云計算如何獲得信任？認證評級

時間：2023-03-13 05:54:02 | 來源：電子商務(wù)

時間：2023-03-13 05:54:02 來源：電子商務(wù)

云計算的本質(zhì)在于通過集中供應(yīng)式的彈性計算，降低計算成本。與水廠、電廠不同的是，云計算使用者需要把數(shù)據(jù)交給云計算廠商，這讓一些廠商對云計算心存芥蒂，寧愿使用一些昂貴的計算方式或者服務(wù)較差的云計算服務(wù)比如運營商。不過近日一個事件表明，云計算安全已經(jīng)不再是問題。

一、民生網(wǎng)站獲權(quán)威安全評級,為云計算正名

近日部署于阿里云的中國藥品電子監(jiān)管網(wǎng)正式通過信息安全等級保護三級測評。這是全國首例部署在“云端”的部委級應(yīng)用系統(tǒng)，通過國家權(quán)威機構(gòu)測評，進一步證明阿里云的數(shù)據(jù)安全性。

中國藥品電子監(jiān)管網(wǎng)隸屬于藥品食品監(jiān)督管理局。通過電子身份證對藥品的生產(chǎn)、流通、銷售和使用進行全流程跟蹤，目前已涵蓋疫苗、基本藥品等大多數(shù)高風(fēng)險和常用藥品，在藥品安全領(lǐng)域發(fā)揮著重要作用。

藥監(jiān)網(wǎng)每天新增上億條藥品信息，存量數(shù)據(jù)已經(jīng)超過600億條。作為政府部門的監(jiān)管網(wǎng)站其每天需要響應(yīng)海量的查詢和更新請求，這對計算能力提出強大要求。正是在這一背景下其選擇了業(yè)內(nèi)領(lǐng)先的第三方云計算平臺：阿里云。但其涉及民生，所處理的又是藥品數(shù)據(jù)，對信息安全自然有極高的要求，尤其是在中國云計算平臺安全能力參差不齊且無統(tǒng)一認證標準的背景下。

今年8月，公安部信息安全等級保護評估中心啟動測評項目，并開展云計算環(huán)境數(shù)據(jù)安全專項評估。評估小組針對用戶數(shù)據(jù)隔離、容災(zāi)技術(shù)進行重點檢查和驗證，累計測評點超過2154個。測評結(jié)論顯示：中國藥品電子監(jiān)管網(wǎng)基本具備三級安全保護能力要求；阿里云數(shù)據(jù)安全保護措施，通過了測評專家實際檢驗。阿里云在提供單表百TB級別的存儲能力下，可做到高并發(fā)、低延遲，能支撐業(yè)務(wù)實時查詢能力；多份數(shù)據(jù)副本特性及異地容災(zāi)（兩地共6份數(shù)據(jù)），存儲做到數(shù)據(jù)高可靠性。

這是中國云計算產(chǎn)業(yè)的一個小小的里程碑，云計算不安全的帽子被除掉的開始。國家權(quán)威機構(gòu)的背書和部委級網(wǎng)站的示范效應(yīng)，無疑給對云計算持有觀望態(tài)度的企業(yè)和組織吃了一顆定心丸。

二，云計算安全認證或?qū)⒅贫然?，云計算廠商的安全帽

這一次藥監(jiān)網(wǎng)是主動邀請權(quán)威部門對安全進行了系統(tǒng)評級，來驗證阿里云以及藥監(jiān)網(wǎng)的安全性。在筆者看來未來云計算廠商為證明自己的安全能力，或許都需要通過權(quán)威部門的相關(guān)認證和評級，就像現(xiàn)在大中型網(wǎng)站會貼出第三方安全機構(gòu)的掃描認證標識一樣。

在iCloud艷照門之后，個人云服務(wù)的安全保障已迫在眉睫。這僅僅依靠云計算廠商的自我安全防護是不夠的。第三方機構(gòu)進行監(jiān)管、通過定期認證、不定期抽查等方式便可以敦促廠商不斷優(yōu)化安全手段。評級和認證還會給用戶提供一個參考，降低隱私侵害、數(shù)據(jù)泄漏等傷害。

同理，企業(yè)云計算廠商同樣需要第三方認證和評級的背書。甚至這更重要，因為企業(yè)和組織擁有的數(shù)據(jù)規(guī)模更大，出現(xiàn)數(shù)據(jù)安全問題帶來的經(jīng)濟損失遠遠超過個人的隱私泄漏損失。尤其是涉及到交易，民生等類型的企業(yè)，比如快遞、電商、醫(yī)療等。

三、云計算廠商如何保障數(shù)據(jù)安全？技術(shù)和管理雙管齊下

如何攻破云計算機房更有效？不是多高深的黑客技術(shù)，而是直接攻破物理機房。這個段子告訴我們信息安全永遠都不只是技術(shù)問題。

云計算廠商要向外界證實自己的安全實力，需要在幾個維度證明。

一是安全本身。即能防范外敵入侵，又能預(yù)防家賊。應(yīng)對外部攻擊更多是技術(shù)問題通過防火墻，防DDOS等技術(shù)解決，還有對物理機器的嚴格看護；杜絕內(nèi)部人員非法接觸數(shù)據(jù)則是技術(shù)和管理的雙重問題。例如中國藥品電子監(jiān)管網(wǎng)和阿里云均采用堡壘機登錄運維數(shù)據(jù)庫，制定了嚴格的系統(tǒng)安全管理制度，從技術(shù)上和管理上兩個角度保障數(shù)據(jù)安全。

二是容災(zāi)能力。在出現(xiàn)被攻擊情況、出現(xiàn)一些極端災(zāi)害情況之后，云計算廠商要能夠恢復(fù)。這需要有跨越物理位置的數(shù)據(jù)備份機制，需要RAID磁盤等軟硬件技術(shù)。阿里云為藥監(jiān)網(wǎng)提供多份數(shù)據(jù)副本特性及異地容災(zāi)（兩地共6份數(shù)據(jù)），存儲做到數(shù)據(jù)高可靠性。

三是容錯能力。在出現(xiàn)服務(wù)器故障、網(wǎng)絡(luò)故障，機房停電等情況還要具備一定的訪問能力，提升云計算服務(wù)可靠性。因此一般云計算廠商會通過服務(wù)器集群、自建發(fā)電機房和蓄電池組等方式來進行服務(wù)能力的備份。就是說服務(wù)器的數(shù)據(jù)安全不只是數(shù)據(jù)本身。

云計算的先進性有目共睹。它在萬物互聯(lián)的數(shù)據(jù)大爆炸時代愈發(fā)重要。中小企業(yè)已經(jīng)開始適應(yīng)云計算，大型企業(yè)和組織機構(gòu)卻因為信息安全顧慮等原因搖擺不定。隨著安全評級的出現(xiàn)、阿里云等云計算廠商對自身安全的不斷夯實，云計算全面取代本地計算的時刻即將到來。

作者微博@互聯(lián)網(wǎng)阿超，微信SuperSofter，掃碼來關(guān)注: