云计算如何获得信任?认证评级 云和虚拟化
云计算的本质在于通过集中供应式的弹性计算,降低计算成本。与水厂、电厂不同的是,云计算使用者需要把数据交给云计算厂商,这让一些厂商对云计算心存芥蒂,宁愿使用一些昂贵的计算方式或者服务较差的云计算服务比如运营商。不过近日一个事件表明,云计算安全已经不再是问题。
一、民生网站获权威安全评级,为云计算正名
近日部署于阿里云的中国药品电子监管网正式通过信息安全等级保护三级测评。这是全国首例部署在“云端”的部委级应用系统,通过国家权威机构测评,进一步证明阿里云的数据安全性。
中国药品电子监管网隶属于药品食品监督管理局。通过电子身份证对药品的生产、流通、销售和使用进行全流程跟踪,目前已涵盖疫苗、基本药品等大多数高风险和常用药品,在药品安全领域发挥着重要作用。
药监网每天新增上亿条药品信息,存量数据已经超过600亿条。作为政府部门的监管网站其每天需要响应海量的查询和更新请求,这对计算能力提出强大要求。正是在这一背景下其选择了业内领先的第三方云计算平台:阿里云。但其涉及民生,所处理的又是药品数据,对信息安全自然有极高的要求,尤其是在中国云计算平台安全能力参差不齐且无统一认证标准的背景下。
今年8月,公安部信息安全等级保护评估中心启动测评项目,并开展云计算环境数据安全专项评估。评估小组针对用户数据隔离、容灾技术进行重点检查和验证,累计测评点超过2154个。测评结论显示:中国药品电子监管网基本具备三级安全保护能力要求;阿里云数据安全保护措施,通过了测评专家实际检验。阿里云在提供单表百TB级别的存储能力下,可做到高并发、低延迟,能支撑业务实时查询能力;多份数据副本特性及异地容灾(两地共6份数据),存储做到数据高可靠性。
这是中国云计算产业的一个小小的里程碑,云计算不安全的帽子被除掉的开始。国家权威机构的背书和部委级网站的示范效应,无疑给对云计算持有观望态度的企业和组织吃了一颗定心丸。
二,云计算安全认证或将制度化,云计算厂商的安全帽
这一次药监网是主动邀请权威部门对安全进行了系统评级,来验证阿里云以及药监网的安全性。在笔者看来未来云计算厂商为证明自己的安全能力,或许都需要通过权威部门的相关认证和评级,就像现在大中型网站会贴出第三方安全机构的扫描认证标识一样。
在iCloud艳照门之后,个人云服务的安全保障已迫在眉睫。这仅仅依靠云计算厂商的自我安全防护是不够的。第三方机构进行监管、通过定期认证、不定期抽查等方式便可以敦促厂商不断优化安全手段。评级和认证还会给用户提供一个参考,降低隐私侵害、数据泄漏等伤害。
同理,企业云计算厂商同样需要第三方认证和评级的背书。甚至这更重要,因为企业和组织拥有的数据规模更大,出现数据安全问题带来的经济损失远远超过个人的隐私泄漏损失。尤其是涉及到交易,民生等类型的企业,比如快递、电商、医疗等。
三、云计算厂商如何保障数据安全?技术和管理双管齐下
如何攻破云计算机房更有效?不是多高深的黑客技术,而是直接攻破物理机房。这个段子告诉我们信息安全永远都不只是技术问题。
云计算厂商要向外界证实自己的安全实力,需要在几个维度证明。
一是安全本身。即能防范外敌入侵,又能预防家贼。应对外部攻击更多是技术问题通过防火墙,防DDOS等技术解决,还有对物理机器的严格看护;杜绝内部人员非法接触数据则是技术和管理的双重问题。例如中国药品电子监管网和阿里云均采用堡垒机登录运维数据库,制定了严格的系统安全管理制度,从技术上和管理上两个角度保障数据安全。
二是容灾能力。在出现被攻击情况、出现一些极端灾害情况之后,云计算厂商要能够恢复。这需要有跨越物理位置的数据备份机制,需要RAID磁盘等软硬件技术。阿里云为药监网提供多份数据副本特性及异地容灾(两地共6份数据),存储做到数据高可靠性。
三是容错能力。在出现服务器故障、网络故障,机房停电等情况还要具备一定的访问能力,提升云计算服务可靠性。因此一般云计算厂商会通过服务器集群、自建发电机房和蓄电池组等方式来进行服务能力的备份。就是说服务器的数据安全不只是数据本身。
云计算的先进性有目共睹。它在万物互联的数据大爆炸时代愈发重要。中小企业已经开始适应云计算,大型企业和组织机构却因为信息安全顾虑等原因摇摆不定。随着安全评级的出现、阿里云等云计算厂商对自身安全的不断夯实,云计算全面取代本地计算的时刻即将到来。