在万物上云趋势之下,信息安全备受关注,无论是个人隐私还是企业级数据,任何微小的疏漏都将带来不可预估的风险。
在视频信息领域,内容的完整性、隐私性要求更高,信息敏感度尤为突出。对于个人用户而言,通过选择知名品牌,获得更佳的使用体验,可以有效规避相关风险。
而对于企业级客户,视频云PaaS平台是自身数字化转型升级的重要底座,关乎企业未来业务的发展方向,夯实安全能力,方能行稳致远,云安全不再是某些能力上的维护即可,而是全方位、体系化的进阶要求。在视频云平台合作伙伴的选择上,安全能力是企业考量的重点,甚至是决策制高点。
体系化安全带来的价值
个人数据的保护
个人用户可以将自己的数据存储在云端,例如文档、照片、视频等。云服务安全保护用户数据的机密性和完整性,可以避免网络攻击者窃取、篡改或删除用户数据,从而保护用户的隐私和权益。
企业数据的保护
云服务对于企业来说是一个重要的工具,可以存储和处理大量数据,包括客户信息、财务记录、知识产权、数据资产、设备关系等。
云服务安全保护企业数据的可靠性和可用性,可以避免因为数据丢失、损坏或泄漏导致企业遭受巨大的经济和声誉损失。
防止恶意攻击
云平台常常成为网络攻击人员的攻击目标,他们可能通过网络攻击或其他手段入侵云服务系统,窃取或破坏数据,甚至可能通过云服务攻击其他用户。云服务安全包括有效防范这些攻击行为,确保云平台的安全和稳定运行。
符合法律和合规要求
许多国家和地区制定了相关法规和规定,要求企业在云服务中保护客户数据的隐私和安全。随着全球化业务部署,企业除了应对本国的安全监管要求,对于更多国家的监管措施,也需具备完整的应对能力。
提高用户信任度
云服务安全可以帮助客户建立服务对象的信任。云服务提供商通过符合安全标准、获得安全认证等方式,证明其云服务的可靠性和安全性,协助构建安全体系背书,服务更广大用户。
萤石网络安全体系构建历程
“乐享安全智能生活”——萤石品牌Slogan诠释了守护消费者安全的使命与信心,而想要落实守护生活安全,背后的企业技术安全不可或缺,安全体系构建贯穿萤石的发展历程。
随着全球化业务布局和云平台业务全栈开放,萤石对于安全建设的使命感更为强烈,将安全能力做到极致,以应对持续变化的挑战。
截至目前,萤石已经通过ISO 27001、ISO 27017、CSA STAR 、ISO 27018、ISO 27701、ISO 29151、ISO 22301等主要标准体系,打造了业内领先的信息安全管理体系和个人信息保护管理体系。
ISO 27001 是信息安全管理体系(ISMS)国际标准,为各类组织建立并运行信息安全管理体系提供了最佳实践指导。
按照标准要求:基于业务风险的方法,公司必须有相应的安全管理团队去建立、实施、运行、监控、评审、维护和改进信息安全;为了确保信息的机密性、完整性和可用性,萤石成立了网络安全委员会,建立了体系化的安全管理制度,并由决策层承诺提供资源保障;遵循 PDCA 方法,公司须每年开展体系审计工作,持续改进信息安全管理。
ISO 27017是基于ISO 27002的云服务信息安全控制的实施规程的国际标准。该标准为云服务提供商和云平台客户提供控制和实施指导,解决多个痛点:明确了云服务提供商和云平台客户的职责;当服务合同终止时,云上资产的转移和归还;云平台客户所属虚拟环境的保护和分离;与云平台相关的管理操作和程序。
CSA STAR认证是一项全新而有针对性的国际专业认证项目,旨在应对与云安全相关的特定问题。以ISO 27001为基础,结合云端安全控制矩阵CCM的要求,运用成熟度模型和评估方法,为提供和使用云计算的任何组织提供了一个通用性的标准。
该认证有18个安全控制域,涉及组织的流程控制、日志记录、人员管理、漏洞修复等,该认证充分考验了企业运营云平台的综合安全能力,需经过层层审核才能获得。
ISO27018认证是首个专注于云中个人数据保护的国际行为准则。它基于ISO信息安全标准27002,并针对适用于公有云个人可识别信息(PII)的ISO 27002控制体系提供了实施指南,以确保个人身份信息(PII)资料在经由云个人身份信息处理者处理时得到保护,从而为在多国市场运营的云服务商提供一个共同合规框架。
ISO 27701为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南,令PIMS作为ISO 27001中定义的灵活信息安全管理系统 (ISMS) 的扩展,在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。
与ISO27001中定义的要求类似,该认证着重检查对隐私管理体系的建立、运行、维护、持续优化,对公司的管理能力提出更高的要求。且该认证可能用于证明包括《通用数据保护条例》(EU) 2016/679 (GDPR) 在内的全球隐私合规。
ISO 29151是关于处理个人可识别信息(PII)的控制措施和指南,以满足与保护 PII 有关的风险评估和隐私影响评估所确定的要求。
它侧重于隐私技术,涵盖26个控制域,181条控制措施,规范了个人信息收集、存储、处理、使用和披露等各个环节中数据操作的相关行为,为企业保障个人隐私安全、控制合规风险提供指导。它适用于任何对隐私保护有需求的组织,对开展个人身份信息保护提供了一个广泛的指南。
ISO 22301拥有更高的国际认可度,它强调制定目标、监测表现和指标,对企业管理层提出了更加清晰的期望值,对业务连续性计划的制定提出了更高的要求。
ISO22301管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其抵御可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少相关事故给企业带来的损失。它对公司排查风险、抵抗风险的能力提出了更严苛的要求。
如何保障用户/客户信息安全?
针对个人用户,萤石严格遵循网络安全法及个人信息保护法的要求,将所有需要个人信息的功能和权限在隐私政策中做了详尽说明。
针对合规采集到的信息数据,做好分类分级规划。设备采集的内容经过用户自定义的密码加密,随后通过萤石私有码流协议加密的通道传输至萤石云中,切实保护用户的个人信息。当用户注销其账号时,萤石云平台将按照法规要求删除存储的用户信息,保障用户的个人权益。
面向行业客户,一方面,萤石侧重保护客户分区的可用性。萤石面向客户提供产品智能化解决方案和应用程序开发的技术工具,萤石云采用多并发、多方部署的形式,当发生故障能及时自动切换,有效保障客户的可用性。
另一方面,萤石加强保障客户数据的隐私性。针对客户的数据,萤石使用客户自定义的密码进行加密,数据加密后只能由客户解密查看,形成一道天然的隔离层,同时萤石云设置访问控制管理,保障每个客户数据的隐私性。
未来安全挑战不断,持续升级守护
随着云计算的快速发展和广泛应用,云安全问题也成为当前及未来云计算领域面临的一个重要挑战。
1. 身份和访问管理:云计算中的身份和访问管理是一个关键的问题。云环境下的身份验证和访问控制需要更加严格和精细,确保只有授权的用户才能访问敏感数据和资源。
2. 数据隐私和保护:云计算中的数据安全问题是一个持续存在的挑战。云环境下,数据在传输和存储过程中容易受到未授权访问、窃取或篡改的威胁。需要采用加密、备份等措施来保护数据的安全。
3. 虚拟化安全:虚拟化技术是云计算的核心技术,但也是云安全面临的挑战之一。云环境下的虚拟化技术可能面临着虚拟机逃逸、虚拟机间隔离不足等安全问题。
4. 配置和管理安全:云环境中的各种资源和服务都需要进行配置和管理,但这也是安全问题的一个重要来源。云环境中的配置错误、漏洞等问题可能导致安全威胁,需要对云环境进行全面的配置和管理。
5. 外部威胁:在云环境下,外部威胁也是一个不可忽视的挑战。黑客攻击、恶意软件等威胁可能会直接影响到云服务的安全性,需要采用多种技术手段来应对这些威胁。
未来安全体系建设重点
新技术实施
萤石将搭建以“零信任技术”为基础的访问控制架构,该框架将淡化内外网的概念,每次对业务、数据、系统的访问都会进行身份验证,可以有效保障云平台上数据的保密性和完整性。
同时,紧贴行业动向,规划基于AI的安全技术,该技术通过对日志和用户行为分析进行自我学习升级,有效阻止未授权访问和恶意行为,能更好地保护平台的安全性。
加强外部协作
继续加强与外部监管机构的交流沟通,及时了解当前最新的合规要求并接受相关部门的监督。另外通过与外部安全公司紧密合作,主动深入挖掘业务系统和设备潜在的安全风险,在安全问题造成影响前及时排查修复。
为广大消费者用户、行业客户守护上云安全,是萤石使命所在,面对外部环境的日益变幻,我们也将持续攀登更高的目标,不断提升云服务安全防护能力。