涉及切的利益，云服務商在運營過程中容易忽略，但是會長期潛在的一些未在的安全問題;三是云服務商可能為了自己的利益損害用戶數據安全，比如說未經用戶同意，將用戶數據用來大數據分析、機器學習，或者在用戶合同到期后未完全刪除用戶數據，甚至未經同意將用戶數據提供給第三方等。

談到數據泄露，就不得不提作為全球第一云服務廠商的AWS.目前，亞AWS所提供服務包括：亞馬遜彈性計算網云(Amazon EC2)、亞馬遜簡單儲存服務(Amazon S3)、亞馬遜簡單數據庫(Amazon SimpleDB)等。

其中，AWS對外宣傳表示，全球使用Amazon S3的網站，已經多達148213 個。而近年來，出現數據泄露問題最多的就是Amazon S3.據相關統(tǒng)計，僅在2017年，就發(fā)生多起因Amazon S3造成的數據泄露。2017年6月1日，美國國防部承包商被發(fā)現將政府的敏感數據儲存在可以公開訪問的Amazon S3中。2017年6月21日，美國共和黨全國委員會(RNC)合作的數據分析商Deep Root Analytics、TargetPoint以及Data Trust放在Amazon S3的1.1 TB數據發(fā)生泄露。其中包含超過1.98億名美國選民的敏感個人資料，例如姓名、出生日期、住址、電話號碼以及選民注冊細節(jié)信息。2017年7月13日，美國電信公司Verizon發(fā)生數據泄露事故，600萬客戶的姓名、地址、帳戶信息(包括帳戶個人識別碼PIN)可以被公開訪問。事故原因是Verizon的第三方服務商錯誤地配置了亞馬遜的Amazon S3的訪問權限。

在商業(yè)市場，Amazon S3造成的數據泄露引起軒然大波。2017年10月11日，安全公司UpGuard發(fā)現全球最大的管理咨詢公司埃森哲(Accenture)因亞馬遜S3存儲服務器配置不當導致大量敏感數據暴露在網上，至少有4臺云存儲服務器中的數據可供公開下載。暴露的數據包括API數據、身份驗證憑證、證書、加密密鑰、客戶信息，以及能被攻擊者用來攻擊埃森哲及其客戶的其它更多數據。埃森哲客戶包含94家《財富》世界100強企業(yè)和超過四分之三的《財富》世界500強企業(yè)。攻擊者可能會利用這些數據對這些跨國企業(yè)發(fā)起攻擊。CSTAR(UpGuard的專有網絡風險評分系統(tǒng))對這起泄露事件的網絡風險評分為790(總分950)。

應完善云服務安全保障制度

上述才僅是列出AWS一家公司數據泄露的問題，實際上，很多企業(yè)都夾在云服務帶來的便利以及對云上數據安全的擔心之中。

對于云計算的安全問題，我國在《云計算發(fā)展三年行動計劃(2017-2019年)》中也特意強調要完善云計算網絡安全保障制度。貫徹落實《網絡安全法》相關規(guī)定，推動建立健全云計算相關法律法規(guī)和管理制度。加強云計算網絡安全防護管理，落實公有云服務安全防護和信息安全管理系統(tǒng)建設要求，完善云計算服務網絡安全防護標準。加大公有云服務定級備案、安全評估等工作力度，開展公有云服務網絡安全防護檢查工作，督促指導云服務企業(yè)切實落實網絡與信息安全責任，促進安全防護手段落實和能力提升。逐步建立云安全評估認證體系。

另外，應大力推動云計算網絡安全技術發(fā)展。針對虛擬機逃逸、多租戶數據保護等云計算環(huán)境下產生的新型安全問題，著力突破云計算平臺的關鍵核心安全技術，強化云計算環(huán)境下的安全風險應對。同時，推動云計算安全服務產業(yè)發(fā)展。支持企業(yè)和第三方機構創(chuàng)新云安全服務模式，推動建設基于云計算和大數據的網絡安全態(tài)勢感知預警平臺，實現對各類安全事件的及時發(fā)現和有效處置。持續(xù)面向電信企業(yè)、互聯網企業(yè)、安全企業(yè)開展云計算安全領域的網絡安全試點示范工作，推動企業(yè)加大新興領域的研發(fā)，促進先進技術和經驗的推廣應用。

對于由云服務提供商造成的數據泄露事故在法律方面如何處理，封莎也表示，目前在法律層面，針對云上數據保護的目前還沒有，雖然在《網絡安全法》里面會有針對數據安全的法規(guī)條例，但是并沒有具體涉及到云計算廠商對用戶數據的保護應該承擔怎樣的責任。

也許正因為在云服務的安全制度上尚不完善，因此，目前企業(yè)對于云服務的安全評估依賴性逐漸增強。比如，由工信部主導發(fā)起、數據中心聯盟組織、中國信息通信研究院推出的可信云認證評估，可以云提供商的云產品及服務質量進行測試評估，通過多維度測評，從數據安全、服務質量、服務性能、運維管理和權益保障等多方面進行透析和評價。