12月14日,第七屆中國(guó)信息安全法律大會(huì)在上海開(kāi)幕。此次大會(huì)以“主權(quán)、治理、密碼、執(zhí)法”為主題,由多家國(guó)家政府部門和中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)聯(lián)合指導(dǎo),公安部第三研究所、西安交通大學(xué)信息安全法律研究中心、中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心、北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心、中國(guó)網(wǎng)絡(luò)空間戰(zhàn)略研究所聯(lián)合承辦。
會(huì)上,中國(guó)云計(jì)算安全政策與法律工作組發(fā)布的《中國(guó)云計(jì)算安全政策與法律藍(lán)皮書(shū)(2016)》指出,云服務(wù)面臨的最大風(fēng)險(xiǎn)在于用戶數(shù)據(jù)所有權(quán)與控制權(quán)的分離。用戶將數(shù)據(jù)托管給服務(wù)商后,實(shí)際的數(shù)據(jù)控制權(quán)轉(zhuǎn)移,對(duì)數(shù)據(jù)享有優(yōu)先訪問(wèn)權(quán)的不是用戶,而是云服務(wù)商。這種控制權(quán)旁落的狀況無(wú)疑會(huì)對(duì)用戶數(shù)據(jù)安全構(gòu)成極大風(fēng)險(xiǎn)。
藍(lán)皮書(shū)披露,近年來(lái),云平臺(tái)大規(guī)模數(shù)據(jù)泄露的安全事件不絕于耳,無(wú)論對(duì)于云服務(wù)商的業(yè)務(wù)持續(xù)性保障,還是用戶自身的合法權(quán)益維護(hù),數(shù)據(jù)安全始終是政策立法必須優(yōu)先解決的問(wèn)題,也是云安全中最為重要的內(nèi)容。
藍(lán)皮書(shū)認(rèn)為,基于云計(jì)算分布式存儲(chǔ)和處理的技術(shù)特點(diǎn),云服務(wù)中的數(shù)據(jù)流動(dòng)相較于傳統(tǒng)IT 服務(wù)而言更為靈活和難于控制,用戶無(wú)法知道數(shù)據(jù)確切的存放位置(在多數(shù)據(jù)中心的情況下,云服務(wù)商也無(wú)法獲知某一特定時(shí)刻數(shù)據(jù)存儲(chǔ)的具體位置),這顯然對(duì)用戶的數(shù)據(jù)安全是不利的。
西安交通大學(xué)信息安全法律研究中心副主任王玥告訴《法制日?qǐng)?bào)》記者,云存儲(chǔ)的這種特點(diǎn)可能產(chǎn)生與法律之間的沖突,從而給利益相關(guān)者帶來(lái)不利的法律后果,例如歐盟法律要求提供存儲(chǔ)服務(wù)的經(jīng)營(yíng)者在任何時(shí)候都應(yīng)該知道個(gè)人數(shù)據(jù)的所在位置;各國(guó)法律都對(duì)能夠存儲(chǔ)和傳輸?shù)男畔㈩悇e進(jìn)行了限制,當(dāng)數(shù)據(jù)異地存儲(chǔ)時(shí),用戶可能在不知道的情況下違反當(dāng)?shù)胤梢?guī)定。
王玥介紹說(shuō),為了實(shí)現(xiàn)成本效益,在多租戶共享資源的情況下,云風(fēng)險(xiǎn)常常與API、IP 動(dòng)態(tài)分配、資源共享等技術(shù)特性相關(guān),云服務(wù)商通常將用戶數(shù)據(jù)集中存儲(chǔ),缺乏數(shù)據(jù)隔離措施和安全的API 控制,很可能產(chǎn)生數(shù)據(jù)混同和數(shù)據(jù)丟失的情況。即使云服務(wù)商承諾數(shù)據(jù)是安全可靠的,但對(duì)用戶而言,目前缺乏有效的聲明或?qū)徲?jì)證實(shí)這種可靠性的存在。在出現(xiàn)重大事故時(shí),數(shù)據(jù)仍然面臨損失后無(wú)法恢復(fù)的風(fēng)險(xiǎn)。
藍(lán)皮書(shū)提出,雖然在傳統(tǒng)的網(wǎng)絡(luò)安全模型中,針對(duì)網(wǎng)絡(luò)終端用戶的安全接入和訪問(wèn)控制有成熟的解決方案,但云環(huán)境下數(shù)據(jù)傳輸將更為開(kāi)放和多元化,傳統(tǒng)物理區(qū)域隔離的方法無(wú)法有效保證遠(yuǎn)距離傳輸?shù)陌踩?,電磁泄漏和竊聽(tīng)將成為更加突出的安全威脅。
“特別是在IaaS 中,服務(wù)商為每個(gè)用戶提供自助服務(wù)管理界面,需要針對(duì)不同類型的租戶提供差異化的用戶身份認(rèn)證管理授權(quán)策略,確保‘合法’用戶訪問(wèn)正確的服務(wù)器,同時(shí)也需要在用戶訪問(wèn)行為的日志記錄和安全事件的報(bào)告分析方面提供差異化的解決方案,用戶認(rèn)證、網(wǎng)關(guān)、授權(quán)、審計(jì)方面因?yàn)椴町愋缘拇嬖诙鼮殡y于管理。薄弱的用戶驗(yàn)證機(jī)制,或者是單因素的用戶密碼驗(yàn)證很可能產(chǎn)生安全隱患,而按需服務(wù)所具有的潛在安全漏洞又將導(dǎo)致各種未經(jīng)授權(quán)的非法訪問(wèn),從而產(chǎn)生新的安全風(fēng)險(xiǎn)。”王玥說(shuō)。
據(jù)了解,中國(guó)云計(jì)算安全政策與法律工作組由公安部、工信部及省市等政府部門,中國(guó)科學(xué)院、中國(guó)社科院、西安交通大學(xué)、北京郵電大學(xué)、蘭州大學(xué)等學(xué)術(shù)機(jī)構(gòu)和英特爾(中國(guó))公司、微軟公司、思科(中國(guó))公司、華為公司、中興公司等中外云計(jì)算產(chǎn)業(yè)組織的專家學(xué)者組成。工作組旨在通過(guò)對(duì)云計(jì)算安全政策法律的研究,為國(guó)家決策提供政策法律建議,為云服務(wù)商進(jìn)行業(yè)務(wù)創(chuàng)新、服務(wù)創(chuàng)新、最佳實(shí)踐交流等提供政策支持和咨詢服務(wù)。