云服務(wù)的用戶數(shù)據(jù)保護(hù)能力評估是從可信云評估而來,但是它又是一個單獨聚焦于數(shù)據(jù)安全的評估。我們現(xiàn)在已經(jīng)制定完成了用戶數(shù)據(jù)保護(hù)能力的兩項標(biāo)準(zhǔn),分別是《云服務(wù)用戶數(shù)據(jù)保護(hù)能力參考框架》和《云服務(wù)用戶數(shù)據(jù)保護(hù)能力評估方法 第1部分:公有云》,這兩項標(biāo)準(zhǔn)在國內(nèi)眾多的云服務(wù)廠商和安全廠商的大力支持和參與制下,經(jīng)過了周密的制定,現(xiàn)在已經(jīng)正式制定完成,今天正式發(fā)布。這項標(biāo)準(zhǔn)是聚焦于云服務(wù)的用戶數(shù)據(jù),而不會涉及到云服務(wù)的衍生數(shù)據(jù)和云服務(wù)產(chǎn)生的數(shù)據(jù)。它構(gòu)建了一個云服務(wù)的用戶保護(hù)能力的參考的框架。從數(shù)據(jù)的事前防范、事中保護(hù)和事后追溯這樣一個全生命周期的流程,提煉出用戶數(shù)據(jù)保護(hù)能力的18大類38項的具體行業(yè)指標(biāo),全面構(gòu)建數(shù)據(jù)安全保護(hù)的“行業(yè)公約”。這就是我們涉及到的一些數(shù)據(jù)保護(hù)能力的具體的指標(biāo)項。另外還有一個很大的特點,數(shù)據(jù)保護(hù)能力評估是從用戶的視角出發(fā),把用戶最關(guān)切的數(shù)據(jù)安全保護(hù)的能力來提煉出具體的行業(yè)的指標(biāo),能夠解決用戶的憂慮。可以看一下這個圖,我們從不同的視角出發(fā),關(guān)注的用戶安全的指標(biāo)也不太一樣,可以有國家的視角、企業(yè)的視角還有用戶的視角,而我們這個標(biāo)準(zhǔn)創(chuàng)新性的從用戶的視角來出發(fā),并且聚焦在公有云評估的方面。今天我們不但要發(fā)布用戶數(shù)據(jù)安全的兩項標(biāo)準(zhǔn),另外我們也即將開啟用戶數(shù)據(jù)保護(hù)能力的第一批評估,也歡迎各云服務(wù)計算的廠商關(guān)注和參與。還有值得一提的是我們這兩項標(biāo)準(zhǔn)得到了行業(yè)內(nèi)眾多企業(yè)的支持,像UCloud、騰訊、阿里、京東、華為、金山云等等,我在這不一一點名了,在此對大家一并表示衷心的感謝。我們合力制定的這項標(biāo)準(zhǔn)一方面是要為云計算服務(wù)廠商來規(guī)范他的用戶數(shù)據(jù)保護(hù)規(guī)范的建設(shè)能力,另一方面也為第三方的行業(yè)組織開展用戶數(shù)據(jù)保護(hù)提供評估服務(wù)。我們希望通過此項工作,集合大家的力量,能夠規(guī)范和完善這個行業(yè)的安全能力,促進(jìn)這個行業(yè)安全生態(tài)的形成。
栗蔚:在我們制定過程當(dāng)中我們所有服務(wù)商都覺得我們需要一個針對云計算的特別是數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn),從你制定過程中的角度,你是怎么看專項的云服務(wù)數(shù)據(jù)保護(hù)能力跟我們其他的可信云一些標(biāo)準(zhǔn)評估的關(guān)系或者說它獨立的一個價值?
封莎:我們?yōu)槭裁匆贫ㄒ粋這樣的單獨的用戶數(shù)據(jù)保護(hù)能力的評估的標(biāo)準(zhǔn),原因很簡單,當(dāng)前云計算行業(yè)急需一個關(guān)于用戶數(shù)據(jù)安全的行業(yè)的標(biāo)準(zhǔn)和規(guī)范,當(dāng)前還沒有一個從用戶角度出發(fā)的相關(guān)的標(biāo)準(zhǔn)和評估的體系。我們國內(nèi)的云計算廠商一直以來還是非常重視用戶數(shù)據(jù)保護(hù)的,很多企業(yè)甚至提出了像用戶隱私是第一生命線等等這樣一些口號,但是依然難以解決用戶對于自己數(shù)據(jù)安全的憂慮。今年5月份,有網(wǎng)友在網(wǎng)上發(fā)帖,稱阿里云對用戶的數(shù)據(jù)進(jìn)行了監(jiān)控,雖然阿里云之后也發(fā)表了聲明,說不會對用戶數(shù)據(jù)進(jìn)行監(jiān)控也不會對用戶出口的流量進(jìn)行監(jiān)控。在這件事情發(fā)生后不久,半個月之內(nèi)騰訊云也曝出類似事件。為什么短短的時間之接連曝出類似的事件,這也引起了行業(yè)內(nèi)大家廣泛的討論。除了這樣的事件還有另外一個方面,我們的云服務(wù)商也在由于這個行業(yè)標(biāo)準(zhǔn)規(guī)范的缺失而承受著損失,我們的云服務(wù)商他對數(shù)據(jù)安全的保護(hù),他的度和量到底在哪里,正需要我們這樣一個從用戶視角出發(fā)的行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)和規(guī)范來對它進(jìn)行約束。另外一方面,現(xiàn)在為什么說沒有一個從用戶數(shù)據(jù)保護(hù)出發(fā)的評估和標(biāo)準(zhǔn),云計算安全從不同的視角看,其實看到的是不同的內(nèi)容,比如像國家的視角,站在國家的高度,全面關(guān)注一個用戶數(shù)據(jù)的安全性和可性用,主要關(guān)注的像數(shù)據(jù)管理責(zé)任、數(shù)據(jù)主權(quán)還有跨境流動等等這樣一些問題。企業(yè)視角是從企業(yè)業(yè)務(wù)連續(xù)運轉(zhuǎn)不出差錯的角度,關(guān)注的可能是企業(yè)是否具備與其相應(yīng)的數(shù)據(jù)保護(hù)的技術(shù)能力和管理的要求。用戶的角度完全不同于國家視角和企業(yè)視角,從用戶角度出發(fā),關(guān)切的是從用戶的感知能夠感知到的數(shù)據(jù)安全的需求和問題。我們現(xiàn)在做的這件事情就是想要從用戶角度出發(fā)來定義數(shù)據(jù)安全到底有哪些我們企業(yè)必須要達(dá)到的能力和指標(biāo)。
栗蔚:數(shù)據(jù)安全這個事,之前誰都沒有說清楚,標(biāo)準(zhǔn)到底要做成什么樣,其實大家內(nèi)心都有這種渴望,但它到底量化成什么樣,下午有一個云安全的專門的分論壇,封莎也會對它進(jìn)行一個非常詳細(xì)的再解讀,歡迎大家關(guān)注下午云安全的分論壇。
