APP下载

“3·15”下云服务的安全思考火热背后存隐忧

2018-03-16王熙

通信世界 2018年7期
关键词:服务商数据安全网络安全

本刊记者|王熙

2018年“3·15消费者权益保护日”将至,关于产品、服务等质量话题,又在这个特殊的日子里被亿万消费者关注。与食品、手机、服装、旅游等消费品不同,云计算产品是一种看不见摸不着的技术服务,它又会出现哪些让用户头疼的问题,是否配备完善的法律制度呢?

当前,以云计算、大数据、人工智能等为代表的新一代信息技术迅猛发展,与各领域、各行业、跨界融合,已经成为创新最活跃、渗透最广泛、影响最深远的新一轮科技革命。我国高度重视云计算发展,发布了《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号)等政策措施。在政府积极引导和企业战略布局等推动下,经过社会各界共同努力,云计算已逐渐被市场认可和接受。“十二五”末期,我国云计算产业规模已达1500亿元人民币,产业发展势头迅猛、创新能力显著增强、服务能力大幅提升、应用范畴不断拓展,已成为提升信息化发展水平、打造数字经济新动能的重要支撑。

在这样的背景下,2017年4月,工信部发布了《云计算发展三年行动计划(2017-2019年)》,目标到2019年,我国云计算产业规模达到4300亿元人民币。不过在云计算产业快速发展的同时也面临诸多问题,除了突破关键技术、业务运行的可靠性,数据安全也是目前企业上云的关注点。

2018年“3·15消费者权益保护日”将至,关于产品、服务等质量话题,又在这个特殊的日子里被亿万消费者关注。与食品、手机、服装、旅游等消费品不同,云计算产品是一种看不见摸不着的技术服务,它又会出现哪些让用户头疼的问题,是否配备完善的法律保护呢?

云服务宕机损失巨大

随着我国在云计算政策上大力推动,云服务提供商如雨后春笋般发展起来。在市场上,各种叫卖云主机、云存储的广告铺天盖地。电信运营商、传统IDC服务商、专业的云服务商、互联网巨头,甚至传统的IT厂商都纷纷涉足云服务市场。云计算服务虽然大大减轻了用户的成本,但是在其他方面仍然有不可规避的风险。随着云计算技术的成熟,大量企业应用正持续向云平台迁移,安全风险日益扩大蔓延,宕机事故的发生就是重要一点。

2014年,腾讯云宕机6分钟。2015年,阿里云因为云服务器的故障发生持续7小时的中断服务时间。2016年和2017年,亚马逊AWS发生了10小时和3小时的两次服务中断事故。此外,包括谷歌云和微软Azure在内的全球主要云服务厂商也都发生过严重的服务中断事故。那么一次宕机事故,究竟会给企业带来多大的损失?

风险建模公司AIR Worldwide近日发布了一份报告,预测了主要云服务器出现故障后可能带来的损失。以微软、AWS、谷歌为例,如果这三大云供应商发生一起3-6天的云故障,将导致至少190亿美元的损失。其中,只有11亿到35亿美元可以获得保险,而剩余损失需企业自行承担。关于宕机的影响,同时也取决于云服务提供商的规模:在美国3-6天的时间内,排名前三的云服务提供商的宕机事件将导致69亿到147亿美元的损失,以及15亿到28亿美元的行业保险损失。一个位居10至15位的云服务提供商的网络事件持续3-6天,将导致11亿至21亿美元的亏损以及2.2亿至4.5亿美元的行业保险损失。虽然目前国内还没有相关评估,但是每一次宕机造成的损失也不可低估。

“堵”不上的数据泄露

除了宕机事故,数据泄露也是近年来云服务市场发生的恶劣事件。中国信息通信研究院高级工程师封莎接受通信世界全媒体采访时表示,云计算和传统IT系统最显著的区别之一,就是传统IT系统,用户即是服务商,所以对数据安全保护的目标利益是一致的。而在云计算的架构之下,用户和服务商发生了分离,数据的所有者和保管者分离,数据的所有权和保管权分离,这样会必然会引发一些新的问题,主要体现在以下三类,一是传统IT系统的安全问题仍然存在,因为云计算说到底还是信息系统的一种;二是由于不涉及切的利益,云服务商在运营过程中容易忽略,但是会长期潜在的一些未在的安全问题;三是云服务商可能为了自己的利益损害用户数据安全,比如说未经用户同意,将用户数据用来大数据分析、机器学习,或者在用户合同到期后未完全删除用户数据,甚至未经同意将用户数据提供给第三方等。

谈到数据泄露,就不得不提作为全球第一的云服务厂商AWS。目前,AWS所提供服务包括:亚马逊弹性计算网云(Amazon EC2)、亚马逊简单储存服务(Amazon S3)、亚马逊简单数据库(Amazon SimpleDB)等。

其中,AWS对外宣传表示,全球使用Amazon S3的网站,已经多达148213个。而近年来,出现数据泄露问题最多的就是Amazon S3。据相关统计,仅在2017年,就发生多起因Amazon S3造成的数据泄露。2017年6月1日,美国国防部承包商被发现将政府的敏感数据储存在可以公开访问的Amazon S3中。2017年6月21日,美国共和党全国委员会(RNC)合作的数据分析商Deep Root Analytics、TargetPoint以及Data Trust放在Amazon S3的1.1 TB数据发生泄露。其中包含超过1.98亿名美国选民的敏感个人资料,例如姓名、出生日期、住址、电话号码以及选民注册细节信息。2017年7月13日,美国电信公司Verizon发生数据泄露事故,600万客户的姓名、地址、帐户信息(包括帐户个人识别码PIN)可以被公开访问。事故原因是Verizon的第三方服务商错误地配置了亚马逊的Amazon S3的访问权限。

在商业市场,Amazon S3造成的数据泄露引起轩然大波。2017年10月11日,安全公司UpGuard发现全球最大的管理咨询公司埃森哲(Accenture)因Amazon S3存储服务器配置不当导致大量敏感数据暴露在网上,至少有4台云存储服务器中的数据可供公开下载。暴露的数据包括API数据、身份验证凭证、证书、加密密钥、客户信息,以及能被攻击者用来攻击埃森哲及其客户的其它更多数据。埃森哲客户包含94家《财富》世界100强企业和超过四分之三的《财富》世界500强企业。攻击者可能会利用这些数据对这些跨国企业发起攻击。CSTAR(UpGuard的专有网络风险评分系统)对这起泄露事件的网络风险评分为790(总分950)。

应完善云服务安全保障制度

上述仅是AWS一家公司数据泄露的问题,实际上,很多企业都夹在云服务带来的便利以及对云上数据安全的担心之中。

对于云计算的安全问题,我国在《云计算发展三年行动计划(2017-2019年)》中也特意强调要完善云计算网络安全保障制度。贯彻落实《网络安全法》相关规定,推动建立健全云计算相关法律法规和管理制度。加强云计算网络安全防护管理,落实公有云服务安全防护和信息安全管理系统建设要求,完善云计算服务网络安全防护标准。加大公有云服务定级备案、安全评估等工作力度,开展公有云服务网络安全防护检查工作,督促指导云服务企业切实落实网络与信息安全责任,促进安全防护手段落实和能力提升。逐步建立云安全评估认证体系。

另外,《云计算发展三年行动计划(2017-2019年)》还表示应大力推动云计算网络安全技术发展。针对虚拟机逃逸、多租户数据保护等云计算环境下产生的新型安全问题,着力突破云计算平台的关键核心安全技术,强化云计算环境下的安全风险应对。同时,推动云计算安全服务产业发展。支持企业和第三方机构创新云安全服务模式,推动建设基于云计算和大数据的网络安全态势感知预警平台,实现对各类安全事件的及时发现和有效处置。持续面向电信企业、互联网企业、安全企业开展云计算安全领域的网络安全试点示范工作,推动企业加大新兴领域的研发,促进先进技术和经验的推广应用。

对于由云服务提供商造成的数据泄露事故在法律方面如何处理,封莎也表示,目前在法律层面,针对云上数据保护的目前还没有,虽然在《网络安全法》里面会有针对数据安全的法规条例,但是并没有具体涉及到云计算厂商对用户数据的保护应该承担怎样的责任。

也许正因为在云服务的安全制度上尚不完善,因此,目前企业对于云服务的安全评估依赖性逐渐增强。比如,由工信部主导发起、数据中心联盟组织、中国信息通信研究院推出的可信云认证评估,可以云提供商的云产品及服务质量进行测试评估,通过多维度测评,从数据安全、服务质量、服务性能、运维管理和权益保障等多方面进行透析和评价。

猜你喜欢

服务商数据安全网络安全
航天卫星领域专业服务商
我国5G数据安全保护供给不足,“四步”拉动产业发展
论IaaS云服务商的著作权侵权责任
云计算中基于用户隐私的数据安全保护方法
网络安全
建立激励相容机制保护数据安全
上网时如何注意网络安全?
大数据云计算环境下的数据安全
网络安全监测数据分析——2015年11月
我国拟制定网络安全法