安全之花如何盛開在華為云空間的每個(gè)角落?

　　移動(dòng)互聯(lián)時(shí)代的到來(lái)，讓數(shù)字居民不斷擴(kuò)容，在物理世界和數(shù)字世界之間頻繁往來(lái)。個(gè)人云存儲(chǔ)服務(wù)，也就成了萌發(fā)數(shù)字生活的種子，破土發(fā)芽而最終成長(zhǎng)為連接物理與數(shù)字兩個(gè)空間的藤蔓。

　　個(gè)人云存儲(chǔ)服務(wù)，從你我的硬件終端設(shè)備連接著數(shù)字新世界。數(shù)據(jù)自動(dòng)備份，手機(jī)、PC、平板多設(shè)備無(wú)感同步，文件輕松存儲(chǔ)，云盤上傳下載不限速……一旦體驗(yàn)過云端生活的方便快捷，相信大部分人都會(huì)選擇拋棄硬盤和U盤，再也回不去從前了。本世紀(jì)初，蘋果、谷歌、微軟等巨頭就相繼推出了面向個(gè)人的云存儲(chǔ)服務(wù)，Dropbox更是憑借個(gè)人云存儲(chǔ)服務(wù)，成為最有價(jià)值的創(chuàng)業(yè)公司之一。終端設(shè)備覆蓋全球市場(chǎng)和用戶的華為，也通過華為云空間來(lái)提供個(gè)人云存儲(chǔ)服務(wù)。

　　但是，使用個(gè)人云存儲(chǔ)服務(wù)的人大多都會(huì)對(duì)數(shù)據(jù)安全感到擔(dān)憂。

　　便捷性與安全性的矛盾，成為更多移動(dòng)終端用戶擁抱云存儲(chǔ)的主要顧慮。

　　當(dāng)然了，矛盾也意味著機(jī)會(huì)。在行業(yè)普遍沒能交出滿意答卷的時(shí)候，掌握了技術(shù)優(yōu)勢(shì)的廠商，或許能夠率先撬動(dòng)市場(chǎng)。

　　憑借華為在全球范圍內(nèi)領(lǐng)先的技術(shù)優(yōu)勢(shì)，華為云空間在數(shù)據(jù)安全上表現(xiàn)得尤為不同。

　　今天，我們從一顆安全的種子說起，聊聊云存儲(chǔ)如何才能保證個(gè)人數(shù)據(jù)的安全無(wú)虞。

萌芽：根植深處的安全理念

　　對(duì)于絕大多數(shù)消費(fèi)者來(lái)說，相信品牌的力量，是選擇個(gè)人云存儲(chǔ)服務(wù)最簡(jiǎn)單有效的方法。頭部科技企業(yè)站在市場(chǎng)和監(jiān)管的聚光燈下，往往更加愛惜羽毛，對(duì)數(shù)據(jù)安全更加重視。

　　多年深耕終端消費(fèi)者業(yè)務(wù)的華為，將用戶數(shù)據(jù)安全與隱私保護(hù)放在了首位。

　　企業(yè)文化層面，網(wǎng)絡(luò)安全和隱私保護(hù)是華為公司的最高綱領(lǐng)，置于整個(gè)公司的商業(yè)利益之上。提出了消費(fèi)者業(yè)務(wù)安全與隱私保護(hù)的“四大主張”和“三大承諾”，其中就包括數(shù)據(jù)層層加密，未經(jīng)允許任何人無(wú)法訪問;每一步信息都由用戶全權(quán)掌控。

　　系統(tǒng)軟硬件層面，圍繞硬件、OS搭建起系統(tǒng)級(jí)數(shù)據(jù)保護(hù)能力。結(jié)合華為在軟硬件系統(tǒng)的底層技術(shù)創(chuàng)新，數(shù)據(jù)服務(wù)與應(yīng)用可以與硬件系統(tǒng)相互協(xié)作，在端云一體的土壤上打造更堅(jiān)實(shí)的防護(hù)壁壘。

　　云存儲(chǔ)應(yīng)用層面，華為云空間也將數(shù)據(jù)安全作為產(chǎn)品設(shè)計(jì)的基石。早在2019年華為發(fā)布的國(guó)內(nèi)首個(gè)云隱私保護(hù)白皮書中，就提到未經(jīng)用戶授權(quán)，任何人無(wú)法獲取和解密存儲(chǔ)在華為云空間的用戶數(shù)據(jù)。

　　將安全理念層層融入到了企業(yè)文化、系統(tǒng)軟硬件、云存儲(chǔ)服務(wù)之中，華為為數(shù)據(jù)保護(hù)奠定了良好的土壤，自然能讓安全這顆種子真正萌芽。

生長(zhǎng)：在每個(gè)角落播撒信任

　　有了生長(zhǎng)發(fā)展的前提條件，到底怎樣做才能確保使用個(gè)人云存儲(chǔ)服務(wù)時(shí)，數(shù)據(jù)足夠安全不會(huì)泄露呢?

　　云存儲(chǔ)上的大多數(shù)威脅都是因密碼薄弱而導(dǎo)致的，華為云空間是站在真實(shí)的用戶視角，去思考數(shù)據(jù)安全這件事。

　　試想一下，如果你突然多了一大筆金銀財(cái)寶(個(gè)人數(shù)據(jù))，會(huì)怎么保存它們呢?常規(guī)思維是立馬找一家安保機(jī)構(gòu)(云存儲(chǔ)平臺(tái))存起來(lái)。

　　問題來(lái)了，對(duì)方看到一堆值錢大寶貝，會(huì)不會(huì)利欲熏心、監(jiān)守自盜?

　　我們假設(shè)所有安保機(jī)構(gòu)未經(jīng)驗(yàn)證之前都不可信任(零信任)，在把金銀財(cái)寶(數(shù)據(jù))存安保機(jī)構(gòu)之前，得用保險(xiǎn)箱鎖起來(lái)，誰(shuí)都不知道里面有什么，誰(shuí)要看都得先問問你。要把主動(dòng)權(quán)全部拿捏在自己手里，這時(shí)候就需要——端側(cè)加密。

　　在數(shù)據(jù)上傳之前，云空間就會(huì)在設(shè)備端進(jìn)行特殊的加密處理，并且整個(gè)上鎖生成密鑰的過程，云空間這家“安保機(jī)構(gòu)”自己也得避嫌，由KMS(Key Management Service)來(lái)完成。

　　KMS這個(gè)密鑰管理專家，可以說是技術(shù)過硬，采用國(guó)際標(biāo)準(zhǔn)或業(yè)界通用的安全算法(如 AES、RSA、SHA256 等);工具先進(jìn)，使用具備物理防篡改能力的硬件加密機(jī)來(lái)生成專用密碼，安全性達(dá)到業(yè)界領(lǐng)先水平;服務(wù)到位，KMS對(duì)于密鑰、證書、授權(quán)認(rèn)證的管理也有嚴(yán)格的流程，防止未授權(quán)人員讀取，對(duì)一切想看你保險(xiǎn)箱的人鐵面無(wú)私。

　　有了KMS的參與，咱們可以確信，沒有任何人可以訪問你的數(shù)據(jù)，華為云空間這樣的個(gè)人云存儲(chǔ)服務(wù)商自己也不能。

　　接下來(lái)，就該把保險(xiǎn)箱送到安保機(jī)構(gòu)了。可是散發(fā)著誘人氣息的數(shù)據(jù)“包裹”，一路上得招不少賊人惦記，其中不乏藝高人膽大的頂級(jí)黑客，而個(gè)人數(shù)據(jù)一旦被人中途截獲、偷窺或者篡改，那可是遺患無(wú)窮。

　　為了保證用戶金主們的數(shù)據(jù)“包裹”能安全抵達(dá)，華為云空間采用HTTPS 加密通道，專門承接云空間手機(jī)端、PC端、Web端與服務(wù)器之間的傳輸業(yè)務(wù)。

　　而HTTPS這家”數(shù)據(jù)物流公司“之前專門服務(wù)的是網(wǎng)銀、銀行這類要求極其嚴(yán)苛的大客戶，安全意識(shí)自然是業(yè)界一流：

　　發(fā)“包裹”之前，先得查看數(shù)字證書進(jìn)行身份認(rèn)證，確定是你本人寄，才給你發(fā)一個(gè)臨時(shí)密鑰作為傳輸通行證。

　　傳輸途中，會(huì)用密鑰算法對(duì)數(shù)據(jù)進(jìn)行層層加密封裝、花式打包，確保嚴(yán)嚴(yán)實(shí)實(shí)誰(shuí)都看不出里面裝了啥。

　　抵達(dá)服務(wù)器之后，還得進(jìn)行一次身份認(rèn)證，確定是你本人來(lái)存，放著金銀財(cái)寶的保險(xiǎn)箱才私密又完好無(wú)缺地抵達(dá)你想存的地方。

　　好不容易到了安保機(jī)構(gòu)，是不是把保險(xiǎn)箱放下就大功告成了?別急，萬(wàn)一對(duì)方直接將你的數(shù)據(jù)放在云上任人圍觀呢?云存儲(chǔ)的安保體系也必須認(rèn)真考察一番。

　　存儲(chǔ)數(shù)據(jù)時(shí)，云空間會(huì)將每個(gè)文件打散成幾個(gè)區(qū)塊，每個(gè)區(qū)塊加密后上傳服務(wù)器;被打散的密文區(qū)塊，也不會(huì)跟用戶密鑰存在同一服務(wù)器中，這樣即使其中一個(gè)被非法獲取，數(shù)據(jù)也無(wú)法被破解。

　　經(jīng)過這么一番操作，你的數(shù)據(jù)可算是安心存好了。但產(chǎn)生的密鑰就像一張張存單，既不能丟失(取時(shí)要用)，又擔(dān)心被盜(受到攻擊)。

　　為了密鑰“存單”的安全，華為云空間也設(shè)置了應(yīng)對(duì)方案——

　　1.綁定：加密數(shù)據(jù)的密鑰，還會(huì)被華為帳號(hào)的用戶密鑰加密，然后上傳到云空間服務(wù)器，二者相互綁定，想要取出金銀財(cái)寶的同時(shí)拿兩個(gè)存折交叉驗(yàn)證，安全性自然大大提升。

　　2.隔離：密鑰也不能全部存在一起，萬(wàn)一進(jìn)了小偷直接全軍覆沒，所以云端的用戶密鑰都必須單獨(dú)存儲(chǔ)，隔離管控。密鑰和數(shù)據(jù)也要分開管理，不能放在同一個(gè)服務(wù)器上。這樣就有效分散了安全風(fēng)險(xiǎn)。

　　至此，華為云空間通過加密技術(shù)打造了銅墻鐵壁，也取得了用戶對(duì)平臺(tái)的信任。但別忘了，數(shù)據(jù)安全是一個(gè)永無(wú)止境的攻防戰(zhàn)，在面對(duì)”天災(zāi)人禍“等安全隱患時(shí)，則要有勇有謀地作斗爭(zhēng)。

　　所謂人禍，是防止有心之人/應(yīng)用對(duì)用戶數(shù)據(jù)的違規(guī)獲取。

　　1.防偽裝：以華為云空間為例，就要先去KMS獲取用戶級(jí)密鑰，再通過用戶級(jí)密鑰獲得文件密鑰，用文件密鑰解密密文，才能解鎖明文數(shù)據(jù)，確保數(shù)據(jù)解密只能由用戶本人觸發(fā)。

　　2.防泄露：云服務(wù)意味著你的數(shù)據(jù)可能和別人的數(shù)據(jù)共享一塊地方，為此，華為云空間針對(duì)不同租戶數(shù)據(jù)存儲(chǔ)隔離，不同租戶的數(shù)據(jù)之間都不挨著，互不影響，別人取金銀財(cái)寶的時(shí)候根本看不到你的，最大程度地保證了數(shù)據(jù)私密性。

　　3.防窺視：不少手機(jī)用戶都有過數(shù)字足跡被偷窺的經(jīng)歷，剛在社交軟件上跟人聊完新衣服，轉(zhuǎn)頭輸入法應(yīng)用就將這事兒告訴電商平臺(tái)推送同款，著實(shí)令人不寒而栗。為了避免推理分析導(dǎo)致的隱私泄露，華為云空間將不同應(yīng)用產(chǎn)生的數(shù)據(jù)用物理手段隔離，存放在不同的服務(wù)器上，服務(wù)器A上的應(yīng)用根本看不到服務(wù)器B上的應(yīng)用數(shù)據(jù)，自然最安全。

　　同一應(yīng)用的不同用戶數(shù)據(jù)，如果放在同一個(gè)服務(wù)器上，華為云空間可以做到對(duì)不同用戶數(shù)據(jù)進(jìn)行邏輯隔離，每個(gè)用戶只能訪問自己的目錄。

　　所謂天災(zāi)，是防止意外事件對(duì)云端數(shù)據(jù)造成的損失。

　　云服務(wù)商往往會(huì)將大家的數(shù)據(jù)存放在由大量服務(wù)器集群構(gòu)成的數(shù)據(jù)中心里，物理設(shè)施難免會(huì)受到自然災(zāi)害、斷電斷網(wǎng)等意外事故的影響。

　　解決方法就是避免將雞蛋放在一個(gè)籃子里，將個(gè)人用戶數(shù)據(jù)存放在數(shù)據(jù)中心的多個(gè)可用區(qū)AZ上，這些可用區(qū)的電力和網(wǎng)絡(luò)相互獨(dú)立，當(dāng)一個(gè)可用區(qū)出現(xiàn)故障，服務(wù)可以在短時(shí)間里快速切換到另一個(gè)可用區(qū)，從而保障數(shù)據(jù)不丟失、服務(wù)不中斷。以云空間為例，就將數(shù)據(jù)存放在支持多AZ的華為云數(shù)據(jù)中心，雖然運(yùn)維成本更高，卻能最大程度地確保用戶數(shù)據(jù)的安全性與可用性。

　　至此，個(gè)人數(shù)據(jù)的“藏寶之路“圓滿告一段落。

　　梳理華為云空間的技術(shù)能力會(huì)發(fā)現(xiàn)，個(gè)人數(shù)據(jù)安全不會(huì)憑空而來(lái)，唯有在每一個(gè)關(guān)鍵環(huán)節(jié)想用戶所想，用有力的技術(shù)勾勒未來(lái)，用細(xì)致的產(chǎn)品服務(wù)當(dāng)下，才最終孕育出枝繁葉茂的云端數(shù)字生活。

結(jié)果：共赴云端的安全盛宴

　　個(gè)人云存儲(chǔ)市場(chǎng)發(fā)展到現(xiàn)在，華為再次提供了一個(gè)時(shí)代樣本：如果數(shù)據(jù)安全要成為云存儲(chǔ)的基石，需要完成哪些戰(zhàn)略動(dòng)作。

　　1.安全是生命線

　　對(duì)于個(gè)人來(lái)說，無(wú)論免費(fèi)存儲(chǔ)還是付費(fèi)存儲(chǔ)，安全都是他們最關(guān)心的事情。從國(guó)家的角度來(lái)看，中國(guó)、美國(guó)、歐盟都有數(shù)據(jù)保護(hù)的法律體系，歐盟GDPR、中國(guó)三法聯(lián)動(dòng)(《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》)，這決定了未來(lái)只有將隱私安全視作底線的廠商才能生存。

　　將數(shù)據(jù)安全刻進(jìn)DNA的華為云空間，也因此獲得了消費(fèi)者真金白銀的認(rèn)可，截至2021年，華為云空間全球月活用戶數(shù)達(dá)到3.5億，付費(fèi)用戶數(shù)同比增長(zhǎng)了50%?？梢韵胍姡S著數(shù)字生活覆蓋越來(lái)越多的人群，對(duì)個(gè)人數(shù)據(jù)安全的重視也將推動(dòng)華為云空間的進(jìn)一步增長(zhǎng)。

　　2.技術(shù)是核心

　　華為云空間在全球范圍內(nèi)收獲數(shù)據(jù)安全領(lǐng)域的認(rèn)可，本質(zhì)上是依靠突出的技術(shù)能力，在日益嚴(yán)峻的數(shù)字威脅下，有力地守護(hù)了用戶的數(shù)據(jù)資產(chǎn)安全。

　　在海外，通過了基于歐盟數(shù)據(jù)保護(hù)法律的ISO27018認(rèn)證，能夠有效保護(hù)云用戶個(gè)人可識(shí)別信息PII;憑借在信息安全管理體系上的合規(guī)性和高標(biāo)準(zhǔn)，通過了C-STAR 云安全國(guó)際認(rèn)證;在國(guó)內(nèi)，也獲得了公安部頒發(fā)的信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)認(rèn)證，這也是目前國(guó)內(nèi)對(duì)非銀行機(jī)構(gòu)信息系統(tǒng)安全的最高級(jí)認(rèn)證證明。

　　3.生態(tài)是前提

　　網(wǎng)絡(luò)威脅是一場(chǎng)永不停歇的攻防戰(zhàn)，因此，數(shù)據(jù)安全也不是一個(gè)企業(yè)能夠獨(dú)自解決和應(yīng)對(duì)的。尤其是在萬(wàn)物智聯(lián)的背景下，新型威脅層出不窮，安全可信的數(shù)字生活必須發(fā)揮生態(tài)的力量。

　　以華為為例，就通過生態(tài)建設(shè)來(lái)調(diào)動(dòng)多方參與共建數(shù)字安全的積極性。面向開發(fā)者，華為開放HMS的安全與隱私保護(hù)能力，共建 1+8+N 全場(chǎng)景安全;面向第三方機(jī)構(gòu)，構(gòu)建獨(dú)立的安全驗(yàn)證體系，檢驗(yàn)產(chǎn)品和服務(wù)的安全與隱私保護(hù)能力。

　　當(dāng)用戶的信任，播撒到數(shù)字生活的每一個(gè)角落，生機(jī)蓬勃的個(gè)人云存儲(chǔ)服務(wù)正在生長(zhǎng)。

（轉(zhuǎn)載）