1. 首页

构建自主可控云安全体系刻不容缓

  随着我国云计算市场的快速升温,云安全问题日益凸显,行业专家认为应从构建自主可控的云安全体系角度出发,从国家层面加强立法建设,增强我国云产品的自主创新能力,提高管理水平与管理效率,使整个产业能够步入健康、有序发展的快车道。

  “云时代”信息安全面临三大挑战

  一是网络攻击仍然存在,相对集中的特点可能使云计算数据资源面临更大威胁。

  资源的集中性和远程操作的便利性,使“云时代”网络攻击威胁性更大。曙光公司副总裁聂华说,网络空间攻击仍是对我国的主要威胁之一。云计算服务提供商亚马逊公司位于美国的一个云计算中心曾“死机”,直接影响大量创业型网络公司,甚至影响到托管服务器的印度企业。国内最大程序员社区C SD N网600万用户资料被黑客公开,以及知名社区天涯网疑似4000万用户隐私遭泄露,给云安全敲响了警钟。“云时代”网络安全防护形势不容乐观。

  中国工程院院士李德毅认为,云计算可能在软件中出现诸如漏洞、病毒、攻击及信息泄露等问题,目前在信息系统中仍普遍存在共性的信息安全问题。

  二是我国云产品软硬件研发能力不强,国外引进设备可能存在一些威胁。

  记 者 在 各 地 走 访 中 了 解 到 ,IB M、惠普、微软等众多国外厂商纷纷在中国搭建云计算平台,推销产品,并与地方政府合作。国家超算天津中心主任刘光明担心,国外产品充斥我国刚刚起步的云计算市场是一个危险信号。

  高效能服务器与存储技术国家重点实验室主任王恩东也认为,在选择云产品提供商和服务商时需特别注意国家安全。他介绍,欧盟拟封杀美国的云计算服务商,就是因为根据美国“爱国者法案”,美国企业有责任在需要时向美国政府提供它掌握的所有数据。

  中国工程院院士倪光南表示,在我国还没有形成通用化的云计算基础软件产品以及各类行业应用解决方案,尚不能满足大城市、大行业发展基于云计算的信息化建设的背景下,打造我国自主可控的云计算产业链,是摆脱跨国公司控制我国重要信息系统的机遇。

  三是云服务的开放性使网络边界进一步模糊,对跨国、跨领域信息安全监管提出更高要求。

  目前,国际云计算领先企业往往通过“撒网”建设、互为备份的方式,规避不可抗力风险。仅谷歌在全球就有至少36个数据中心,覆盖了美国本土、欧洲、南美和亚洲。李德毅表示,传统计算机系统中存在物理安全区域,如公司内部专有网络,可以清晰地定义安全边界,但“云时代”则不同,物理安全边界越来越无法定义,信息监管的难度不断加大。

  多数专家认为,传统基于物理安全边界的防护机制在云计算环境下难以得到有效应用。跨国、跨领域信息安全监管变得越来越棘手。

  加强云安全建设步伐刻不容缓

  在我国云计算产业发展当中,基础不牢、立法缺失、道德风险、地质灾害多发等成为目前安全方面主要风险因素。在关键发展时期,提速云安全保障步伐较为迫切。

  一是基础设施薄弱是我国云安全建设面临的突出问题。中国社科院信息化研究中心秘书长姜奇平介绍,目前全球约有84%的国家完成了信息社会世界峰会确定的在2010年前制订出国家信息通信战略的目标,至少有82个国家出台了国家宽带战略。我国目前既没有宽带国家战略,也缺乏完整的电信法,在信息时代落后于国际潮流。

  他还表示,进入“云时代”后,我国如果不能在云计算基础设施上站稳脚跟,将失去战略性的信息边疆,全体民众有被从数据上整体“移民”的风险,这将是我国面临最大的云安全问题。

  二是相关法律法规缺失使我国云安全根基不牢。目前我国有关云安全的法规尚属空白。鄂尔多斯市东胜区信息化委员会主任马迎春提出,保障“云时代”的数据安全必须通过立法界定责任,明确处理办法。记者在走访中也了解到,缺少法律法规约束的部分干部或云中心管理人员责任心不强,一旦出现道德风险,数据全盘泄露并非耸人听闻。曙光公司技术支持中心总经理曹振南介绍,曙光在一些地方作云计算中心数据测试时,曾有当地政府把大量真实的公安数据全盘托出,因此需重点防范解决人为因素风险。

  聂华说,相对于制空权、制海权,“制网权”同样重要。美国曾发布《网络空间国际战略》,将网络安全、信息安全提到国际战略高度,将网络攻击等同于军事攻击。我国迫切需要立足于自主创新,打造中国自己的云计算、云服务产业链条。

  此外,还有专家指出,我国是一个地质灾害频发的国家,在发展初期合理布局云计算资源,避开地震带、地面严重沉降区域、易泛滥的河流周围,可以规避不可抗力酿成的风险。

  构建自主可控的云安全体系

  基于云安全建设的迫切性,专家建议通过三方面努力,积极构建我国自主可控的云安全体系。

  一是国家层面通过加快立法、合理监管等方式,积极构建云安全的社会软环境。

  中国电子信息产业发展研究院软件与信息服务业研究所所长安晖认为,应尽快实施云计算安全立法工作,强制云服务提供商采取必要的安全措施。一方面,可考虑由国家有关部委牵头,召集云计算产业链各主体,制定云计算的安全标准;另一方面,启动立法工作,解决数据隐私保护、数据主权归属问题,并规定相应的违约责任。

  有部分国内厂商提出了“全云审计”的概念。他们希望,在立法中要实现在软件应用模式各个层面的审计,解决云计算用户可信的问题。对于监管方式,专家建议从利于产业发展的角度,找到“收”与“放”的平衡点。政府部门可对其进行精细化划分和监管,采用分级监管模式分类管理。

  二是增强我国云产品自主创新能力,壮大自身产业。

  安晖认为,加强云安全关键是要加强重点技术和产品研发,形成一批安全可控、具有自主知识产权的技术和产品。他建议发展云计算软件产品、培育云计算相关新兴业态,研发基于国产软硬件的云计算整体解决方案。同时要注重和加强知识产权的保护工作。聂华等人表示,在积极引入国 外 先 进 技 术 成 果 同 时 , “ 政 务云”、“医疗云”等对信息安全要求较高的云要掌握在政府或国有企业手中。

  还有专家建议,扶持有实力的中国企业走出国门,参与国际竞争。待我国云产业硬件设备研发能力逐渐提升后,有计划、有步骤地替换或在新产品上实现关键设备国产化。

  三是提高云计算整体管理水平,防范道德风险引发的信息安全风险。

  由于多数人对云计算的认识比较模糊,专家们大都建议应首先提高相关人员在数据测试、市场交易、接待参观等活动中的保密意识,并且建立一套连锁保密安全责任制度。对重要数据的开启,责任人之间要互相制约。

  中国电子商务协会移动商务专家咨询委员会副主任王汝林建议,要规避恶意用户对于云服务的滥用风险,对云系统进行全面的安全加固,确保云服务的平稳运行。李德毅说,企业在云安全建设中要树立诚信意识,将诚信与企业的长远发展等同认识。

  专家还提出,可大力推动云安全协会或联盟组织建立,推动行业自律的开展,打造集团化的安全品牌优势。