如何确保云安全将是云计算未来发展巨大挑战
当前,全世界掀起了耕云播雨的热潮。“入云”,“建云”,“登云”,“驾云”,“腾云”的热浪一浪高过一浪。
Google、IBM、微软等IT巨头们以前所未有的速度和规模推动云计算的普及和发展,大量学术活动裹挟着商务宣传,迅速将云计算概念加温,推上领导和企业家的日程; 媒体的热炒,更是把云计算推上了峰巅。拼命地为资本造势。然而,炒作和鼓噪的“迷云”终会消散。云中阁楼总会落地。
随着云规划,云纲要,云项目、云应用的逐步落地和落实。云计算的真面目已经越来越清晰,云计算的商务价值已经越来越明显地显现出来,于是,中国也步入了云计算的快速发展行列。
但是,在当前的云计算快速发展中,有一个十分值得提出的问题,就是:发展云计算不注重云安全。为此,这里就此提出一些意见和看法。
1、必须认识发展云计算同时带来了巨大安全隐患
“云计算” 并不是谷歌敲响了第一声钟声。其实,早在2003年美国家科学基金就投资830万美元,支持由七所顶尖院校提出的“网格虚拟化和云计算VGrADS”项目, 正式启动了云计算的研发序幕。其后,又陆续推出了美国航空航天局的云计算系统--Nebula。从2004年开始,美国先后推出了简单队列服务到云计算的服务雏形。2006年亚马逊推出的简单存储服务(S3)和弹性计算云(EC2),成为了云计算服务开始走向成熟的标志。
IBM于2008年提出“蓝云”计划,推出共有云和私有云的概念。2009年发布了基于云端的协作平台。欧盟启动了“视觉云”计划,拨款2140万美元资助云存储技术研发。德国投入巨资保持在4G/LTE和云计算研究的前沿地位,并于今年1月在德国马格德堡建立了目前欧洲最大的云计算中心,并启动了经由卫星实施云计算的方案。日本更看好云计算市场的发展前景。其经济产业省确定:将在医疗、教育、电力等各个领域利用云计算。
韩国政府推出了《搞活云计算综合计划》。确定投资36亿元发展云计算。旨在提高韩国云计算产业竞争力,提高国家IT资源的效率。
谷歌为抢占云计算的战略制高点,在欧洲已建成或在建的数据中心有 12个。据IT业研究美国Gartner公司估计,谷歌在全球的40多个数据中心,共拥有近100万台服务器。IBM为证实其“云计算”商务模式的可行性,还在荷兰打造了成功案例,并在中国建设了黄河三角洲云计算服务平台。
微软已经确定了进军中国的云战略发展思路和参考架构。并确定未来3年,微软惠普合作投资2.5亿美元,发展云计算。 云计算的广泛应用和快速发展,将从根本上改变信息获取和知识传播的方式,促进基础设施运营、软件等信息产业的服务化转型,催生跨行业融合应用的新型增值信息服务业态。
采用云计算,将大量网络分别连接的计算资源进行统一管理和调度,构成一个计算资源池向用户提供按需服务。这可以把:分散资源集聚起来,提供信息资源深度开发的可能;可以把零散资源汇集起来,提供整合应用的可能;信息资源池中,大量高附加值信息资源的集聚:不仅提供了信息资源增值开发和智能开发的可能;还提供了集群性计算能力深度开发、增值开发的现实可能性。 在这种发展态势下,我国加快了云计算发展的步伐。
前不久,发改委和工信部研究确定:北京、上海、深圳、杭州、无锡为云计算试点省市。华为最近宣布:不仅要构建云计算平台,而且要开放合作,构筑共赢生态链。让客户“像用电一样享用应用与服务”。紧接着,中国首个“商用云计算中心”落户无锡,北京启动了云计算的“祥云工程”。
上海推出了三年云计算发展方案。确定重点发展六项重大工程。力争三年内实现云产业基地产值50亿元,初步形成有影响力的云计算产业雏形。哈尔滨拟利用世界大型云计算数据中心选址多在北纬40度―50度之间的地缘优势,建设“中国云谷”,其“金融行业数据中心” 已经启动建设。
就社会层面而言,三大运营商分别确定了各自的云发展计划。阿里巴巴要建电子商务云计算公司。表示要为客户提供计算、存储服务。自2010年1月29日讯鸟云计算基地落户宁波;到12月15日国内首个云计算电子政务项目在蓉落地。这一年的中国可以说正处在耕“云”播雨的建设热潮中。
应该说:“云计算”的这种快速发展,为我国信息技术的深度开发和应用,带来了新的发展机遇。它的智能管理算法和整合开发设计,为解决我国信息化建设中信息资源的综合开发和价值开发,提供了崭新的思路和路径。而且可以激活庞大的需求市场,充分发挥多年信息化建设基础设施的投资潜能,迅速构建起国家主导的、具有中国特色的“云计算”布局的体系。迅速形成我国的“云计算”的资源开发能力和应用开发能力。
但是,由于我们很多人对云计算的起源和发展缺乏深刻了解,不了解云计算首先在美国军事应用上快速发展和首先应用的现实。更不了解欧盟为了保护入云企业的经济安全和信息安全所做出的努力。以至于,不仅误以为是谷歌敲响了“云计算”第一声钟声,而且把物联网发展中,在生猪销售上的简单追溯应用,也当成云计算的典型应用。特别是:在我国云计算快速发展的强劲势头下,无意忽视云安全,和有意漠视云安全的现象,更是严重存在。已经到了惊涛拍岸,风险叩门的地步,急待引起有关部门和全社会的高度关注和重视。
2、必须认识发展云计算的巨大挑战将是确保云安全
应当看到:云计算在具有巨大商机的同时,潜在着巨大的安全风险。尽管云计算发展中存在着:隔离失败风险、合规风险、管理界面损害风险、数据删除不彻底风险、内部威胁风险等众多运营和使用风险。但,这些都只是一般性风险,而不是主要风险。其实,云计算当前最重要、最核心的风险是:国家安全风险和企业经济信息失控风险。
就国家安全风险而言,前哥伦比亚电视台新闻频道总裁在其撰写的报告中早就明确指出:“随着世界的变化,美国的未来也需重新定位,不过云计算是美国可以重申其全球经济和技术带头人地位的重要领域”。
应该说:“云计算”的提出和快速发展,正好为美国提供了新的机会。一旦全球信息的流动、存储和处理都要通过美国IT巨头在互联网构建的“云”来进行,那么美国就牢牢掌握了对全球信息的绝对制导权。 奥巴马政府早已经将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产”。 事实上,美国为了能获取信息霸权,十分注重国家战略资产的建设。不仅注重把域名根服务器到码址资源等互联网基础设施掌握在自已手中,更最早开始了在军事领域部署“云计算”的计划。与此同时,他们的另一只手,就是大力支持其商业公司在全球大建云资源池和云计算中心,抢占社会化云计算基础性战略资源。
更为严重的是:据国际媒体报道:2月6日IBM开始为美国空军构建一个足以保护国防和军事资料的“云端计算网络系统”。IBM宣布,已和美国空军签约,将为其9个指挥中心、100座军事基地,和散居全球之70万军员所使用的USAF网络,设计和建立一个云端计算环境。
为此,IBM的研究员、软件工程师和网络安全专家,将与军方人员和政府机关合作,并将采用汇流计算分析,建设一种能让空军持续监看和分析所有网络资料,以寻找任何威胁或故障迹象的技术。为支持这项计划的实施和落实,前不久,美国国会众议院又通过了“网络安全研究与发展法”。
2010年12月25日媒体又报道:IBM又称:正在为北约创建云计算系统。位于佛吉尼亚州诺福克市的北约军事指挥部将率先使用这一技术,随后还可能向其它分支扩展。该“云计算系统可让北约更迅捷地收集和分析数据”。
与此同时,IBM大举进军中国市场。先是欲借无锡,打开强力挺进中国云计算市场的通路。又携手东营共建“黄河三角洲云计算中心”。而且,还将其他100个中国城市作为潜在的云计算客户,并希望吸引20万家独立软件公司使用自己的数据中心。今年6月,又在北京建立了一个铁路创新中心,以期掌控中国重要的铁路建设信息。
IBM日前已经宣布,国内49家应用开发商、系统集成商已经正式加入其云引擎合作伙伴计划,并被授予顶级云会员、高级云会员及基础云会员认证金牌。正在成为IBM进军中国计划的一部分。 一个一手为美国空军制造“能让空军持续监看和分析所有网络资料”的公司,其另一只手欲把 “100个中国城市作为潜在的云计算客户,并准备吸引20万家软件公司进入并使用自己的数据中心。还要掌控中国巨大的铁路建设信息”。中国的国防信息安全何在?中国铁路的高速运载能力和军事物流优势何在?我国信息的绝对制导权何在?
就经济信息安全而言,发展云计算以后,企业和行业的大量经济信息,竞争信息将进入信息运营商的资源池中,其“海涵”的大型数据中心和强劲服务器,又担当软件开发的信息“调度师”和流程“监控员”。
那么,我们要问:究竟谁是这些经济信息的主体?中国企业重要的经济信息安全,在入云以后谁来保证?如何保证? 在当前全球经济一体化的背景下,企业只有掌握竞争情报,并注意保护好自已的商业秘密,才能在激烈的市场竞争中处于主动地位。特别是,创新型无形资产和竞争性商务信息是企业和商家核心的商业秘密。所以必须高度警惕和有效防止:信息资源集聚过程中的无意流失和有意窃取。更应认识到:这种无形资产被外资掌控以后和有形资产的结合,将全面掌控中国的经济命脉。号称世界民用飞机巨无霸的美国波音公司就专门建立了“反竞争情报机制”。从获取的“战略信号”中研究破解对方竞争手段的方法。商业巨头沃尔玛其信息化的基本经验就是:找到最值得信赖,同时成本又低的系统”。
欧盟的一些成员国最早意识到这个问题的重要性。因此,提出了在入云时保护企业经济信息安全的《数字议程计划》。并对进入云资源池中的经济信息规定了删除时间。有14个国家规定:企业入云信息12个月必须删除。8个欧盟国家规定,这些数据必须在6个月后删除;只有一个国家规定,这些数据必须在18个月后删除。德国更严格规定:所有入云数据,必须保存在德国境内。加拿大也实行了非常严格的禁止跨疆界个人信息搜集或信息处理的法律。
为了制约云服务公司的不道德行为和窃取企业商业秘密的做法,欧盟成员国还通过立法的程序确保企业的经济信息安全。而我国在前一段云计算的宣传和介绍中,一些商家和媒体不知是无意地,还是昧着良心地漠视了这样一个重要的问题。其实,欧盟的做法,会给我国的企业和商家提供重要的启示和警示。
近日,欧盟网络与信息安全局(ENISA)又发布了一则报告:《云计算:好处、风险以及信息安全建议》。指出在公共云的数据安全会面临巨大的挑战。报告并不建议将最敏感或者核心的数据置于云端,但认为许多电子政务应用,可以适当的放在公共云上。这些建议很值得我国学习和借鉴。
3、必须尽快启动云计算的标准和法规建设
就世界而言,在云计算环境开发和服务方面的标准才刚刚兴起。不仅一次编写、普遍运行的标准缺失,云计算数据中心的软件生产标准,云服务企业运营的标准也严重缺失,这就导致了一些企业可以打着“善意”的旗号,进行不善意的行为。甚至可以将一个时期,或一个行业的发展信息,趋势信息进行智能分析后,而转供他人。或被重金收买,采取“服务放水”,“捞鱼有价”的方式,秘密出售资源池中的整合经济信息。
部分欧洲国家看到了这个问题的严重性。它们对本国公民个人信息和企业商务信息严加保护,并拒绝了一些云服务商提出的27国统一隐私政策的计划。德国是其中态度最鲜明的国家之一,它坚持实行严厉的国家标准。法国数码经济协会主席奥利维尔•米蒂尔更表示。“对于欧洲国家来说,隐私权的重要性是无价的。”在此情况下,一些跨国IT企业大举进军中国市场,妄图尽快找到战略突破点。他们不仅看到了中国市场的巨大,更看到了中国市场的浮躁。这是我们必须有所警惕的。 当前,我们特别要注重云服务的战略研究和创新研究。应当看到,有的城市,现有的集成计算能力,尚有三方之二闲置。就又盲目发展很多朵云。这就会造成资金和资源的浪费。此外,还要在加强应用研发的同时,加强理论研发。要有效地界定:云数据的进入、删除及其无法恢复性。
确保进入“云”的数据,必须可以彻底有效地去除,并保证该数据已被完全消除,使其无法恢复。并不被转移。 在云资源池中,应确保其客户的保密/敏感数据不能在使用、储存或传输过程中,在没有任何补偿控制的情况下与其它客户数据混合、或被他人获取。其云数据备份和云恢复计划,必须落实到位、以防止数据丢失和意外破坏。 因此,应尽快启动云计算的理论研究和标准研发工作。尽快规划入云信息的分类规范,尽快建立云计算服务平台的建设规范和对运营服务软件的验收规范,防止其预留后门,还应尽快建立入云企业的信息安全管理规范。才能确保云计算得到健康有序的发展。
根据IDC统计数据显示,当前,87.5%的受调查用户认为“安全性问题”是影响其采用云服务的主要问题。特别是鉴于云服务和传统IT服务在法律层面上的考量会有许多不同之处。因此,入云企业应慎重。签订云计算服务合同时尤其要注意合同中关于涉及安全破坏、数据转移、控制转变以及数据访问时自身在法律层面的权利及义务的准确描述和界定。谨慎考量风险。慎重签订合同。防止误入合同预留的文字陷阱中。
除此之外,云服务提供者也必须规避恶意用户对于云服务的滥用风险。为了规避以上风险,云服务提供商必须对云系统进行全面的安全加固,不仅要在云中部署针对性的安全防护产品,更要从系统层面,建立完善的密钥管理、权限管理、云安全认证监测服务等多维安全机制,确保云服务的安全平稳运行。