信通院云安全主管封莎:《云服务用户数据保护能力评估方法 第2部分:私有云》标准解读

这张图是对上图的细化,上一张图是具体的大类,在每一个大类里面,又细化出了具体指标。比如说在数据持久性里面,又细化出了数据存储的持久性、数据存储的完整性、数据本地备份和恢复、双活中心建设、异地实时备份等等。

根据云服务用户数据安全的属性,将指标分为三类,一是基础属性,包括我们所熟知的保密性、可用性、完整性。第二类是云服务特有的属性,包括持久性、隐私性、知情权、销毁安全性等。第三类是一些扩展的属性,包括数据访问的安全性、入侵防范、恶意代码防范、安全审计、数据防窃取、售后服务与技术支持和服务可审查性等。

基础能力里面的保密性包含了六个评估点。首先,隔离安全性是指云服务商需要具备有效的隔离手段,来保证同一资源池用户数据互不可见,从技术上保证租户不能访问、获取或者篡改其他租户的数据。第二是存储的保密性,指云服务商应采用加密技术和其他的保护措施实现用户鉴别信息的保密性,支持用户数据加密。第三,加密算法可配置,是要支持用户对加密算法强度方式等参数的可选配置,这一点我们在之前公有云的评估之中发现大家对这一点的支持还是比较弱的,就加密算法这一块基本上还是支持一个单一的算法,对于可配置算法的支持目前来看还是需要加强的一个薄弱点。第四,加解密性能,是要保证用户加解密操作的效率,单位为每秒加解密的次数或者加解密数据量。第三方加密指应该支持用户选择第三方加密以及密钥管理机制对用户数据进行加密。最后传输保密性是指采用必要的技术措施,保证用户鉴别信息传输的保密性,并应承诺支持用户实现对重要数据传输进行加密。

基础能力构建里面的可用性是指在合同期内用户对数据的各项操作,如上传、修改、删除、查找等操作成功的概率,这个概率值我们在具体的操作中是取了云主机可用性、数据库可用性和存储可用性三者概率值的最低值作为整个云平台的数据可用性。

第三个完整性,又包括存储完整性和传输完整性。存储完整性是指数据完整性不被破坏的概率,并且在检测到完整性错误的时候要采取必要的恢复措施。传输完整性是指云服务商能够检测数据在传输过程中的完整性是否受到破坏,并且在检测到完整性错误时采取必要的恢复措施。

云数据特有能力的构建,首先是持久性,包括存储持久性、本地备份和恢复、异地备份和恢复、双活数据中心的建设和异地实时备份。其中存储的持久性,是数据保存不丢的概率。

云数据特有能力构建中的隐私性,是指未经用户授权,云服务商不得获取查看用户数据,不得用于机器学习、大数据分析等二次利用。除政府监管部门监察审计需要外,不得将数据提供给第三方。

云数据特有能力构建中的知情权,就是指用户有权利了解数据存储的位置、拷贝数量、使用程度等这样的一些跟用户数据密切相关的信息。

迁移安全性又包括了数据迁移安全性和业务连续性两个指标,数据迁移安全性是指用户能够控制数据的迁移,保证用户弃用该服务的时候,数据能够迁入和迁出。业务的连续性是指云服务商保证用户数据在不同虚拟机之间迁移时不影响业务的连续性,就是说数据在迁移时,用户的业务不能够受到影响,不能中断。特有能力构建最后一点,销毁安全性。包括数据可销毁性和禁止数据恢复。

数据访问安全性包括数据访问授权、访问权限最小化、身份鉴别、暴力破解防范和异常行为监测等。

入侵防范,包括云主机镜像更新和入侵和攻击行为监测两个指标。云主机镜像更新指云服务商应对云主机镜像提供漏洞补丁更新管理功能。入侵和攻击行为监测指应在系统边界处部署安全防御设备或技术措施,有效抵御和防范各种攻击,并对网络入侵和攻击行为进行监测。

恶意代码防范包括宿主机恶意代码防范和用户主机恶意代码防范,我们在评估中有很多云厂商也有一些自己的想法,觉得可能用户主机恶意代码防范的职责属于用户,而不应该是云服务商,这里会有一定的争议。但是我们还是认为,用户主机恶意代码防范这样一个能力是云服务厂商需要提供给用户的,至于用户是否使用,如何使用,这是属于用户自己的职责。

安全审计,包括常规安全审计和自动化审计。

数据防窃取性是指应该提供有效的磁盘保护方法和数据碎片化存储措施,保证即使磁盘丢失,也无法获取有效的数据。