关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

数据安全岌岌可危,云计算的安全边界如何进行保护?

发布时间:2024-08-08 09:40:19

在数字化转型的浪潮中,云计算作为关键支撑技术,正以前所未有的速度重塑着全球信息产业的发展格局。近日,中国信息通信研究院发布了《云计算白皮书》。这是中国信通院第10次发布云计算白皮书,标志着我国在云计算领域的研究与实践达到了一个新的高度。本次白皮书不仅聚焦了全球云计算发展的最新趋势,还特别强调了我国云计算的整体发展特点及其面临的机遇与挑战。


当前,云计算服务已成为经济社会发展的重要支撑力量。无论是政府机构还是关键信息基础设施运营商,以及各行各业的企业都在积极采用云计算技术。各类重要数据,如政务数据、金融数据、医疗数据等,在云平台上的部署越来越普遍。云计算以其高性价比、灵活性强、实时监控等特点,有效提升了数据的安全保障和管理效率。


一、政策法规护航云计算数据安全风险


我国已发布一系列云计算数据安全相关的政策法规和标准指南,这些文件对云计算服务商和云计算用户都提出了明确的要求,并重点关注云安全监管和评估等方面。


1. 政策法规层面

2014 年 12 月,中央网信办发布《关于加强党政部门云计算服务网络安全管理的意见》,明确提出了党政部门提供给服务商的数据、设备等资源,以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。服务商应保障党政部门对这些资源的访问、利用、支配,未经党政部门授权,不得访问、修改、披露、利用、转让、销毁党政部门数据;在服务合同终止时,应按要求做好数据、文档等资源的移交和清除工作。2019 年 7 月,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部和财政部联合发布了《云计算服务安全评估办法》,该《办法》明确了云计算服务安全评估的重点,包括对云服务商人员背景及稳定性的评估,特别是能够访问客户数据、能够收集相关元数据的人员;客户迁移数据的可行性和便捷性等要求。通过这些评估,旨在提高党政机关、关键信息基础设施运营者在采购和使用云计算服务的安全可控水平,降低采购和使用云计算服务带来的数据安全风险。


2. 标准指南层面

目前,国家已发布云计算安全相关标准共 5 项,包括《云计算服务安全指南》《云计算服务安全能力要求》《云计算安全参考架构》《云计算服务安全能力评估方法》《云计算服务运行监管框架》,每项标准均对数据安全提出了不同层面的要求。


二、云计算数据安全管理存在诸多挑战


随着云计算服务的广泛使用,也出现了一系列特有的数据安全问题。云平台承载了大量的关键业务系统和数据,一旦数据安全管理不当,就可能导致严重的安全风险,从而影响国家安全和社会稳定。

数据泄露风险识别不全面:

在评估数据泄露风险时,未能全面覆盖所有潜在威胁源和漏洞,导致某些高风险点被忽视。

数据流动风险识别困难:

数据在传输、存储、处理过程中路径复杂,难以准确追踪和识别数据流动中的安全风险,增加了管理难度。

数据加密措施不足:

对数据加密的覆盖范围、强度或策略存在不足,无法有效保护敏感数据免受未授权访问或泄露。

数据访问控制不严格:

权限管理不严谨,导致非授权用户或系统能够访问敏感数据,增加了数据泄露的风险。

数据异常行为检测能力不足:

系统或工具在监测数据访问和使用行为时,无法有效识别异常模式,难以及时发现潜在的安全威胁。

数据泄露监测技术滞后:

采用的监测技术未能跟上最新的攻击手段,导致数据泄露事件发生后无法迅速发现或响应。

应急沟通机制不畅导致决策延误:

在数据安全事件发生时,内部沟通渠道不畅或流程复杂,导致决策层无法及时获得准确信息并作出有效决策。

数据泄露应急响应流程不清晰:

缺乏明确、详细的应急响应计划,导致事件发生时各部门行动混乱,无法高效协同应对。

数据安全事件后缺乏深入分析:

对发生的数据安全事件缺乏深入的根源分析和总结,无法从中吸取教训并改进未来的安全措施。

数据安全改进措施执行不力:

虽然制定了改进措施,但在实际执行过程中缺乏有效监督或资源支持,导致改进措施未能得到有效落实。


三、全方位防控体系保障云计算服务数据安全


针对云计算服务数据安全面临的挑战,道普信息风险管控专家提出了全面的解决方案。该方案结合最新的安全技术和最佳实践,从数据生命周期管理的每一个环节入手,构建全方位、多层次的安全防护体系,确保数据在云端的安全无忧。

实施全面的数据泄露风险评估:

采用自动化工具和技术进行定期扫描和监测,及时发现潜在的数据泄露风险点。

建立数据流动监控体系:

对数据流动的全过程进行监控和审计,确保数据流动的合规性和安全性。

加强数据加密措施:

采用符合行业标准的加密算法对敏感数据进行加密存储和传输,确保数据的安全性。

实施严格的数据访问控制策略:

采用身份认证、访问控制列表和权限管理等手段,确保只有授权人员能够访问敏感数据。

提升数据异常行为检测能力:

采用大数据分析、人工智能等技术手段,对数据访问和使用行为进行实时监控和分析,及时发现异常行为并采取措施。

引入先进的数据泄露监测技术:

如DLP(数据泄露防护)系统,实时监测和响应数据泄露事件,减少损失。

建立高效的应急沟通机制:

明确各相关部门和人员的职责和沟通渠道,确保在发生安全事件时能够迅速、准确地传递信息和做出决策。

制定清晰的数据泄露应急响应流程:

包括事件报告、评估、处理、恢复和总结等各个环节,确保在发生安全事件时能够有序地进行应对。

加强数据安全事件后的深入分析:

总结经验教训,提出改进措施,并落实到实际工作中,以提升组织的数据安全防护能力。

确保数据安全改进措施得到有效执行:

明确责任人和执行计划,加强监督和考核,确保改进措施能够按时、按质、按量完成。


数据作为数字经济的关键生产要素,其价值正日益凸显。确保云计算服务的数据安全对于促进数据要素的高质量供给和合规高效流通至关重要。面对未来,我们既要把握云计算带来的发展机遇,也要时刻警惕潜在的安全威胁,共同努力构建一个安全可信的数字世界。


/template/Home/Shiwaix2/PC/Static