隨著我國雲計算市場的快速升溫,雲安全問題日益凸顯,行業專家認為應從構建自主可控的雲安全體係角度出發,從國家層麵加強立法建設,增強我國雲產品的自主創新能力,提高管理水平與管理效率,使整個產業能夠步入健康、有序發展的快車道。
“雲時代”信息安全麵臨三大挑戰
一是網絡攻擊仍然存在,相對集中的特點可能使雲計算數據資源麵臨更大威脅。
資源的集中性和遠程操作的便利性,使“雲時代”網絡攻擊威脅性更大。曙光公司副總裁聶華說,網絡空間攻擊仍是對我國的主要威脅之一。雲計算服務提供商亞馬遜公司位於美國的一個雲計算中心曾“死機”,直接影響大量創業型網絡公司,甚至影響到托管服務器的印度企業。國內最大程序員社區CSDN網600萬用戶資料被黑客公開,以及知名社區天涯網疑似4000萬用戶隱私遭泄露,給雲安全敲響了警鍾。“雲時代”網絡安全防護形勢不容樂觀。
中國工程院院士李德毅認為,雲計算可能在軟件中出現諸如漏洞、病毒、攻擊及信息泄露等問題,目前在信息係統中仍普遍存在共性的信息安全問題。
二是我國雲產品軟硬件研發能力不強,國外引進設備可能存在一些威脅。
記者在各地走訪中了解到,IBM、惠普、微軟等眾多國外廠商紛紛在中國搭建雲計算平台,推銷產品,並與地方政府合作。國家超算天津中心主任劉光明擔心,國外產品充斥我國剛剛起步的雲計算市場是一個危險信號。
高效能服務器與存儲技術國家重點實驗室主任王恩東也認為,在選擇雲產品提供商和服務商時需特別注意國家安全。他介紹,歐盟擬封殺美國的雲計算服務商,就是因為根據美國“愛國者法案”,美國企業有責任在需要時向美國政府提供它掌握的所有數據。
中國工程院院士倪光南表示,在我國還沒有形成通用化的雲計算基礎軟件產品以及各類行業應用解決方案,尚不能滿足大城市、大行業發展基於雲計算的信息化建設的背景下,打造我國自主可控的雲計算產業鏈,是擺脫跨國公司控製我國重要信息係統的機遇。
三是雲服務的開放性使網絡邊界進一步模糊,對跨國、跨領域信息安全監管提出更高要求。
目前,國際雲計算領先企業往往通過“撒網”建設、互為備份的方式,規避不可抗力風險。僅穀歌在全球就有至少36個數據中心,覆蓋了美國本土、歐洲、南美和亞洲。李德毅表示,傳統計算機係統中存在物理安全區域,如公司內部專有網絡,可以清晰地定義安全邊界,但“雲時代”則不同,物理安全邊界越來越無法定義,信息監管的難度不斷加大。
多數專家認為,傳統基於物理安全邊界的防護機製在雲計算環境下難以得到有效應用。跨國、跨領域信息安全監管變得越來越棘手。
加強雲安全建設步伐刻不容緩
在我國雲計算產業發展當中,基礎不牢、立法缺失、道德風險、地質災害多發等成為目前安全方麵主要風險因素。在關鍵發展時期,提速雲安全保障步伐較為迫切。
一是基礎設施薄弱是我國雲安全建設麵臨的突出問題。中國社科院信息化研究中心秘書長薑奇平介紹,目前全球約有84%的國家完成了信息社會世界峰會確定的在2010年前製訂出國家信息通信戰略的目標,至少有82個國家出台了國家寬帶戰略。我國目前既沒有寬帶國家戰略,也缺乏完整的電信法,在信息時代落後於國際潮流。
他還表示,進入“雲時代”後,我國如果不能在雲計算基礎設施上站穩腳跟,將失去戰略性的信息邊疆,全體民眾有被從數據上整體“移民”的風險,這將是我國麵臨最大的雲安全問題。
二是相關法律法規缺失使我國雲安全根基不牢。目前我國有關雲安全的法規尚屬空白。鄂爾多斯市東勝區信息化委員會主任馬迎春提出,保障“雲時代”的數據安全必須通過立法界定責任,明確處理辦法。記者在走訪中也了解到,缺少法律法規約束的部分幹部或雲中心管理人員責任心不強,一旦出現道德風險,數據全盤泄露並非聳人聽聞。曙光公司技術支持中心總經理曹振南介紹,曙光在一些地方作雲計算中心數據測試時,曾有當地政府把大量真實的公安數據全盤托出,因此需重點防範解決人為因素風險。
聶華說,相對於製空權、製海權,“製網權”同樣重要。美國曾發布《網絡空間國際戰略》,將網絡安全、信息安全提到國際戰略高度,將網絡攻擊等同於軍事攻擊。我國迫切需要立足於自主創新,打造中國自己的雲計算、雲服務產業鏈條。
此外,還有專家指出,我國是一個地質災害頻發的國家,在發展初期合理布局雲計算資源,避開地震帶、地麵嚴重沉降區域、易泛濫的河流周圍,可以規避不可抗力釀成的風險。
構建自主可控的雲安全體係
基於雲安全建設的迫切性,專家建議通過三方麵努力,積極構建我國自主可控的雲安全體係。
一是國家層麵通過加快立法、合理監管等方式,積極構建雲安全的社會軟環境。
中國電子信息產業發展研究院軟件與信息服務業研究所所長安暉認為,應盡快實施雲計算安全立法工作,強製雲服務提供商采取必要的安全措施。一方麵,可考慮由國家有關部委牽頭,召集雲計算產業鏈各主體,製定雲計算的安全標準;另一方麵,啟動立法工作,解決數據隱私保護、數據主權歸屬問題,並規定相應的違約責任。
有部分國內廠商提出了“全雲審計”的概念。他們希望,在立法中要實現在軟件應用模式各個層麵的審計,解決雲計算用戶可信的問題。對於監管方式,專家建議從利於產業發展的角度,找到“收”與“放”的平衡點。政府部門可對其進行精細化劃分和監管,采用分級監管模式分類管理。
二是增強我國雲產品自主創新能力,壯大自身產業。
安暉認為,加強雲安全關鍵是要加強重點技術和產品研發,形成一批安全可控、具有自主知識產權的技術和產品。他建議發展雲計算軟件產品、培育雲計算相關新興業態,研發基於國產軟硬件的雲計算整體解決方案。同時要注重和加強知識產權的保護工作。聶華等人表示,在積極引入國外先進技術成果同時,“政務雲”、“醫療雲”等對信息安全要求較高的雲要掌握在政府或國有企業手中。
還有專家建議,扶持有實力的中國企業走出國門,參與國際競爭。待我國雲產業硬件設備研發能力逐漸提升後,有計劃、有步驟地替換或在新產品上實現關鍵設備國產化。
三是提高雲計算整體管理水平,防範道德風險引發的信息安全風險。
由於多數人對雲計算的認識比較模糊,專家們大都建議應首先提高相關人員在數據測試、市場交易、接待參觀等活動中的保密意識,並且建立一套連鎖保密安全責任製度。對重要數據的開啟,責任人之間要互相製約。
中國電子商務協會移動商務專家谘詢委員會副主任王汝林建議,要規避惡意用戶對於雲服務的濫用風險,對雲係統進行全麵的安全加固,確保雲服務的平穩運行。李德毅說,企業在雲安全建設中要樹立誠信意識,將誠信與企業的長遠發展等同認識。
專家還提出,可大力推動雲安全協會或聯盟組織建立,推動行業自律的開展,打造集團化的安全品牌優勢。
