云計算服務數據安全風險及應對建議
責編:gltian |2024-06-14 17:22:29當前,云計算服務在經濟發展中深度融合應用,被黨政機關、關鍵信息基礎設施運營者以及各行業有關單位采購和使用。政務數據、金融數據、電子數據、醫療數據等各種類型數據逐步在云平臺上部署。云計算服務借助自身性價比高、靈活性強、實時監控、及時發現等特點,確保數據上云后的使用效率、管理能力、安全保障等方面得到進一步提升。與此同時,存在一系列云平臺特有的數據安全問題數據安全問題,如數據安全責任邊界劃分不清、敏感數據和個人信息未進行專門保護、大量數據傳輸存儲等關鍵環節未加密,以及未經云服務用戶同意處理云平臺數據等問題突出。
一、云計算服務數據安全風險
云平臺上承載了大量關系國計民生的業務系統和數據,如果數據安全管理不到位,技術防護措施不嚴謹,將可能產生重大的數據安全風險,直接影響國家安全和社會生產生活有序開展。
(一)云計算服務數據安全責任邊界劃分不清,給數據安全管理帶來挑戰
云計算服務主要涉及云計算服務提供方、云計算服務用戶以及為云平臺提供產品、服務的第三方供應商等角色,平臺上收集存儲了用戶上云的業務數據、生產數據,提供方依托云平臺產生的日志、系統、操作、配置等數據。服務商、用戶甚至第三方在特定場景下均會接觸、處理用戶數據、平臺數據,責任權屬如何劃分直接關系到云上數據安全。在調研中發現,部分用戶認為數據上云后的安全應該由服務商負責,部分服務商認為平臺只需要提供基礎的云安全環境,用戶應該對其數據負責,同時在云計算服務合同中也未對雙方以及第三方責任進行明確規定,存在數據安全責任空白。
(二)云平臺自身存在脆弱性,給數據安全防護提出更高要求
云平臺依賴于供應鏈中的多個組件和服務,如硬件、軟件、網絡等,供應鏈中的任何環節存在漏洞或惡意行為,都可能直接威脅到云平臺的安全性,特別是云平臺一些關鍵設備和組件可能依賴外國供應商,這些供應商可能受到所在國法律的影響,存在供應鏈中斷的風險。云平臺通常基于復雜的技術堆棧構建,涉及大量的組件、服務和交互,這種復雜性增加了安全漏洞和錯誤配置的可能性,使云平臺更容易受到攻擊。身份驗證和訪問控制是云平臺安全的關鍵環節,部分平臺身份驗證機制不完善,或者訪問控制策略配置不當,可能導致未經授權的訪問和數據泄露。IBM 發布的《云威脅形勢報告》顯示,2023 年新增了 632 個新的云相關安全漏洞,相比一年前增加了 194%,主要原因
在于云環境中使用的應用程序和服務數量的不斷增加,如 Log4j 漏洞仍有被濫用跡象。
(三)云平臺數據安全管理技術手段不足,數據泄露風險高企
部分云平臺數據傳輸和共享過程所使用的加密機制存在缺陷和不足,若加密算法存在漏洞或密鑰管理不當,可能導致數據泄露和損壞。當前,云平臺數據分類分級工具技術能力不足,對重要數據、個人信息未進行標注,并且對非結構化文件標注不全且不及時,缺乏對云上重要數據、個人信息進行專門的保護。在云數據遷移過程中,部分數據遷移不徹底,備份數據得不到合理處置,導致數據泄露。一些云平臺存在隨意收集、違法獲取、過度使用用戶個人信息,侵害了公民個人信息權益。云平臺針對涉及數據出境的場景梳理不全面、有遺漏,未建立數據出境安全審核機制,數據出境安全風險凸顯。
二、國內外云計算服務數據安全相關政策法規
隨著云計算技術和產業的不斷發展,很多國家和地區紛紛制定云計算服務數據安全相關法律法規和政策標準,以推動云計算的健康有序發展,在云上數據責任權屬、云上數據安全監管、云服務商安全能力等方面進行探索和實踐。
(一)歐盟高度重視云平臺數據安全問題
2018 年,歐盟發布《通用數據保護條例》(GDPR)(以下簡稱《條例》),對云平臺進行了相應的規制。《條例》要求云服務提供商必須采取適當的技術和組織措施來確保數據的安全,包括數據加密、匿名化、訪問控制等;同時,《條例》強調數據主體的權益,如知情權、訪問權、更正權、刪除權等,云服務提供商需要確保這些權益得到保障。《歐洲云計算戰略》則是一個更廣泛的政策文件,它提出了歐洲在云計算領域的發展目標和策略,包括促進云計算創新、提高云服務的安全性和可信度、保護用戶數據等;同時,推動建立透明的認證和評估機制,讓用戶能夠信任和選擇符合高標準的云服務提供商。
(二)美國通過政策文件和技術指南規制云計算數據安全
早在 2011 年,美國就啟動了聯邦云計算風險與授權管理項目(FedRAMP),規定只有中、低安全風險的系統和數據才能遷移上云,并發布了中、低影響級別的安全控制基線。隨著對云安全信心的提升,云服務應用范圍擴大到涉密系統和敏感信息,2016 年聯邦云計算風險與授權管理項目提出了高影響級別的安全控制基線。強調云計算實施的安全性和透明度,并要求建立相應的安全管理制度和應急管理制度,以確保云平臺的正常運作和數據安全。2022 年 1 月,美國白宮發布《加強國家安全、國防部和情報系統網絡安全》,明確要求構建國家安全系統云技術網絡安全能力,要求國家安全系統委員會制定并發布與國家安全系統委員會云遷移和運營相關的最低安全標準和控制指南。同年 3 月,美國國務院情報研究局發布《國務院情報研究局網絡安全戰略》,強調加快云計算環境遷移,改進網絡安全風險管理。2022 年美國聯邦網絡安全和基礎設施安全局還發布一系列技術指南,包括《安全云業務應用程序技術參考框架》《可信互聯網連接 3.0:云計算用例》等,加強云計算環境下的安全能力,確保云計算環境下的數據安全。
(三)我國在云計算數據安全的頂層設計和制度設計不斷完善
我國已發布一系列云計算數據安全相關的政策法規和標準指南,這些文件對云計算服務商和云計算用戶都提出了明確的要求,并重點關注云安全監管和評估等方面。
1. 政策法規層面
2014 年 12 月,中央網信辦發布《關于加強黨政部門云計算服務網絡安全管理的意見》,明確提出了黨政部門提供給服務商的數據、設備等資源,以及云計算平臺上黨政業務系統運行過程中收集、產生、存儲的數據和文檔等資源屬黨政部門所有。服務商應保障黨政部門對這些資源的訪問、利用、支配,未經黨政部門授權,不得訪問、修改、披露、利用、轉讓、銷毀黨政部門數據;在服務合同終止時,應按要求做好數據、文檔等資源的移交和清除工作。2019 年 7 月,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部和財政部聯合發布了《云計算服務安全評估辦法》,該《辦法》明確了云計算服務安全評估的重點,包括對云服務商人員背景及穩定性的評估,特別是能夠訪問客戶數據、能夠收集相關元數據的人員;客戶遷移數據的可行性和便捷性等要求。通過這些評估,旨在提高黨政機關、關鍵信息基礎設施運營者在采購和使用云計算服務的安全可控水平,降低采購和使用云計算服務帶來的數據安全風險。
2. 標準指南層面
目前,國家已發布云計算安全相關標準共 5 項,包括《云計算服務安全指南》《云計算服務安全能力要求》《云計算安全參考架構》《云計算服務安全能力評估方法》《云計算服務運行監管框架》,每項標準均對數據安全提出了不同層面的要求。
一是《信息安全技術 云計算服務安全指南》(GB/T 31167-2023)在 2014 版標準的基礎上進行了修訂,提出了客戶采用云計算服務的安全管理基本原則,給出了采用云計算服務的生命周期各階段的安全管理和技術措施,提出了云計算服務安全管理原則和相關責任劃分,標準針對數據移交范圍、數據完整性驗證、數據安全刪除等方面對云服務商提出了相關要求。
二是《信息安全技術 云計算服務安全能力要求》(GB/T 31168-2023)在 2014 版標準的基礎上進行了修訂,規定了云服務商提供云計算服務時應具備的安全能力,適用于對云計算服務能力的建設、監督、管理和評估,標準設置專章“數據安全保護”,從通用數據安全、媒體訪問和使用、剩余信息保護、數據使用保護、數據共享保護、數據遷移保護等方面提出了數據加密、數據備份、數據脫敏、數據防泄漏、數據防篡改等要求。
三是《信息安全技術 云計算安全參考架構》(GB/T 35279-2017)針對云服務級別協議所具有的動態性及多方參與的特點導致對責任認定不清、云計算的強大計算與存儲能力被非法利用等問題,規定了云計算安全參考架構,描述了云計算角色,規范了各角色的安全職責、安全功能組件及其關系,適用于指導所有云計算參與者在進行云計算系統規劃時對安全的評估與設計。
四是《信息安全技術 云計算服務安全能力評估方法》(GB/T 34942-2017)提出了開展評估的原則、實施過程以及針對各項具體安全要求進行評估的方法。該標準為第三方評估機構對云服務商提供云計算服務的安全能力進行評估提供了依據,也為云服務商在對其云計算服務安全能力進行自評估提供了參考。
五是《信息安全技術 云計算服務運行監管框架》(GB/T 37972-2019)規范了政府部門云服務客戶在使用云計算服務的過程中的監管框架、監管過程及監管方式。同時,標準為云服務商制定和實施云計算服務持續監管策略和計劃提供指導,也為監管方進行持續監管活動提供指導。該標準采用與聯邦云計算風險與授權管理項目(FedRAMP)不同的云計算服務持續監管方式,主要從云計算服務審查或檢查的視角制定云計算服務運行監管過程,定義了云服務商和運行監管方兩個角色,并明確了安全控制措施有效性運行監管、重大變更監管和應急響應監管三個過程。
三、云計算服務數據安全工作建議
持續提升云計算服務數據安全防護能力,需要國家、行業的監管引領下,科研機構、高校、云服務商等方面共同參與,協力合作。
(一)加快云數據安全相關標準研制和試點推廣工作
一是按照數據安全工作急需、云技術發展急用的原則,研制云計算服務數據安全參考框架、云計算服務數據安全能力成熟度模型、云計算服務數據風險評估方法、云計算服務數據接口安全等標準。二是提升云計算服務安全標準的有效性和可操作性,解決云計算服務數據安全突出風險,探索云計算服務數據安全難點問題標準化路徑,選取云服務商、第三方合作商、云評估機構等典型組織,開展標準適用性和實施效果評價;在標準應用實踐中全程進行跟蹤,及時發現問題、總結經驗、完善標準,推動云計算服務數據安全標準化工作高速、高質量發展。
(二)制定出臺云計算服務數據安全相關制度文件,加強云計算服務數據安全相關監督管理
針對云服務商和云服務用戶的數據安全主體責任不清、未對重要數據上云進行評估保護等新問題,國家應出臺云計算服務數據管理辦法、標準合同模板等文件。一是指導云服務商對云平臺上的數據進行分類分級管理,重點保護重要數據和個人信息,對云平臺收集和承載數據分別建立管理機制,并通過云平臺提供數據分類分級保護功能服務;二是建立云服務用戶分類管理機制,對黨政機關、關鍵信息基礎設施運營者使用云計算服務加強安全風險提醒,對其部署在云平臺上的信息系統和數據加強安全保護;三是在合同模板中明確云服務商、云服務用戶和第三方服務商的數據安全責任。
(三)以關鍵環節和關鍵技術為突破點,完善云計算服務數據安全技術體系
應加強在云計算服務過程中的數據收集、存儲、使用、加工、傳輸、提供、公開等關鍵環節的安全保障能力建設,強化云上數據的審計監測、安全預警、應急處置和追蹤溯源能力。目前,數據防泄露、數據庫安全防護等技術發展相對成熟,數據識別、分類分級、數據脫敏、數據權限管理等基礎技術以及隱私合規檢測、數據濫用分析、隱私計算、數據流轉分析等關鍵技術還相對薄弱,應積極推動產學研用結合,加強基礎、關鍵技術在云計算服務數據安全防護中的研究和應用推廣。
數據作為關鍵生產要素的價值日益凸顯,隨著云平臺廣泛應用、云計算服務的深入發展,作為數據流通的重要基礎設施,把安全貫穿云計算服務數據管理的全過程,嚴守數據安全底線,對帶動數據要素高質量供給、合規高效流通具有重要作用。
(本文刊登于《中國信息安全》雜志2024年第2期)
來源:中國信息安全