计世网

开放和安全:数字时代的新困境
作者:叶然
2018-04-11
数字资产安全现状:十面埋伏人们正朝着一个万物互联的时代走去,所有的设备与网络相连,人们永远在线。

 


数字资产安全现状:十面埋伏

人们正朝着一个万物互联的时代走去,所有的设备与网络相连,人们永远在线。每个人作为互联网服务商的用户,享受互联网发展提供的便捷服务的同时,个人的数据隐私也频频被冒犯。一方面,用户数据成为互联网服务商最有价值的资源,另一方面,用户数据也成为互联网服务商最甜蜜的负担,一旦因技术、道德原因被指侵犯用户隐私,往往会引起大规模地申讨。

近几年,互联网服务商被诟病的几点无外乎,没有为用户提供有选择的用户协议,不断被植入的agent,无处不在的信息骚扰。移动互联网的发展繁荣了应用市场,每个人的手机里都有几款常用的APP,但几乎每个人都对下载时遇到的霸王条款无可奈何,没办法不去下载,只能被迫接受类似“允许服务商获取你的位置信息,通讯录”之类的协议。当个人用户的身份信息被收录在多个服务商的数据库里,也代表隐私有可能被更大范围地暴露在公共空间里。

2017年,随着互联网的发展,互联网也迎来了更多的网络攻击。无论是个体还是一个企业,都无一幸免。例如2017年2月爆发的Cloudflare流量泄露事件,受影响的网站预计至少200万之多,其中涉及Uber、1password、FastMail等多家知名公司的服务。再比如150多个国家遭受WannaCry勒索攻击、1.4亿Verizon用户数据泄露。网络安全和数据安全正面临一个严峻的形势。

一方面,开放是数字时代最明显的一个特征,移动支付、电子商务、大数据、云计算等行业发展离不开数据的开放。另一方面,企业、监管层等各方参与者需要共同来建设一个安全的数据环境,需要相关网络安全管理的顶层设计进一步完善,相关的法律、法规、标准等监管要求不断修订完善并推动落地执行。

安全事件大盘点:

2012年,中国最大的安全软件厂商成为了用户隐私安全最大的威胁;

2013年,历史上最大规模的漏洞事件和网络攻击;

2014年,某互联网公司运营药监码,触动医药行业利益;

2015年,某云服务商升级安全产品触发bug,导致部分服务器的少量文件被系统误隔离;

2016年,某国内知名地产公司因存在数据安全隐患,全部迁移至中立云服务商平台;

2017年,某支付软件年度账单的默认用户协议触及用户隐私安全;

保护数字资产的关键在云安全

随着企业布局IT架构的思路从购买服务器到往云上迁移,云计算已经成为互联网发展的新引擎。具备技术实力的巨头们纷纷开始开放平台,输出计算能力,往产业链的各个环节渗透。而创业公司和中大型公司,甚至的政府机构,也开始借力使力,使用公有云服务商提供的服务建立发展自己的IT业务。

云计算强大的计算能力和储存能力让它有足够的想象空间,无论是公有云还是私有云,都有很大的市场潜力,研究公司Market Research的预测数据显示,2020年全球云服务市场规模将超过2700亿美元。

当数据都集中到云上,云安全成为数字时代安全领域的核心议题。选择一家能兼具稳定性和安全性的云服务商也就变得极其重要。尽管保证云安全是一个共性问题,依赖于基础性技术的发展程度,但各家云服务商针对云安全都有自己独特的解决方法,无论是抵御外部攻击还是内部数据体系的开放和保护,都有自己的一套管理制度和体系。

所以,云服务商的技术实力和可信程度又成为一个云安全等级高低的关键性指标。随着商用CASB(Cloud Access Security Broker,云访问安全代理)产品进入快速发展期,CASB部署于企业网络和云服务商之间,检查发往云端的网络流量,加密混淆发送到云上的数据,可以有效解决云端数据安全管理、数据存储安全合规、跨域数据受控传递的问题,保护企业客户自身的信息安全。此外,终端检测和响应(EDR,Endpoint Detection and Response)解决方案和产品逐渐起势,基于“检测+响应”的防御思路,改善“检测+拦截”的防护模式。这些技术的进步将会为用户隐私的保护提供新的思路。

云安全究竟谈的是什么?

云计算的产生和发展都伴随着开源,它不是在一个封闭的环境中运行,而是处于一个开放和合作的市场中。从最先起步的亚马逊AWS的发展路径来看,它是一步步将自己的能力对外开放,服务其他企业。但开放的另一面就是不确定因素、不可控因素变得更多。

从国家层面来说,中国政府对云计算的态度是,所有中国的数据必须留在中国,并且由中国公司来提供技术服务。政府从宏观层面为保障云安全定了调。外资企业的做法是与中国的企业合作,将中国用户的数据迁移到中国企业的云上。例如亚马逊 AWS 与 光环新网 达成合作,苹果将数据服务交由云上贵州来运营,印象笔记的用户数据则迁移到腾讯云。

而中国的云计算公司则为了实现技术自主,重点研发属于中国企业的云操作系统。例如阿里云、腾讯云、天翼云等公司,通过自主研发,实现云平台的安全可控。除此之外,云计算公司都积极采取不同的措施来保证平台上用户数据的安全。例如为客户设立独立的云服务账户,通过多种隔离方式来保证客户的数据隐私性。通过自主可控的虚拟化平台将服务器CPU、内存、I/O 等物理资源转化为一组严格隔离的逻辑资源,保障用户执行环境的独立性与封闭性。

当越来越多的企业选择上云,将数据安全交给云平台,云平台保护数据隐私安全的责任也就越大。云安全不仅事关企业数据安全,也会对中国经济的发展产生很大的影响。

中立的云服务商

想要保证数据的安全,云服务商必须要做到恪守业务边界,不能私自动用用户数据,不能将数据倒卖以此来牟利,同样在企业内部也要有明确的规定,确保数据足够安全。此外,当云服务商和合作伙伴的业务有所重叠,云服务商也要保持客观中立的态度,遵守职业规范。

仅仅有相关的边界约束还远远不够,实际项目运作过程中利润的诱惑极有可能会吸引服务商铤而走险。

事实上,政府、大中型企业客户在采购此类服务以及后续的运营保障中有着较为成熟的体系和经验。在新一轮国家倡导数据安全,网络安全建设的过程中,有法可依是约束众多服务商的重要抓手,而政府、大中型企业客户过往的实际选择,也具有相当重要的实际参考意义。

云计算的发展带来了新的安全问题,也同样需要新的方法来保障云安全,保障用户的数据安全。云安全要看服务商的技术和服务能力,但更重要的是企业的担当和责任感。

(文/叶然)

 

责任编辑:金小雪