七、安全和合规能力Security
1. 基本概念
我国已出台关于网络与数据安全的法律、行政法规、部门规章、规范性文件等共计两百多部,包括网络安全治理的国家基本法《网络安全法》、数据安全的国家基本法《数据安全法》、隐私权与个人信息权益的国家基本法《个人信息保护法》等,形成了覆盖网络安全等级保护、关键信息基础设施安全保护、网络关键设备和网络安全专用产品管理、国家网络安全事件管理、密码管理、跨境活动网络安全管理、数据安全管理、个人信息保护等领域的网络安全法律法规体系。
无论是企业网络中还是云上,从个人和财务信息到数据保护和隐私,企业需要确保它们符合行业和法规要求,以确保数据的保护和隐私以满足当地政府机构的法律法规。
1) 云上安全的概念
通常意义的云计算安全或云安全指通过一系列策略、控制和技术,共同确保数据、基础设施和应用安全,保护云计算环境免受外部和内部网络安全威胁和漏洞的影响。越来越多的企业更加的重视云安全和合规,云上安全合规需要有自上而下的顶层设计,要以安全为出发点构建云上应用。
2) 云上安全的基本原则-安全责任共担模型
不同于传统的IDC,云计算是一种共享技术模型,其安全责任由双方共同承担,这通常被称为安全责任共担模型。
宏观上讲,云计算平台负责基础设施(包括跨地域、多可用区部署的数据中心,以及骨干传输网络)和物理设备(包括计算、存储和网络设备)的安全,并负责运行在云操作系统之上的虚拟化层和云产品层的安全。同时,云平台也负责平台侧的身份和访问的控制和管理、监控和运营,从而为客户提供高可用和高安全的云服务。
客户负责以安全的方式配置和使用各种云上产品,并基于这些云产品的安全能力,以安全可控的方式构建自己的云上应用和业务,保障云上数据的安全。
