标新领异 | 中国电信天翼云首获ISO27040存储安全认证

2019年12月27日,百年风险管理认证机构DNV·GL向中国电信天翼云颁发了ISO/IEC 27040:2015认证证书,自此天翼云成为全国首家符合国际ISO/IEC 27040:2015存储安全标准的企业,这也意味着天翼云存储安全已成为国际同业的领头羊。上海擎标有幸参与并提供全方位咨询服务。据了解,天翼云已为军运会、武汉地铁、苹果iCloud以及原力动画等各类企业提供云存储服务。

ISO27040_zhengshu

数据泄露频发 ISO27040重新界定数据安全边界


    据IDC发布《数据时代2025》的报告预测,全球数据总量到2025年将达到175ZB。与数据同步增长还有数据安全风险,2018年公开披露的数据泄露事件达到6500起,涉及50亿条数据记录,其中三分之二来自商业组织,政府占13.9%,医疗行业占13.4%,教育业占6.5%,给全球带来了巨大的商业损失,也为社会安全造成了威胁。针对日益复杂的信息环境和不断增长的信息安全需求,特别是存储安全需求,国际标准化(ISO)和国际电工委员会(IEC)制定了ISO/IEC27040:2015标准,旨在帮助企业提升数据安全存储管理能力。

ISO27040_2015

    此外,该标准也界定并拓宽了存储安全性的边界,不仅仅包括存储方式、传输方式,浏览权限,还包括法律法规、人员管理、物资管理等,涵盖设备和介质的安全性、与设备和介质相关的管理活动的安全性、应用程序和服务的安全性,以及在设备和介质的使用寿命期间以及使用结束后与最终用户相关的安全性等各方面。

    ISO/IEC27040:2015标准采用经过充分验证的一致方法来规划、设计、记录和实施数据存储安全性,为组织如何定义适当的风险缓解水平提供详细的技术指导,是管理数据存储安全的最高执行性标准之一。其存储安全性适用于存储信息的保护(安全性)以及通过与存储相关的通信链路传输的信息的安全性。

    ISO/IEC27040:2015标准包括数据泄露和遭受破坏的风险缓解指导,同时亦考虑到新技术和连通性的复杂状况,进一步支援ISO/IEC27001:2013信息安全管理标准的要求。在新的方面,标准包括对减轻数据泄露和腐败风险的指导,并同时兼顾了新技术和连接的复杂性。它解决了云存储环境下长期保留数据的安全性,同时支持信息安全管理体系的所有要求。

    总体来讲,ISO/IEC27040:2015旨在:

  •     帮助提醒对风险的关注;
  •     帮助企业更好的保护所存储的数据;
  •     为存储安全控制的审核、设计和审查提供基础准则。

存储标准与国际接轨数据安全应如何保障


    在《网络安全法》推出后,数据安全问题被提上了一个新的高度。在这一点上,天翼云作为中国云计算领域的“国家队”,自身的数据存储安全管理体系与国际ISO标准有着同样的全面性和前瞻性,这也是天翼云成为国内首个通过国际ISO/IEC 27040:2015认证企业的核心原因之一。在新存储技术中,存储安全风险主要来自于存储系统和基础架构处理的信息的威胁、技术性或者非技术性的漏洞以及威胁成功利用漏洞的影响,存储介质损坏、架构缺陷、越权存储、违规操作、意外丢失、DDoS攻击等都会造成数据存储的安全问题,也会直接影响企业的正常经营。

安全问题与时俱进存储安全亟待解决


    因此,数据存储安全不能简单的理解为防止黑客利用存储固件后台或者系统漏洞进行数据窃取,也需要聚焦于保护存储管理、确保适当的证书和信任管理、保护数据备份和恢复资源、静态数据保护,数据可用性保护、灾难恢复和业务连续性支持等。威瑞森《2019数据泄露调查报告》也验证了这一点,基于41686起安全事件和2013起数据泄露的真实数据分析显示,数据泄露背后的行为,除了黑客攻击外,还存在疏忽性的失误、特权用户的误用、物理活动等情况。

    天翼云正是基于数据安全保护的多元性,以及云计算、云存储的技术特性,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等5个维度构建全了维度的安全体系:

  • 物理和环境安全层面:天翼云将云资源池全部部署在高品质星级机房,并规划让所有资源池节点都满足等保基础能力,其中深圳资源池已通过等保四级认证,也是全国首个通过等保四级认证的资源池。
  • 网络和通信安全层面:依托中国电信网络和技术优势,天翼云形成了IPRAN、城域网、物联网、云间高速等系列专线产品;同时,打造了DDos防护、DNS防护、IPS入侵防护等一揽子安全产品。
  • 设备和计算安全层面:配备服务器安全卫士,提供操作系统级的资产清点、漏洞发现、入侵检测,通过专属云服务提供计算/存储/网络独享的安全计算服务。
  • 应用和数据安全层面:提供面向Web应用的WAF防火墙、网页防篡改,以及面向数据的证书服务和数据库安全审计。
  • 安全管理层面:通过云堡垒机提供运维权限和操作安全管理能力,通过安全审计提供异常发现和日志留存能力,通过渗透测试和漏洞扫面服务提供漏洞发现能力,通过SOC平台提供态势感知和事件管理能力。

    基于这样的数据安全体系,天翼云的安全性达到了国际标准,在国内云服务商中名列前茅,先后通过中央网信办网络安全审查,可信云服务认证、CSA-STAR认证以及ISO27001认证等。在本次ISO27040认证中,面对国际存储安全的最新标准,天翼云依旧从研发、运维、技术、产品、管理等全维度给出了良好的审评表现,数据可用性超过99.9%,数据设计持久性高达99.99999999999%,一次性通过认证。

tianyiyun

    从自身安全体系适配国际最高标准这一侧面来看,天翼云正在从国内走向国际,为国内外各类企业提供中国云服务。据了解,天翼云正借助中国电信国际海缆和跨境陆缆,加速国际资源池节点部署,目前已经建成20余个国际云数据中心,可在亚、欧、非、北美、大洋洲的14个国家和地区提供云资源,并且在2019年首次进入全球云行业排名,位列全球第七。

    随着数字化技术进一步应用,全球将进入一个由数据经济主导的新时期,经济发展的区域边界将越来越模糊;同时,数据安全标准的全球化特征也会越来越明显。而互联网企业只有尽早融入国际化体系,才能提升自身全球化竞争力。