云端数据安全么?看阿里云打造亚洲最佳范本

2017-06-15 20:15:58 来源:DVBCN 作者:王刚 热度:

当前网络安全正成为干扰政治经济发展和人民生活安全的热点话题,随着大数据、物联网、人工智能等技术飞速的发展,全面加强网络安全尤显迫切。6月1日,《中华人民共和国网络安全法》正式实施。作为我国第一部关于网络安全的综合性法律,对于企业、个人和机构的身份和行为都作出了新的法律概念和规定,他们将对在中国境内建设、运营、维护和使用网络产生深远的影响。

如何应对网络安全威胁已是全球性的问题,欧美等网络强国纷纷建立全方位的网络安全法律体系,网络安全立法演变为全球范围内的利益协调与国家主权斗争,有法可依成为谈判与对抗的必要条件。2013年斯诺登曝光“棱镜门”事件,更是在全球引爆网络安全的话题,AT&T、苹果微软谷歌Verizon等这些科技巨头纷纷被指存在漏洞。今年5月,全球都被WannaCry勒索病毒惊吓到,短短几天内该病毒已经波及100多个国家,袭击了全球各地的成千上万台系统。此次勒索病毒事件体现了互联网时代网络数据安全的迫切性,未来数据安全将会成为我国通信行业发展的主线之一。

1数据安全到底由谁来保护?

我们客观的看到,政府部门只能起到监管、规范职责,具体的落实和建设还是基于市场中的具体企业。2014年我国成立网络安全与信息化领导小组,2015年开始制定《国家网络安全法》,2016年国家正式发布《国家网络空间安全战略》,2017年国家印发《信息通信网络与信息安全规划(2016-2020)》,网络安全逐渐被提升至国家安全战略的新高度。互联网企业拥有一定的网络安全资质,成为在网络世界中运行的必备条件。

笔者了解到,企业关于数据安全的保护应该由拥有一定资质认证来证明,尤其是在等保合规要求越加严格的大背景下。在进行一系列分析对比下,笔者发现,阿里云俨然已成为亚洲涉及网络安全资质最全的云计算服务商——安全成为了其最精准的代名词。

通过历数全球范围内最重要的安全资质列表,不难看出,阿里云已经成为客户数据隐私保护的行业领导者。经统计,阿里云获得各类安全资质总计15个,涉及SOC type2审计、ISO 27000和CSA STAR标准认证、PCI DSS认证等等,在隐私保护方面,阿里云符合HIPPAMAPP、PDPA等国际隐私保护法律。

2全球范围内领先的数据隐私保护资质与国际标准深度接轨

2016年4月,阿里云通过的第三方SOC审计被行业成为“国际上最严苛”的审计认证,该审计由美国安永公司完成,该审计期间会做大规模随机抽样,验证阿里云遵循严格的安全控制措施。

而早在2013年,阿里云就通过ISO 27000和CSA STAR标准认证,在通用的安全管理体系上加入云安全特点,确保云平台安全,并给客户提供安全支持。

阿里云密切关注各行业增强级的安全要求,以及海外不同国家安全隐私要求。在政务领域,阿里云电子政务云首批通过中央网信办云安全审查,而且是其中唯一通过增强级别审查的社区云服务商。阿里云还作为公安部试点,全国首个通过了云等级保护的四级测评。

在金融领域,阿里云通过了PCI DSS认证,这是支付行业国际统一的数据安全认证。在海外,阿里云在新加坡通过了云服务商安全最高等级认证 MTCS T3级别,意味着阿里云可以参与新加坡政府项目;在隐私保护方面,阿里云符合HIPPAMAPP、PDPA等国际隐私保护法律。

从2009年成立第一天起,阿里云走过8个年头,安全和数据隐私被视为生命。在企业内部,安全与数据隐私被称为不可触碰的“天条”。

阿里云在客户数据隐私方面的工作也得到了诸多认可。2016年,阿里云成为国内首个入选香港政府采购名单的云计算服务商。阿里云也一直致力于世界各国的标准工作,积极参与并配合诸多国家完善标准。如,作为欧盟机构SCOPE创始会员,为GDPR实施准备了云行为准则标准;德国商务部Trusted Cloud的会员。

3阿里云为何视安全为“第一原则”?

“没有安全就没有阿里云”。当年,王坚创办阿里云,是从阿里的安全团队挖了一批人才过去的。“安全是云计算的生命”,这也成为了后来阿里云最核心的观念。包括阿里云现在为人熟知的安全产品也是当时打下的基础。

“安全”,是植入进了阿里云的基因的。阿里云总裁胡晓明始终强调,保护客户数据隐私是阿里云的第一原则。“阿里云承载的是客户的信任,对我们来说,客户数据安全和隐私保护是最重要的事情。”此前笔者对阿里云的部分高管做采访,他们传递了同一个信息就是:如果阿里云在安全和用户隐私保护方面有任何疏漏,阿里云今天就不能取得这样的成绩,可能会早早倒闭不在。值得一提的是,截止到2017年3月31日,阿里云2017财年营收规模达到66.63亿元人民币,同比上年增长121%,连续两年实现三位数增长。

4关于数据安全问题的界定与实践

数据安全问题的界定一直是行业标准的空白区域。通过梳理历史,笔者发现,作为中国云计算企业的代表,阿里云曾于2015年在全球率先发起“数据保护倡议”,彼时曾对数据安全问题做了一次清晰的界定:“数据是客户资产,云计算平台不得移作它用,并有责任和义务帮助客户保障其数据的私密性、完整性和可用性。”三年之后的今天,我们看到6月1日施行的《网络安全法》第十条依然在强调“维护网络数据的完整性、保密性和可用性。”二者前后关系可见一斑。

网络安全如果真的可以做到上下游共享,打造出一个安全生态,或许才是“普惠科技”的应有之义。2017年6月11日,网络安全领域又迎来新的大事件——阿里云联合公安部第三研究所、国家网络与信息系统安全产品质量监督检验中心和上海计算机软件技术开发中心评测重点实验室,共同发布“阿里云等级保护生态”。笔者了解到,阿里云早在2016年10月就已拿到等级保护测评4级资质,将基于云上安全能力,协调各方,让等保的工作变轻、变快,与云上租户责任共担。

当前,阿里巴巴集团正在不断增加阿里云在全球化方面的投入力度。相信将“安全”植入基因的阿里云能为网络安全、数据隐私保护带来更多的价值。

责任编辑:王刚