這兩天,貴陽大資料産業博覽會如火如荼。數字經濟中的資料安全再一次受到廣泛關注。
特别是5月25日歐盟GDPR(一般資料保護條例)正式落地執行,對于Facebook這樣曾經出售使用者資訊的公司将加以限制,強制其必須在征得使用者許可後方能使用使用者個人資料。
其實資料安全、資料保護早已引起了國家的重視。記得去年10月,也是在貴陽,阿裡雲與國家密碼管理局聯合為“雲上貴州”提供了國家級的加密保護。
衆所周知,資料安全、資料保護的核心在于兩大方面,一是安全防護技術,二是人為安全意識。這兩大領域都随着網際網路甚至萬物互聯時代的到來,變得更加複雜,同時也更加重要。
合規
首先,任何一家資料服務提供商,特别是雲計算公司,因為營運着衆多企業的資料,責任重大,是以有義務必須符合當地的法律法規。
歐洲5月25日生效的GDPR《一般資料保護條例》非常明确的指出對于隐私資訊的安全保護是非常重要的責任。企業需要針對隐私資訊/個人資訊部署/采取強有力的安全保護措施。而什麼樣的安全保護是有效的,就要依據安全行業的最佳時間來評判,比如TLS1.2的傳輸加密協定。同時也有很多安全公司和機構應勢而為,将其産品、服務和能力拓展到隐私保護方面,比如SAP日前收購的Gigya,本身是提供身份管理服務的,他們拓展其服務到客戶授權管理,有針對性的解決GDPR之下的客戶授權管理的要求。但無論任何産品、服務、技術都隻是針對GDPR的某一個要求,而非GDPR整體,需要企業從管理體系上系統化的完成隐私保護工作。
很明顯,随着雲計算、人工智能時代的來臨,無論是企業還是個人的資料資産會越來越敏感,同時也會受到越來越嚴格的合規監管。
實際上,包括此前CSA(Cloud Security Alliance,雲安全聯盟)、ISO 22301業務連續性管理體系、德國C5附加條款,還有ISO27001、MTCS Level3和ISO 20000等,已經覆寫到實體安全,資産管理、運維管理、鑒權與通路控制、加密到秘鑰管理等十多個個方面上百個基礎要求,并且,對滲透測試周期、密碼管理強度、客戶安全管理靈活性提出更高的要求。
很顯然,對于任何一家全球性雲服務商而言,去完成這些合規都是必需的。
值得一提的是,阿裡雲不僅做到了,而且居于全球領先——阿裡雲是全球首家通過CSA、ISO 22301、德國C5附加條款合規審計的雲服務商,也是亞太首家通過德國C5和ISO27001的合規審計,而在MTCS Level3和ISO 20000的合規方面做到中國首家。在國内,阿裡雲也是國家首批通過中央網信辦雲安全審查(增強級)和雲等級保護的四級測評的雲服務商。
這些資料表明,一家雲服務商不僅要放眼全球市場,而且需要在資料安全機制、流程、技術等次元全面投入——因為每一次合規審計,都是對雲安全體系的一次全盤檢驗。
安全機制流程
如果說合規是安全能力的展現,那麼安全機制流程則是人為安全意識的風險防範。
舉個例子,一年前爆發的“WannaCry”其實就是利用微軟“Windows”系統的漏洞,自動掃描445檔案共享端口,将所有磁盤檔案複制後加密、鎖死,黑客可以遠端控制木馬,向使用者勒索比特币“贖金”。但這一系統漏洞微軟早在事發前2個月就已經公布,而且與“WannaCry”同源的惡意軟體在此之前也已經被曝光。
但就是這樣一個“衆所周知”的系統漏洞,竟然仍引起了全球範圍内嚴重的病毒感染,這隻能說明絕大部分企業甚至雲計算服務商的安全意識薄弱。
事實上,一個健全的安全機制流程,需要對每一個資料安全環節、機制、真實性、有效性進行把關,從體系上進行完善。據悉,2016年阿裡雲通過 “全球最嚴”的資料安全審計的時候,審計方安永針對阿裡雲的資料安全審計過程,涉及阿裡雲内部産品、研發、安全、服務等團隊日常流程機制中的核心控制點共217項,對每一項進行逐一驗證,無一遺漏。
今天的企業IT,越來越多是部署在私有雲+公有雲的混合IT架構之上的,這就需要企業形成立體化的全方位的防禦體系,從正面防禦轉向加強持續檢測和快速響應的投入力度進行轉變,變被動為主動智能安全營運。
阿裡雲總裁胡曉明
換句話說,全網安全可視化的基礎是全網可見性,像阿裡雲就是覆寫所有IT layers,全網可見;與此同時,阿裡雲資料驅動的持續監控和深度學習、分析,形成自動感覺、自動預警、自動止血和反擊的閉環能力。
正因為此,“WannaCry”勒索病毒并沒有對阿裡雲客戶造成重大損失,因為阿裡雲早在3月份就第一時間通知使用者,并推出一鍵修複工具,提醒使用者把445端口關掉,而且在阿裡雲平台外圍搭建防禦層,為使用者留出修複漏洞的時間。
技術和市場落地
事實上,阿裡雲在資料安全、保護和隐私方面的努力得到了客戶的認可,包括海關、國稅、政務雲(國内前三強的浙江政務雲、雲上貴州、江蘇政務網)、中石油、中石化等國家部委、央企這些對資料安全和資料隐私最為敏感的政企客戶都選擇了阿裡雲。原因很簡單,因為阿裡雲值得信賴。
“從成立第一天起,阿裡雲就将資料安全和使用者隐私當做第一原則。2015年7月,阿裡雲釋出《資料保護倡議書》,明确表示絕對不碰客戶資料。”阿裡雲總裁胡曉明在2018雲栖大會武漢峰會上再一次強調了資料安全是阿裡雲的底線,重申了阿裡雲堅決不碰客戶資料承諾:過去、現在、未來,阿裡雲都會嚴格遵守倡議書中的約定。
實際上,早在2014年,阿裡雲釋出了V1.2版《安全白皮書》,将阿裡雲的安全體系、資料安全機制、公開透明地提供給技術開發者、企業客戶和公衆。釋出之後,白皮書每年定期更新。2017年更推出業界首個企業雲安全架構(Alibaba Cloud Security Compass)。
如今,阿裡雲一方面正在用加密計算,保護雲伺服器密鑰和内部敏感資訊,讓雲上更安全;另一方面,通過阿裡雲神龍雲伺服器,提供“晶片級”的資料保護,隻有使用者才能看到并使用自己的資料。
衆所周知,在資料安全領域,國際通用的标準是從合規、安全機制流程、資料安全技術的應用、資料安全使用者隐私的倡導與實踐等次元來論證一家雲服務商,而阿裡雲作為這一領域的全滿貫選手,同時又在人工智能、物聯網等重要趨勢領域領跑業界,帶動國内整個雲計算産業的發展,顯然是值得國人尊敬和驕傲的。