发展云计算必须高度重视云安全解读由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“云安全全球态势分析”。
中国信息界2011年第1期总第165期 战略与政策
发展“云计算"必须高度重视“云安全" 王汝林
(中国电子商务协会移动商务专家咨询委员会北京100846)摘要:当前,全世界掀起了“耕云播雨”的热潮。随着云规划、云纲要、云项目、云应用的逐步落地,云
计算的真面目已经越来越清晰,其商务价值也越来越明显地显现出来。中国也步入了云计算的快速发展行列。但是,在当前云计算的快速发展中,有一个十分值得关注的问题:发展云计算不注重云安全。对此,本文提出一些意见和看法。
关键词:云计算云安全标准法规
当前,全世界掀起了“耕云播雨”的热潮。“登
云”、“建云”、“入云”、“驾云”、“腾云”的热浪一浪高过一浪。Google、IBM、微软等IT巨头们以前所未有的速度和规模推动云计算的普及和发展,大量学术活动.裹挟着商务宣传。迅速将云计算概念加温,领导和企业家
技术研发。德国投入巨资保持在4G/LTE和云计算研究的前沿地位,并于2010年1月在德国马格德堡建立了目前欧洲最
大的云计算中心,并启动了经由卫星实施云计算的方案。日本更看好云计算市场的发展前景,其经济产业省确定:将在医疗、教育、电力等各个领域利用云计算。韩国政府推出了《搞活云计算综合计划》,确定投资36亿元发展云的关注;媒体的热炒,更是把云计算推上了峰巅,拼命地
为资本造势。
然而,炒作和鼓噪的“迷云”终会消散,云中阁楼总会落地。随着云规划、云纲要、云项F了、云应用的逐步落地和落实。云计算的真面目已经越米越清晰,云计算的商
计算,旨在提高韩固云计算产业竞争力,提高国家IT资源 的效率。
谷歌为抢占云计算的战略制高点,在欧洲已建成或在建的数据中心有12个。据IT业研究公司美围Garnler从司估计,谷歌在全球的40多个数据中心,共拥有近100万台服务器。IBM为证实其“云计算”商务模式的呵行性,还在务价值也越来越明显地显现出来。
中国也步入了云计算的快速发展jr列,但是,存当前 云计算的快速发展中,有一个十分值得关注的问题:发展 云计算不注重云安伞。对此,本文提出一些意见和看法。荷兰打造了成功案例。并在中网建设J,黄河i角洲云计算 服务平台。微软已经确定了进军中困的云战略发展思路和 参考架构,并确定未来3年,微软、惠普合作投资2.5亿美 1必须认识发展云计算同时带来了巨大安全隐患 “云计算”并不是谷歌敝响的第一声钟声。其实,早 元,发展云计算。
云计算的广泛府用和快速发展,将从根本上改变信息
获取和知识传播的方式,促进基础设施运营、软件等信息产业的服务化转型,催生跨行业融合应用的新型增值信息
服务q匕态。
在2003年美田家科学基会就投资830万美元,支持由七所顶
尖院校提出的“网格虚拟化和云计算VGrADS”项目,正式启动了云计算的研发序幕。其后,又陆续推出了美国航空
采用云计算,将人量网络分别连接的计算资源进行统一管理和调度,构成一个计算资源池向用户提供按需服
务。这叮以把分散资源集聚起来,提供信息资源深度开发的可能;可以把零散资源汇集起来,提供整合应用的可能;信息资源池中,大量高附加值信息资源的集聚,不仅
航天局的云计算系统一Nebula。从2004年开始,美田先
后推出r简单队列服务剑云计算的服务雏形。2006年亚马逊推出的简单存储服务(s3)和弹性计算云(EC2),成为云计算服务开始走向成熟的标志。
IBM于2008年提出“蓝云”计划,推出“共有云”和 提供了信息资源增值开发和智能开发的可能,还提供J,集 群性计算能力深度开发、增值开发的现实可能性。在这种发展态势下,我国加快了云计算发展的步伐。“私有云”的概念。2009年发布了基于云端的协作平台。欧盟启动了“视觉云”计划,拨款2140万美元资助云存储
前不久,发改委和工信部研究确定,北京、上海、深圳、5 万方数据
战略与政策杭州、无锡为云计算试点省市。华为最近宣布,不仪要构建云计算平台,而且要开放合作,构筑共赢生态链,让客户“像用电一样享用应用与服务”。紧接着,中罔首个“商用云计算中心”落户无锡,北京启动了云计算的“祥
云工程”,上海推出了三年云计算发展方案,确定鼋点 发展六项重大工程,力争三年内实现云产业基地产值50亿
元,初步形成有影响力的云计算产业雏形。哈尔滨拟利用世界大型云计算数据中心选址多在北纬40度-50度之间的地缘优势,建设“中国云谷”,其“金融行业数据中心”已经启动建设。就社会层面而言,三大运营商分别确定了各自的云发 展计划。阿里巴巴要建电子商务云计算公司,表示要为客 户提供计算、存储服务。自2010年1月29日讯鸟云计算基地 落户宁波,到12)j15日困内首个云计算电子政务项目在蓉 落地,这一年的中国可以说正处在耕“云”播雨的建设热 潮中。应该说,“云计算”的快速发展,为我国信息技术的深度开发和应用,带来厂新的发展机遇。它的智能管理算
法和整合开发设计,为解决我国信息化建设中信息资源的综合开发和价值开发,提供了崭新的思路和路径,而且可
以激活庞大的需求市场,充分发挥多年信息化建设基础设施的投资潜能,迅速构建起国家主导的、具有中国特色的“云计算”布局的休系,迅速形成我困的“云计算”资源开发能力和应用开发能力。
但是,由于我们很多人对云计算的起源和发展缺乏深刻了解,不了解云计算首先在美国军事应用上快速发展和首先应用的现实,更不了解欧盟为rr保护入云企业的经济安全和信息安全所做出的努力。以至于,不仅误以为是谷
歌敲响了“云计算”第一声钟声,而且把物联网发展中,在生猪销售上的简单追溯应用,也当成云计算的典型应用。特别是,在我国云计算快速发展的强劲势头下,无意
忽视云安全和有意漠视云安全的现象,更是严重存在,已
经到了惊涛拍岸、风险叩门的地步,亟待引起有关部『]和全社会的高度关注和重视。
2必须认识发展云计算的巨大挑战将是确保云安全 应当看到,云计算在具有巨大商机的同时,潜在着巨
大的安全风险。尽管云计算发展中存在着隔离失败风险、合规风险、管理界面损害风险、数据删除小彻底风险、内部威胁风险等众多运营和使用风险,但这些都只是一般性风险,而不是主要风险。其实,云计算当前最重要、最核心的风险是国家安全风险和企业经济信息失控风险。
就国家安全风险而言,前哥伦比亚电视台新闻频道总
裁在其撰写的报告中已明确指出: “随着世界的变化,美
国的未来也需重新定位,不过云计算是美国可以重申其全球经济和技术带头人地位的重要领域”。
应该说,“云计算”的提出和快速发展,正好为美国 6万方数据
中国信息界2011年第1期总第165期
提供了新的机会。一旦令球信息的流动、存储和处理都要 通过美冈IT巨头在互联网构建的“云”来进行,那么美困 就牢牢掌握了对全球信息的绝对制导权。
奥巴J§政府早已经将网络空间安全威胁定位为“我们 举国面临的最严重的国家经济和国家安全挑战之一”,并 宣布“从现在起,我们的数字基础设施将被视为国家战略 资产”。
事实上,美国为了能获取信息霸权,十分注重圈家战略资产的建设。不仅注重把域名根服务器到码址资源等互联网基础设施掌握在自已手中,更最早开始了在军事领域
部署“云计算”。与此同时,他们的另一只手,就是大力 支持其商业公司在全球大建云资源池和云计算中心,抢占 云计算基础性战略资源。
更为严重的是。据国际媒体报道,2010年2月6日IBM 开始为美困空,军构建一个足以保护国防和军事资料的“云 端计算网络系统”。IBM宣布,已和美国空军签约,将为
其9个指挥中心、100座军事基地和散居全球的70万军队所使朋的USAF网络,设计和建它一个云端计算环境。
为此,IBM的研究员、软件工程师和网络安全专家。将与军方人员和政府机关合作,并将采用汇流计算分析,建设一种能让空军持续监看和分析所有网络资料,以寻找任何威胁或故障迹象的技术。为支持这项计划的实施和落实,前不久,美国国会众议院又通过了“网络安伞研究与
发展法”。
2010年12月25日媒体又报道,IBM称,正在为北约创建云计算系统。位于佛吉尼亚州诺福克市的北约军事指挥
部将率先使用这一技术,随后还可能向其它分支扩展,该 “云计算系统可让北约更迅捷地收集和分析数据”。与此同时,IBM大举进军中国市场。先是欲借无锡,打开强力挺进中国云计算市场的通路,又携手东营共建 “黄河三角洲云计算中心”,而且,还将其他100个中国城 市作为潜在的云计算客户,并希望吸引20万家独奇软件公
司使用自已的数据中心。2010年6月,又在北京建立了一个铁路创新中心,以期掌控中国重要的铁路建设信息。
IBMH前已经宣布,国内49家应用开发商、系统集成商已经正式加入其云引擎合作伙伴计划,并被授予顶级云会员、高级云会员及基础云会员认证金牌,正在成为IBM
进军中因计划的一部分。
一个一手为美国宅军制造“能让空军持续监看和分析所有网络资料”的公司,其另一只手欲把“l002-中国城市
作为潜在的云计算客户,并准备吸引20万家软件公司进入并使用自己的数据中心,还要掌控中国巨大的铁路建设信
息”。中国的国防信息安全何在?中国铁路的高速运兵能力和军事物流优势何在?我国信息的绝对制导权何在?
就经济信息安全而言,发展云计算以后,企业和行业的大量经济信息,竞争信息将进入信息运营商的资源池中,其“海涵”的大型数据中心和强劲服务器,又担当软
件开发的信息“调度师”和流程“监控员”。那么,我们要问:究竟谁是这些经济信息的主体?中国企业重要的经
中国信息界2011年第1期总第165期 济信息安全。在入云以后谁来保证?如何保证?
在当前全球经济一体化的背景下,企qk只有掌握竞争情报。并注意保护好自已的商业秘密,才能在激烈的市场
竞争中处于主动地位。特别是,创新型无形资产和竞争性商务信息是企业和商家核心的商业秘密,所以必须高度警
惕和有效防止信息资源集聚过程中的无意流失和有意窃取,更应认识到这种无形资产被外资掌控以后和有形资产的结合,将伞面掌控中圈的经济命脉。号称世界民用飞机巨无霸的美国波音公司就专fJ建立了“反竞争情报机
制”,从获取的“战略信号”中研究破解对方竞争手段的方法。商业巨头沃尔玛其信息化的基本经验就是:找到最值得信赖,Fd时成本又低的系统。
欧盟的一些成员国最早意识剑这个问题的重要性。因此,提出了在入云时保护食业经济信息安全的《数字议程计划》。并对进入云资源池中的经济信息规定了删除时间。有14个国家规定:企业入云信息12个月必须删除。8个欧盟国家规定,这监数据必须在6个月后删除;
只有一个国家规定,这些数据必须在18个月后删除。德国更严格规定:所有入云数据。必须保存在德国境内。
加拿大也实行了非常严格的禁止跨疆界个人信息搜集或信息处理的法律。为J,制约云服务公司的不道德行为和窃取企业商业秘密的做法;欧盟成员国还通过市法的程序确保仓业的经济信息安全。而我国在前一段云计算的宣传和介绍中,一砦商家和媒体不知是无意地,还是昧着良心地漠视了这样一
个重要的问题。其实,欧盟的做法,会给我国的企业和商 家提供重要的启示和警示。
近日,欧盟网络与信息安令局(ENlSA)又发布了一则报告:《云计算:好处、风险以及信息安全建议》,指出在公共云的数据安令会向临巨大的挑战。报告并不建议将最敏感或者核心的数据置于云端,但认为许多电子政务应用,可以适当的放在公共云上。这些建议值得我国学习和借鉴。
3必须尽快启动云计算的标准和法规建设
就世界而言,在云计算环境开发和服务方面的标准才刚刚兴起。不仅一次编写、普遍运行的标准缺失,云计算
数据中心的软件生产标准,云服务企业运营的标准也严重 缺失。这就导致J,企业可以打着“善意”的旗号,进行不
善意的i,为。甚鼋可以将一个时期,或一个行业的发展信息,趋势信息进行智能分析后,而转供他人,或被鼋金收
买,采取“服务放水”、“捞鱼有价”的方式,秘密出售资源池中的整合经济信息。
部分欧洲固家看剑丫这个问题的严重性。它们对本国 万方数据 战略与政策
公民个人信息和企业商务信息严加保护,并拒绝了一些云服务商提出的27国统一隐私政策的计划。德国是其中态度
最鲜明的国家之一,它坚持实行严厉的国家标准。法国数 码经济协会主席奥利维尔・米蒂尔更表示,“对于欧洲国
家来说,隐私权的重要性是无价的。”在此情况下,一些跨国IT企业大举进军中国市场,企图尽快找到战略突破点。他们不仅看到J,中圈市场的巨大,更看剑厂中国市场的浮躁。这是我们必须有所警惕的。
当前,我们特别要注重云服务的战略研究和创新研究。应当看到,有的城市,现有的集成计算能力尚有三分
之二闲置,就义盲目发展很多朵云,这会造成资金和资源的浪费。还要在加强应用研发的同时加强理论研发。要有效地
界定:云数据的进入、删除及其无法恢复性,确保进入云数据,必须彻底有效地去除并保证数据已被完全消除或使
其无法恢复,并不被转移。
在云资源池中,应确保其客户的保密/敏感数据不能在使用、储存或传输过程中,在没有任何补偿控制的情况F与其它客户数据混合,或被他人获取。其云数据备份和云恢复计划,必须落实到位,以防止数据丢失和意外破坏。
因此,应尽快启动云计算的理论研究和标准研发工
作,尽快规划入云信息的分类规范,尽快建立云计算服务平台的建设规范和对运营服务软件的验收规范,防止其预留后门,还应尽快建立入云企业的信息安全管理规范,以确保云计算得到健康有序的发展。
根据IDC统计数据显示,当前,87.5%的受调查用户认为“安全性问题”是影响其采用云服务的丰要问题,特别
是鉴J:云服务和传统ITJ]技务在法律层面上的考量会有许多
不同之处。因此,入云企业碰慎重。签订云计算服务合同时尤其要注意合同中关于涉及安全破坏、数据转移、控制转变以及数据访问时自身在法律层面的权利及义务的准确描述和界定,谨慎考鼍风险,慎重签订合同,防止误入合Fd预留的文字陷阱中。
除此之外,云服务提供者也必须规避恶意用户对于云 服务的滥用风险。为了规避以上风险,云服务提供商必须
对云系统进行令面的安全加固,不仅要在云中部署针对性的安全防护产品,更要从系统层面,建立完善的密钥管
理、权限管理、云安伞认证监测服务等多维安全机制,确 保云服务的平稳运行。作者简介:
王汝林,中国电子商务协会移动商务专家咨询委员 会.副主任。(责任编辑:戈悦迎)7
发展“云计算”必须高度重视“云安全” 作者:作者单位:刊名:英文刊名:年,卷(期: 王汝林
中国电子商务协会移动商务专家咨询委员会,北京,100846中国信息界 CHINA INFORMATION TIMES2011(1 本文链接:http://d.g.wanfangdata.com.cn/Periodical_zgxxj201101001.aspx
