在本周于奧蘭多召開的云安全聯(lián)盟大會上，會議的重點主要集中在即將美國和歐洲境內實施的兩部重要法規(guī)上。

根據(jù)歐盟在多年出臺的總指導原則，歐盟二十多個成員國都分別制訂了自己的數(shù)據(jù)隱私法。目前，歐盟成員正在穩(wěn)健而緩慢朝著制訂一個統(tǒng)一的數(shù)據(jù)隱私法前進。

數(shù)據(jù)隱私法專家Margaret Eisenhauer稱，由于需要得到歐洲議會的批準，因此在歐盟于今年年初公布的諸多建議性規(guī)定中，許多可能直到2016年或是更晚時候才能成為法律。

在歐洲，尤其是像德國這樣的國家，目前已經出臺了比美國更多嚴格的法規(guī)，其要求存儲個人信息的數(shù)據(jù)庫必須要在政府部門注冊，并對數(shù)據(jù)能夠被傳輸哪些地方有著明確的規(guī)定。Eisenhauer稱：“歐洲的法律將隱私保護作為了一項最基本的人權�！�

對于獲得提案的歐盟法規(guī)來說，好處是歐盟國家在理論上將有一個統(tǒng)一的法律而不用各自出臺相關的法律。其中，“第29條工作小組意見”專門針對的是云計算的使用，其對云服務提供商和用戶提出了一長串的安全控制要求。

Eisenhauer稱，云服務提供商必須要讓他們的運作實現(xiàn)“透明化”，不過目前部分提供商并不愿意這么做。

法規(guī)還涉及如何擬定云計算合同。Eisenhauer稱：“在許多要求當中，服務提供商必須要說明數(shù)據(jù)將被安排在哪里處理，以及將從哪里訪問這些數(shù)據(jù)�？蛻粲袡嘣L問他們的數(shù)據(jù)�！边@意味著服務提供商必須要能夠向客戶展示這些數(shù)據(jù)的物理與邏輯存儲位置。

對于歐盟來說，許多理念已經成為了規(guī)范，如“被遺忘權”概念。如今用戶常常會被通過cookies跟蹤，“被遺忘權”認為個人有權互聯(lián)網中不被跟蹤。而 “默認隱私設置”概念意味著在歐洲使用的Web瀏覽器應當默認打開“不跟蹤”功能。Eisenhauer稱：“這意味著歐洲國家已經開始對‘行為定位’感到擔憂。”

Eisenhauer稱，根據(jù)一些歐洲法律的理念，目前安全產品用于發(fā)現(xiàn)惡意行為跡象的核心技術——深度包檢測也存儲違反歐洲法律的可能性，公司需要注意部署深度包檢測的方式。即便是通過安全與信息事件管理(SIEM)監(jiān)管員工使用網絡，也不符合歐洲的數(shù)據(jù)隱私理念。

被提議的歐盟數(shù)據(jù)隱私法規(guī)要求服務提供商應當迅速向當?shù)卣�府、�?shù)據(jù)隱私監(jiān)管部門和受到影響的個人報告數(shù)據(jù)泄露事件。法規(guī)還將對未能遵守規(guī)定的公司進行處罰，處罰金額至少占公司全球營收的2%。

不過，Eisenhauer補充稱，歐洲負責數(shù)據(jù)隱私的政府監(jiān)管部門鼓勵云服務提供商與客戶就出現(xiàn)的任何問題進行直接溝通。他們希望解決問題，而不是單純地進行處罰。

包括作為云安全聯(lián)盟(CSA)成員的惠普公司在內，許多公司都在密切關注這類將會對云服務產生影響的監(jiān)管要求。

惠普企業(yè)安全解決方案部門全球技術官Andrzej Kawalec：“你將不得不對審計人員和監(jiān)管制度做出回應�！边@意味著整個數(shù)據(jù)中心將不再統(tǒng)一采用一種運營模式，而是分別有針對性的進行調整，以滿足歐洲、亞洲和北美地區(qū)的不同要求。

他稱：“比如說，在瑞士，瑞士人認為數(shù)據(jù)應當存儲在瑞士境內。在安全和數(shù)據(jù)保護方面，每個公司都需要遵守更為嚴格的要求�！辈煌�的地區(qū)對許多理念在認知上存在著差異，如歐洲認為IP地址也是個人身份信息的一部分，但是在美國卻并不被認同。

目前美國也正在對云計算和安全進行重大的監(jiān)管調整。這些調整的標志是美國政府在今年年初公布的FedRAMP項目。

FedRAMP旨在讓那些為政府部門提供服務的云服務提供商(CSP)在未來兩年內通過特殊的安全認證。咨詢公司Bright Moon Security的首席執(zhí)行官Chris Simpson稱，盡管目前還沒有一家CSP通過認證，但是該項目的目的通過第三方評估確認這些CSP的云環(huán)境符合特定的安全要求。

這些評估包括云端的事件響應、高動態(tài)環(huán)境中的數(shù)字取證、多租戶環(huán)境中的威脅探測與分析、對補救措施的持續(xù)監(jiān)控等。FedRAMP要求服務提供商必須做好準備，隨時向美國計算機應急響應組織(US CERT)和可能受到影響的政府部門報告各類安全事件。Simpson指出，代理服務商也應當隨時向US CERT進行報告。

如果CSP無法達到FEDRAMP的要求，那么他們將無法向美國政府部門提供服務。Simpson稱，雖然通過了FedRAMP認證的服務提供商有資格與美國政府部門簽訂服務合同，但是如果發(fā)生了安全事件或出現(xiàn)了數(shù)據(jù)泄露，那么他們可能將被取消資格。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網的前沿資訊和基礎知識，讓我們一起攜手，引領人工智能的未來！

標簽： 安全 大數(shù)據(jù) 服務商 互聯(lián)網 數(shù)據(jù)庫 網絡 云服務 云計算

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。