应用

技术

物联网世界 >> 物联网新闻 >> 物联网热点新闻
企业注册个人注册登录

在保障数据安全方面,AWS、微软、阿里、腾讯、华为是怎么做的?

2017-12-21 11:10 安全那些事

导读:数据是信息化时代的“石油”。 在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。因此数据是构建数字经济的关键因素。

  数据是信息化时代的“石油”。 在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。因此数据是构建数字经济的关键因素。

  那么数据在哪里呢?在移动互联网、云计算普及的今天,云计算平台数据重要集中存储、处理和应用平台,云计算企业成为最大的数据中心。因此,安全性更是不言而喻。

  中央领导特别强调,切实保障国家数据安全,加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。今年6月1日正式实施《网络安全法》特别对数据安全组明确规定和规范。

  云计算企业该如何保障数据安全的呢?又是如何做的呢?

  怎么保障云计算的数据安全?

  云服务主要是通过三种方式来保证数据安全: 一是技术安全:如防泄漏保护、权限保护、数据管理、数据加密等等;二是逻辑安全,也就是确保被授权的程序和数据的访问是根据用户的身份的认证授予的;另一种方式是影响非常大却容易被忽略——物理安全,云计算也是有服务器、IDC,必须只有授权且允许的人员才能物理接触。

  那么如何判定云计算企业都在这三方面下足功夫了呢?总不能邀请所有用户和网友入场驻点定期勘察甚至做实施直播吧?再说那样也不符合安全保护规定。不过,这些安全措施可以通过国际通用的安全认证、企业的安全承诺和自主发起的执行措施等指标来判定。

  数据安全的硬指标:标准认证

  专业的结果必须有专业的规范,ISO就是其中之一。

  作为一个国际标准化组织(International Organization for Standardization,ISO),ISO发布了第一个信息技术服务管理体系标准,也就是ISO20000,除此外还有业务连续性管理体系ISO22301等,这些均适用于云计算数据安全的标准。除此之外 ,还有PCI安全标准委员会制定的PCI数据安全措施——PCI DSS、CSA STAR云安全国际认证外,以及一些国家和区域的本地标准,例如新加坡 MTCS 第 3 级认证、德国C5、德国C5(基础与附加条款)、信息安全等级保护三级认证、中央网信办云安全审查等。

  简单罗列目前主流的几家云计算企业AWS、微软Azure、阿里云、腾讯云和华为云的认证情况。这些标准对技术和要求有强制性要求,如果满足不了是无法获得认证的。为了良好区分各家云计算企业在认证的不同,我们为每个指标10分,每获得一个认证就可加10分,最后通过总分判别各家获得的认证差异。

1_副本.jpg

2_副本.jpg

  当然,安全标准认证只是数据安全的基础保障,只是个硬指标。执行是否到位是认证的关键,所以再看两个软指标:人和服务。

  数据安全的软实力:态度决定一切

  如果比人数,那没意义,可以看公司管理者对安全的态度。以下是各个公司对安全的态度,尤其是高层的态度。因为高层的态度决定了下面的执行,而且高管们不只是管理,也要站出来把立场讲明白,要不然市场和用户不知道。

3_副本.jpg

4_副本.jpg

  同上,每个指标10分,最后通过总分判别各家的管理差异。好像,唯一没表态的是微软Azure。

  数据安全的最后一公里:执行落地

  有战略、有规范、就看具体落地执行了,再好的制度,如果不落地也是零。所以,执行非常关键。再看看各家对数据安全保护是怎么做的。如何判断执行力呢?可以通过云计算企业自主发布的安全白皮书等安全举措来判定。

  继续同上,每个指标10分,最后通过总分判别各家的执行力。

5_副本.jpg

  有2家公司拿到了10分,三家公司拿了20分。虽然只有两个分数等级,但是仔细比较来看,各家的执行力度和持久性各不相同。详细参见表格。

  汇总来看

  AWS:认证60+企业态度10+执行落地20=90分;

  微软Azure:认证80+企业态度=0+执行落地20=100分;

  阿里云:认证100+企业态度=10+执行落地20=130分;

  腾讯云:认证0+企业态度=10+执行落地20=100分;

  华为云:认证60+企业态度=10+执行落地10=80分;

  总之,数据安全很重要,各家云计算企业多努力。