摘要: 随着云计算的普及,企业上云已经成为趋势,随之而来是上云后的数据安全保障问题。2017年AWS上存储的180万伊利诺伊州选民的信息被泄露,2018年国内某云服务商,云盘故障,导致一用户三份备份数据离奇丢失,致使该用户平台业务全部停运,融资计划停止,造成了不可挽回...
随着云计算的普及,企业上云已经成为趋势,随之而来是上云后的数据安全保障问题。2017年AWS上存储的180万伊利诺伊州选民的信息被泄露,2018年国内某云服务商,云盘故障,导致一用户三份备份数据离奇丢失,致使该用户平台业务全部停运,融资计划停止,造成了不可挽回的损失……类似于这样的安全事件责任到底谁来负责,云端的数据安全又该由谁来保护?
在我国的法律法规中对于数据运营、所有者有明确的定责:
《网络安全法》21条:网络运营者的则应根据网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或入侵,防止数据泄漏或被窃取或篡改。
《刑法》修正案286条:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
等级保护2.0 云计算扩展要求中对于审计数据的控制,云服务商和云服务客户的数据访问权限以及云端加密数据的密匙管理也都有明确要求。
在一系列的法律法规下,云服务商也采取了一定的安全防护措施,例如防DDos,入侵检测,病毒查杀、应用防火墙等。这些防护手段全都是基于传统的网络安全防护手段,其在数据安全防护方面存在一定的不足,例如对于云服务商和云服务客户的内部人员有意或者无意的数据泄露行为,还有数据泄露后的追责、定责问题。
在这种背景下独立于云服务商的数据安全提供商(CDSP:cloud data security provider)应运而生,由于CDSP不与云服务商发生利益,所以能够公正地从用户安全本身出发思考和解决问题;并且CDSP因为其在数据安全防护方面的专业性,更有“资格”与“能力”来解决这一问题。CDSP既是对云服务商的数据安全防护能力的有力补充,同时又能够使数据安全掌握在云服务用户自己手中。
CDSP能做什么
安全摸底
通过数据梳理及检查工具,明晰数据资产状况,有多少数据,这些数据的活跃度情况怎样,哪些数据属于敏感数据需要重点防护;发现数据库存在哪些漏洞和哪些危险使用情况。从而做到数据安全状况看得见。
行为管控
通过数据库防火墙、运维管控、加密、脱敏、水印工具,防止外部黑客攻击,运维人员违规操作,外发第三方数据,数据文件丢失等造成的数据泄露以及数据泄露后的定责。让企业的数据安全状况管得住。
安全稽核
通过数据访问稽核及数据安全态势感知工具,详细记录数据访问行为,发现异常访问状况以及数据安全的整体态势。从而数据安全状况能够说得清。
