當(dāng)前��,全世界掀起了耕云播雨的熱潮��?����!叭朐啤?���,“建云”,“登云”���,“駕云”��,“騰云”的熱浪一浪高過一浪。Google�����、IBM、微軟等IT巨頭們以前所未有的速度和規(guī)模推動(dòng)云計(jì)算的普及和發(fā)展�����,大量學(xué)術(shù)活動(dòng)裹挾著商務(wù)宣傳��,迅速將云計(jì)算概念加溫�,推上領(lǐng)導(dǎo)和企業(yè)家的日程; 媒體的熱炒,更是把云計(jì)算推上了峰巔����。拼命地為資本造勢(shì)。
然而�����,炒作和鼓噪的“迷云”終會(huì)消散��。云中閣樓總會(huì)落地���。隨著云規(guī)劃�����,云綱要���,云項(xiàng)目��、云應(yīng)用的逐步落地和落實(shí)�。云計(jì)算的真面目已經(jīng)越來越清晰�����,云計(jì)算的商務(wù)價(jià)值已經(jīng)越來越明顯地顯現(xiàn)出來�����。
于是���,中國也步入了云計(jì)算的快速發(fā)展行列��。但是����,在當(dāng)前的云計(jì)算快速發(fā)展中�,有一個(gè)十分值得提出的問題,就是:發(fā)展云計(jì)算不注重云安全����。為此,本文就此提出一些意見和看法�。
1、必須認(rèn)識(shí)發(fā)展云計(jì)算同時(shí)帶來了巨大安全隱患
“云計(jì)算” 并不是谷歌敲響了第一聲鐘聲���。其實(shí)��,早在2003年美國家科學(xué)基金就投資830萬美元����,支持由七所頂尖院校提出的“網(wǎng)格虛擬化和云計(jì)算VGrADS”項(xiàng)目, 正式啟動(dòng)了云計(jì)算的研發(fā)序幕�。其后,又陸續(xù)推出了美國航空航天局的云計(jì)算系統(tǒng)--Nebula���。從2004年開始��,美國先后推出了簡單隊(duì)列服務(wù)到云計(jì)算的服務(wù)雛形�����。2006年亞馬遜推出的簡單存儲(chǔ)服務(wù)(S3)和彈性計(jì)算云(EC2)��,成為了云計(jì)算服務(wù)開始走向成熟的標(biāo)志��。
IBM于2008年提出“藍(lán)云”計(jì)劃�,推出共有云和私有云的概念。2009年發(fā)布了基于云端的協(xié)作平臺(tái)�����。歐盟啟動(dòng)了“視覺云”計(jì)劃����,撥款2140萬美元資助云存儲(chǔ)技術(shù)研發(fā)。德國投入巨資保持在4G/LTE和云計(jì)算研究的前沿地位����,并于今年1月在德國馬格德堡建立了目前歐洲最大的云計(jì)算中心,并啟動(dòng)了經(jīng)由衛(wèi)星實(shí)施云計(jì)算的方案���。日本更看好云計(jì)算市場(chǎng)的發(fā)展前景����。其經(jīng)濟(jì)產(chǎn)業(yè)省確定:將在醫(yī)療���、教育��、電力等各個(gè)領(lǐng)域利用云計(jì)算��。韓國政府推出了《搞活云計(jì)算綜合計(jì)劃》���。確定投資36億元發(fā)展云計(jì)算���。旨在提高韓國云計(jì)算產(chǎn)業(yè)競(jìng)爭力��,提高國家IT資源的效率�����。
谷歌為搶占云計(jì)算的戰(zhàn)略制高點(diǎn)���,在歐洲已建成或在建的數(shù)據(jù)中心有 12個(gè)���。據(jù)IT業(yè)研究美國Gartner公司估計(jì),谷歌在全球的40多個(gè)數(shù)據(jù)中心�,共擁有近100萬臺(tái)服務(wù)器。IBM為證實(shí)其“云計(jì)算”商務(wù)模式的可行性���,還在荷蘭打造了成功案例�,并在中國建設(shè)了黃河三角洲云計(jì)算服務(wù)平臺(tái)�����。微軟已經(jīng)確定了進(jìn)軍中國的云戰(zhàn)略發(fā)展思路和參考架構(gòu)。并確定未來3年���,微軟惠普合作投資2.5億美元����,發(fā)展云計(jì)算����。
云計(jì)算的廣泛應(yīng)用和快速發(fā)展,將從根本上改變信息獲取和知識(shí)傳播的方式����,促進(jìn)基礎(chǔ)設(shè)施運(yùn)營、軟件等信息產(chǎn)業(yè)的服務(wù)化轉(zhuǎn)型���,催生跨行業(yè)融合應(yīng)用的新型增值信息服務(wù)業(yè)態(tài)�����。
采用云計(jì)算�,將大量網(wǎng)絡(luò)分別連接的計(jì)算資源進(jìn)行統(tǒng)一管理和調(diào)度���,構(gòu)成一個(gè)計(jì)算資源池向用戶提供按需服務(wù)���。這可以把:分散資源集聚起來��,提供信息資源深度開發(fā)的可能�����;可以把零散資源匯集起來,提供整合應(yīng)用的可能�;信息資源池中,大量高附加值信息資源的集聚:不僅提供了信息資源增值開發(fā)和智能開發(fā)的可能�����;還提供了集群性計(jì)算能力深度開發(fā)�����、增值開發(fā)的現(xiàn)實(shí)可能性�。
在這種發(fā)展態(tài)勢(shì)下,我國加快了云計(jì)算發(fā)展的步伐��。前不久����,發(fā)改委和工信部研究確定:北京�、上海����、深圳、杭州�����、無錫為云計(jì)算試點(diǎn)省市�。華為最近宣布:不僅要構(gòu)建云計(jì)算平臺(tái),而且要開放合作�����,構(gòu)筑共贏生態(tài)鏈��。讓客戶“像用電一樣享用應(yīng)用與服務(wù)”��。緊接著�����,中國首個(gè)“商用云計(jì)算中心”落戶無錫����,北京啟動(dòng)了云計(jì)算的“祥云工程”�。上海推出了三年云計(jì)算發(fā)展方案��。確定重點(diǎn)發(fā)展六項(xiàng)重大工程��。力爭三年內(nèi)實(shí)現(xiàn)云產(chǎn)業(yè)基地產(chǎn)值50億元����,初步形成有影響力的云計(jì)算產(chǎn)業(yè)雛形。哈爾濱擬利用世界大型云計(jì)算數(shù)據(jù)中心選址多在北緯40度—50度之間的地緣優(yōu)勢(shì)�,建設(shè)“中國云谷” ���。其“金融行業(yè)數(shù)據(jù)中心” 已經(jīng)啟動(dòng)建設(shè)�。
就社會(huì)層面而言��,三大運(yùn)營商分別確定了各自的云發(fā)展計(jì)劃�。阿里巴巴要建電子商務(wù)云計(jì)算公司。表示要為客戶提供計(jì)算�、存儲(chǔ)服務(wù)。自2010年1月29日訊鳥云計(jì)算基地落戶寧波�����;到12月15日國內(nèi)首個(gè)云計(jì)算電子政務(wù)項(xiàng)目在蓉落地。這一年的中國可以說正處在耕“云”播雨的建設(shè)熱潮中�����。
應(yīng)該說:“云計(jì)算”的這種快速發(fā)展�����,為我國信息技術(shù)的深度開發(fā)和應(yīng)用�,帶來了新的發(fā)展機(jī)遇。它的智能管理算法和整合開發(fā)設(shè)計(jì)�����,為解決我國信息化建設(shè)中信息資源的綜合開發(fā)和價(jià)值開發(fā)�,提供了嶄新的思路和路徑。而且可以激活龐大的需求市場(chǎng)�����,充分發(fā)揮多年信息化建設(shè)基礎(chǔ)設(shè)施的投資潛能���,迅速構(gòu)建起國家主導(dǎo)的�、具有中國特色的“云計(jì)算”布局的體系����。迅速形成我國的“云計(jì)算”的資源開發(fā)能力和應(yīng)用開發(fā)能力��。
但是�����,由于我們很多人對(duì)云計(jì)算的起源和發(fā)展缺乏深刻了解��,不了解云計(jì)算首先在美國軍事應(yīng)用上快速發(fā)展和首先應(yīng)用的現(xiàn)實(shí)���。更不了解歐盟為了保護(hù)入云企業(yè)的經(jīng)濟(jì)安全和信息安全所做出的努力。
以至于�,不僅誤以為是谷歌敲響了“云計(jì)算”第一聲鐘聲,而且把物聯(lián)網(wǎng)發(fā)展中���,在生豬銷售上的簡單追溯應(yīng)用,也當(dāng)成云計(jì)算的典型應(yīng)用����。特別是:在我國云計(jì)算快速發(fā)展的強(qiáng)勁勢(shì)頭下,無意忽視云安全����,和有意漠視云安全的現(xiàn)象�����,更是嚴(yán)重存在���。已經(jīng)到了驚濤拍岸,風(fēng)險(xiǎn)叩門的地步�,急待引起有關(guān)部門和全社會(huì)的高度關(guān)注和重視。
2��、必須認(rèn)識(shí)發(fā)展云計(jì)算的巨大挑戰(zhàn)將是確保云安全
應(yīng)當(dāng)看到:云計(jì)算在具有巨大商機(jī)的同時(shí)�,潛在著巨大的安全風(fēng)險(xiǎn)。盡管云計(jì)算發(fā)展中存在著:隔離失敗風(fēng)險(xiǎn)��、合規(guī)風(fēng)險(xiǎn)����、管理界面損害風(fēng)險(xiǎn)、數(shù)據(jù)刪除不徹底風(fēng)險(xiǎn)����、內(nèi)部威脅風(fēng)險(xiǎn)等眾多運(yùn)營和使用風(fēng)險(xiǎn)。但���,這些都只是一般性風(fēng)險(xiǎn)�����,而不是主要風(fēng)險(xiǎn)����。其實(shí),云計(jì)算當(dāng)前最重要�、最核心的風(fēng)險(xiǎn)是:國家安全風(fēng)險(xiǎn)和企業(yè)經(jīng)濟(jì)信息失控風(fēng)險(xiǎn)。
就國家安全風(fēng)險(xiǎn)而言�����,前哥倫比亞電視臺(tái)新聞?lì)l道總裁在其撰寫的報(bào)告中早就明確指出:“隨著世界的變化�,美國的未來也需重新定位,不過云計(jì)算是美國可以重申其全球經(jīng)濟(jì)和技術(shù)帶頭人地位的重要領(lǐng)域”�����。
應(yīng)該說:“云計(jì)算”的提出和快速發(fā)展��,正好為美國提供了新的機(jī)會(huì)�。一旦全球信息的流動(dòng)��、存儲(chǔ)和處理都要通過美國IT巨頭在互聯(lián)網(wǎng)構(gòu)建的“云”來進(jìn)行�,那么美國就牢牢掌握了對(duì)全球信息的絕對(duì)制導(dǎo)權(quán)�。
奧巴馬政府早已經(jīng)將網(wǎng)絡(luò)空間安全威脅定位為“我們舉國面臨的最嚴(yán)重的國家經(jīng)濟(jì)和國家安全挑戰(zhàn)之一”�����,并宣布“從現(xiàn)在起����,我們的數(shù)字基礎(chǔ)設(shè)施將被視為國家戰(zhàn)略資產(chǎn)”。
事實(shí)上�,美國為了能獲取信息霸權(quán),十分注重國家戰(zhàn)略資產(chǎn)的建設(shè)�����。不僅注重把域名根服務(wù)器到碼址資源等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施掌握在自已手中�����,更最早開始了在軍事領(lǐng)域部署“云計(jì)算”的計(jì)劃���。與此同時(shí)����,他們的另一只手��,就是大力支持其商業(yè)公司在全球大建云資源池和云計(jì)算中心,搶占社會(huì)化云計(jì)算基礎(chǔ)性戰(zhàn)略資源�����。
更為嚴(yán)重的是:據(jù)國際媒體報(bào)道:2月6日IBM開始為美國空軍構(gòu)建一個(gè)足以保護(hù)國防和軍事資料的“云端計(jì)算網(wǎng)絡(luò)系統(tǒng)”�����。IBM宣布�,已和美國空軍簽約,將為其9個(gè)指揮中心����、100座軍事基地,和散居全球之70萬軍員所使用的USAF網(wǎng)絡(luò)�,設(shè)計(jì)和建立一個(gè)云端計(jì)算環(huán)境。
為此����,IBM的研究員、軟件工程師和網(wǎng)絡(luò)安全專家���,將與軍方人員和政府機(jī)關(guān)合作�,并將采用匯流計(jì)算分析����,建設(shè)一種能讓空軍持續(xù)監(jiān)看和分析所有網(wǎng)絡(luò)資料,以尋找任何威脅或故障跡象的技術(shù)��。為支持這項(xiàng)計(jì)劃的實(shí)施和落實(shí)�����,前不久�����,美國國會(huì)眾議院又通過了“網(wǎng)絡(luò)安全研究與發(fā)展法”�。
2010年12月25日媒體又報(bào)道:IBM又稱:正在為北約創(chuàng)建云計(jì)算系統(tǒng)。位于佛吉尼亞州諾?����?耸械谋奔s軍事指揮部將率先使用這一技術(shù)����,隨后還可能向其它分支擴(kuò)展。該“云計(jì)算系統(tǒng)可讓北約更迅捷地收集和分析數(shù)據(jù)”�。
與此同時(shí),IBM大舉進(jìn)軍中國市場(chǎng)。先是欲借無錫���,打開強(qiáng)力挺進(jìn)中國云計(jì)算市場(chǎng)的通路�。又?jǐn)y手東營共建“黃河三角洲云計(jì)算中心” ����。而且,還將其他100個(gè)中國城市作為潛在的云計(jì)算客戶����,并希望吸引20萬家獨(dú)立軟件公司使用自己的數(shù)據(jù)中心。今年6月����,又在北京建立了一個(gè)鐵路創(chuàng)新中心,以期掌控中國重要的鐵路建設(shè)信息�。
IBM日前已經(jīng)宣布,國內(nèi)49家應(yīng)用開發(fā)商�、系統(tǒng)集成商已經(jīng)正式加入其云引擎合作伙伴計(jì)劃,并被授予頂級(jí)云會(huì)員��、高級(jí)云會(huì)員及基礎(chǔ)云會(huì)員認(rèn)證金牌���。正在成為IBM進(jìn)軍中國計(jì)劃的一部分���。
一個(gè)一手為美國空軍制造“能讓空軍持續(xù)監(jiān)看和分析所有網(wǎng)絡(luò)資料”的公司��,其另一只手欲把 “100個(gè)中國城市作為潛在的云計(jì)算客戶��,并準(zhǔn)備吸引20萬家軟件公司進(jìn)入并使用自己的數(shù)據(jù)中心。還要掌控中國巨大的鐵路建設(shè)信息”�。中國的國防信息安全何在?中國鐵路的高速運(yùn)載能力和軍事物流優(yōu)勢(shì)何在����?我國信息的絕對(duì)制導(dǎo)權(quán)何在?
就經(jīng)濟(jì)信息安全而言���,發(fā)展云計(jì)算以后�����,企業(yè)和行業(yè)的大量經(jīng)濟(jì)信息�����,競(jìng)爭信息將進(jìn)入信息運(yùn)營商的資源池中��,其“海涵”的大型數(shù)據(jù)中心和強(qiáng)勁服務(wù)器���,又擔(dān)當(dāng)軟件開發(fā)的信息“調(diào)度師”和流程“監(jiān)控員”����。
那么����,我們要問:究竟誰是這些經(jīng)濟(jì)信息的主體?中國企業(yè)重要的經(jīng)濟(jì)信息安全����,在入云以后誰來保證?如何保證�?
在當(dāng)前全球經(jīng)濟(jì)一體化的背景下,企業(yè)只有掌握競(jìng)爭情報(bào)����,并注意保護(hù)好自已的商業(yè)秘密,才能在激烈的市場(chǎng)競(jìng)爭中處于主動(dòng)地位����。特別是,創(chuàng)新型無形資產(chǎn)和競(jìng)爭性商務(wù)信息是企業(yè)和商家核心的商業(yè)秘密�。所以必須高度警惕和有效防止:信息資源集聚過程中的無意流失和有意竊取。更應(yīng)認(rèn)識(shí)到:這種無形資產(chǎn)被外資掌控以后和有形資產(chǎn)的結(jié)合���,將全面掌控中國的經(jīng)濟(jì)命脈�。號(hào)稱世界民用飛機(jī)巨無霸的美國波音公司就專門建立了“反競(jìng)爭情報(bào)機(jī)制”。從獲取的“戰(zhàn)略信號(hào)”中研究破解對(duì)方競(jìng)爭手段的方法�。商業(yè)巨頭沃爾瑪其信息化的基本經(jīng)驗(yàn)就是:找到最值得信賴,同時(shí)成本又低的系統(tǒng)”��。
歐盟的一些成員國最早意識(shí)到這個(gè)問題的重要性�。因此,提出了在入云時(shí)保護(hù)企業(yè)經(jīng)濟(jì)信息安全的《數(shù)字議程計(jì)劃》��。并對(duì)進(jìn)入云資源池中的經(jīng)濟(jì)信息規(guī)定了刪除時(shí)間�。有14個(gè)國家規(guī)定:企業(yè)入云信息12個(gè)月必須刪除�����。8個(gè)歐盟國家規(guī)定����,這些數(shù)據(jù)必須在6個(gè)月后刪除;只有一個(gè)國家規(guī)定,這些數(shù)據(jù)必須在18個(gè)月后刪除�。德國更嚴(yán)格規(guī)定:所有入云數(shù)據(jù),必須保存在德國境內(nèi)����。加拿大也實(shí)行了非常嚴(yán)格的禁止跨疆界個(gè)人信息搜集或信息處理的法律����。
為了制約云服務(wù)公司的不道德行為和竊取企業(yè)商業(yè)秘密的做法��,歐盟成員國還通過立法的程序確保企業(yè)的經(jīng)濟(jì)信息安全�����。而我國在前一段云計(jì)算的宣傳和介紹中���,一些商家和媒體不知是無意地��,還是昧著良心地漠視了這樣一個(gè)重要的問題����。其實(shí)����,歐盟的做法,會(huì)給我國的企業(yè)和商家提供重要的啟示和警示�。
近日,歐盟網(wǎng)絡(luò)與信息安全局(ENISA)又發(fā)布了一則報(bào)告:《云計(jì)算:好處�、風(fēng)險(xiǎn)以及信息安全建議》。指出在公共云的數(shù)據(jù)安全會(huì)面臨巨大的挑戰(zhàn)���。報(bào)告并不建議將最敏感或者核心的數(shù)據(jù)置于云端�,但認(rèn)為許多電子政務(wù)應(yīng)用,可以適當(dāng)?shù)姆旁诠苍粕?���。這些建議很值得我國學(xué)習(xí)和借鑒。
3�、必須盡快啟動(dòng)云計(jì)算的標(biāo)準(zhǔn)和法規(guī)建設(shè)
就世界而言,在云計(jì)算環(huán)境開發(fā)和服務(wù)方面的標(biāo)準(zhǔn)才剛剛興起�。不僅一次編寫、普遍運(yùn)行的標(biāo)準(zhǔn)缺失�����,云計(jì)算數(shù)據(jù)中心的軟件生產(chǎn)標(biāo)準(zhǔn)��,云服務(wù)企業(yè)運(yùn)營的標(biāo)準(zhǔn)也嚴(yán)重缺失�����,這就導(dǎo)致了一些企業(yè)可以打著“善意”的旗號(hào)�����,進(jìn)行不善意的行為��。甚至可以將一個(gè)時(shí)期�����,或一個(gè)行業(yè)的發(fā)展信息��,趨勢(shì)信息進(jìn)行智能分析后�,而轉(zhuǎn)供他人?�;虮恢亟鹗召I����,采取“服務(wù)放水”,“撈魚有價(jià)”的方式�,秘密出售資源池中的整合經(jīng)濟(jì)信息。
部分歐洲國家看到了這個(gè)問題的嚴(yán)重性����。它們對(duì)本國公民個(gè)人信息和企業(yè)商務(wù)信息嚴(yán)加保護(hù),并拒絕了一些云服務(wù)商提出的27國統(tǒng)一隱私政策的計(jì)劃�。德國是其中態(tài)度最鮮明的國家之一,它堅(jiān)持實(shí)行嚴(yán)厲的國家標(biāo)準(zhǔn)���。法國數(shù)碼經(jīng)濟(jì)協(xié)會(huì)主席奧利維爾?米蒂爾更表示���?��!皩?duì)于歐洲國家來說,隱私權(quán)的重要性是無價(jià)的�����?���!痹诖饲闆r下,一些跨國IT企業(yè)大舉進(jìn)軍中國市場(chǎng)�,妄圖盡快找到戰(zhàn)略突破點(diǎn)。他們不僅看到了中國市場(chǎng)的巨大����,更看到了中國市場(chǎng)的浮躁����。這是我們必須有所警惕的。
當(dāng)前���,我們特別要注重云服務(wù)的戰(zhàn)略研究和創(chuàng)新研究���。應(yīng)當(dāng)看到��,有的城市��,現(xiàn)有的集成計(jì)算能力���,尚有三方之二閑置。就又盲目發(fā)展很多朵云�����。這就會(huì)造成資金和資源的浪費(fèi)����。
還要在加強(qiáng)應(yīng)用研發(fā)的同時(shí),加強(qiáng)理論研發(fā)��。要有效地界定:云數(shù)據(jù)的進(jìn)入�����、刪除及其無法恢復(fù)性����。 確保進(jìn)入“云”的數(shù)據(jù)��,必須可以徹底有效地去除��,并保證該數(shù)據(jù)已被完全消除�,使其無法恢復(fù)�����。并不被轉(zhuǎn)移���。
在云資源池中�����,應(yīng)確保其客戶的保密/敏感數(shù)據(jù)不能在使用����、儲(chǔ)存或傳輸過程中�����,在沒有任何補(bǔ)償控制的情況下與其它客戶數(shù)據(jù)混合�、或被他人獲取。其云數(shù)據(jù)備份和云恢復(fù)計(jì)劃����,必須落實(shí)到位、以防止數(shù)據(jù)丟失和意外破壞��。
因此����,應(yīng)盡快啟動(dòng)云計(jì)算的理論研究和標(biāo)準(zhǔn)研發(fā)工作。盡快規(guī)劃入云信息的分類規(guī)范��,盡快建立云計(jì)算服務(wù)平臺(tái)的建設(shè)規(guī)范和對(duì)運(yùn)營服務(wù)軟件的驗(yàn)收規(guī)范��,防止其預(yù)留后門�����,還應(yīng)盡快建立入云企業(yè)的信息安全管理規(guī)范���。才能確保云計(jì)算得到健康有序的發(fā)展�。
根據(jù)IDC統(tǒng)計(jì)數(shù)據(jù)顯示�,當(dāng)前,87.5%的受調(diào)查用戶認(rèn)為“安全性問題”是影響其采用云服務(wù)的主要問題�。特別是鑒于云服務(wù)和傳統(tǒng)IT服務(wù)在法律層面上的考量會(huì)有許多不同之處��。因此����,入云企業(yè)應(yīng)慎重��。簽訂云計(jì)算服務(wù)合同時(shí)尤其要注意合同中關(guān)于涉及安全破壞�、數(shù)據(jù)轉(zhuǎn)移、控制轉(zhuǎn)變以及數(shù)據(jù)訪問時(shí)自身在法律層面的權(quán)利及義務(wù)的準(zhǔn)確描述和界定��。謹(jǐn)慎考量風(fēng)險(xiǎn)���。慎重簽訂合同��。防止誤入合同預(yù)留的文字陷阱中�。
除此之外����,云服務(wù)提供者也必須規(guī)避惡意用戶對(duì)于云服務(wù)的濫用風(fēng)險(xiǎn)。為了規(guī)避以上風(fēng)險(xiǎn)��,云服務(wù)提供商必須對(duì)云系統(tǒng)進(jìn)行全面的安全加固�,不僅要在云中部署針對(duì)性的安全防護(hù)產(chǎn)品,更要從系統(tǒng)層面���,建立完善的密鑰管理���、權(quán)限管理、云安全認(rèn)證監(jiān)測(cè)服務(wù)等多維安全機(jī)制��,確保云服務(wù)的安全平穩(wěn)運(yùn)行�����。
