12月14日,第七屆中國信息安全法律大會在上海開幕。此次大會以“主權(quán)、治理、密碼、執(zhí)法”為主題,由多家國家政府部門和中國網(wǎng)絡(luò)空間安全協(xié)會聯(lián)合指導(dǎo),公安部第三研究所、西安交通大學(xué)信息安全法律研究中心、中國信息通信研究院互聯(lián)網(wǎng)法律研究中心、北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心、中國網(wǎng)絡(luò)空間戰(zhàn)略研究所聯(lián)合承辦。
會上,中國云計(jì)算安全政策與法律工作組發(fā)布的《中國云計(jì)算安全政策與法律藍(lán)皮書(2016)》指出,云服務(wù)面臨的最大風(fēng)險(xiǎn)在于用戶數(shù)據(jù)所有權(quán)與控制權(quán)的分離。用戶將數(shù)據(jù)托管給服務(wù)商后,實(shí)際的數(shù)據(jù)控制權(quán)轉(zhuǎn)移,對數(shù)據(jù)享有優(yōu)先訪問權(quán)的不是用戶,而是云服務(wù)商。這種控制權(quán)旁落的狀況無疑會對用戶數(shù)據(jù)安全構(gòu)成極大風(fēng)險(xiǎn)。
藍(lán)皮書披露,近年來,云平臺大規(guī)模數(shù)據(jù)泄露的安全事件不絕于耳,無論對于云服務(wù)商的業(yè)務(wù)持續(xù)性保障,還是用戶自身的合法權(quán)益維護(hù),數(shù)據(jù)安全始終是政策立法必須優(yōu)先解決的問題,也是云安全中最為重要的內(nèi)容。
藍(lán)皮書認(rèn)為,基于云計(jì)算分布式存儲和處理的技術(shù)特點(diǎn),云服務(wù)中的數(shù)據(jù)流動相較于傳統(tǒng)IT 服務(wù)而言更為靈活和難于控制,用戶無法知道數(shù)據(jù)確切的存放位置(在多數(shù)據(jù)中心的情況下,云服務(wù)商也無法獲知某一特定時(shí)刻數(shù)據(jù)存儲的具體位置),這顯然對用戶的數(shù)據(jù)安全是不利的。
西安交通大學(xué)信息安全法律研究中心副主任王玥告訴《法制日報(bào)》記者,云存儲的這種特點(diǎn)可能產(chǎn)生與法律之間的沖突,從而給利益相關(guān)者帶來不利的法律后果,例如歐盟法律要求提供存儲服務(wù)的經(jīng)營者在任何時(shí)候都應(yīng)該知道個人數(shù)據(jù)的所在位置;各國法律都對能夠存儲和傳輸?shù)男畔㈩悇e進(jìn)行了限制,當(dāng)數(shù)據(jù)異地存儲時(shí),用戶可能在不知道的情況下違反當(dāng)?shù)胤梢?guī)定。
王玥介紹說,為了實(shí)現(xiàn)成本效益,在多租戶共享資源的情況下,云風(fēng)險(xiǎn)常常與API、IP 動態(tài)分配、資源共享等技術(shù)特性相關(guān),云服務(wù)商通常將用戶數(shù)據(jù)集中存儲,缺乏數(shù)據(jù)隔離措施和安全的API 控制,很可能產(chǎn)生數(shù)據(jù)混同和數(shù)據(jù)丟失的情況。即使云服務(wù)商承諾數(shù)據(jù)是安全可靠的,但對用戶而言,目前缺乏有效的聲明或?qū)徲?jì)證實(shí)這種可靠性的存在。在出現(xiàn)重大事故時(shí),數(shù)據(jù)仍然面臨損失后無法恢復(fù)的風(fēng)險(xiǎn)。
藍(lán)皮書提出,雖然在傳統(tǒng)的網(wǎng)絡(luò)安全模型中,針對網(wǎng)絡(luò)終端用戶的安全接入和訪問控制有成熟的解決方案,但云環(huán)境下數(shù)據(jù)傳輸將更為開放和多元化,傳統(tǒng)物理區(qū)域隔離的方法無法有效保證遠(yuǎn)距離傳輸?shù)陌踩?,電磁泄漏和竊聽將成為更加突出的安全威脅。
“特別是在IaaS 中,服務(wù)商為每個用戶提供自助服務(wù)管理界面,需要針對不同類型的租戶提供差異化的用戶身份認(rèn)證管理授權(quán)策略,確保‘合法’用戶訪問正確的服務(wù)器,同時(shí)也需要在用戶訪問行為的日志記錄和安全事件的報(bào)告分析方面提供差異化的解決方案,用戶認(rèn)證、網(wǎng)關(guān)、授權(quán)、審計(jì)方面因?yàn)椴町愋缘拇嬖诙鼮殡y于管理。薄弱的用戶驗(yàn)證機(jī)制,或者是單因素的用戶密碼驗(yàn)證很可能產(chǎn)生安全隱患,而按需服務(wù)所具有的潛在安全漏洞又將導(dǎo)致各種未經(jīng)授權(quán)的非法訪問,從而產(chǎn)生新的安全風(fēng)險(xiǎn)。”王玥說。
據(jù)了解,中國云計(jì)算安全政策與法律工作組由公安部、工信部及省市等政府部門,中國科學(xué)院、中國社科院、西安交通大學(xué)、北京郵電大學(xué)、蘭州大學(xué)等學(xué)術(shù)機(jī)構(gòu)和英特爾(中國)公司、微軟公司、思科(中國)公司、華為公司、中興公司等中外云計(jì)算產(chǎn)業(yè)組織的專家學(xué)者組成。工作組旨在通過對云計(jì)算安全政策法律的研究,為國家決策提供政策法律建議,為云服務(wù)商進(jìn)行業(yè)務(wù)創(chuàng)新、服務(wù)創(chuàng)新、最佳實(shí)踐交流等提供政策支持和咨詢服務(wù)。