2013蛇年伊始,科技部副部长曹健林公开解读了中国云计算发展及其将给国人生产生活带来的变化。他指出:云安全仍然是影响云计算发展的最关键问题。我们要发展信息安全特别是云安全技术,同时,相关法律法规的健全也迫在眉睫。
云计算带来新安全风险
作为第四次IT革命的云计算是当今主流技术(虚拟化、分布式存储、分布式计算、SOA、应用调度等)的优化整合提升,给传统IT服务带来新的商业模式。
云计算除了资源整合共享导致成本降低之外,最核心优势就是能够快速地满足商业市场变化的需求。
但是,正如老子道德经所云“祸兮,福之所倚;福兮,祸之所伏”,云计算也带来了新型网络威胁、数据安全和隐私泄露的风险,甚至在全球范围内已经发生诸多云计算安全事件。
美国《NetworkWorld》杂志2011年曾专门列出了全球发生过的十个最严重的云服务中断事故,包括亚马逊、谷歌、Salesforce和微软在内的多家云服务提供商都曾因为云安全事故而遭受到不同程度的打击,业务损失严重,微软公司甚至因此全面停止提供Sidekick智能手机的云数据服务。
因此,如何更好地建立企业云计算的安全技术和安全策略管理标准体系,从而有效避免云计算所带来的安全隐患,已成为行业日益关注的焦点。
在采用云计算之前,企业通过安装阻止非法访问内部网络的硬件防火墙来定义安全边界,也通过密码认证等方式来限制和阻止非法用户的访问。在移动用户很少和所有数据都在企业内部的时代,这些安全策略是完全可行的。
进入云时代之后,情况出现了极大的变化:访问连接无处不在、信息交换多种多样、之前信任的安全边界被云计算不断破坏与重组。因此,传统静态的安全控制已经无法满足云时代的动态特性。云计算的安全技术、安全策略、目标和防范措施都要求企业具有创新思维,要求企业重新定义企业网络安全边界。
解决云计算特有安全问题
不管采用什么云服务模型(IaaS、PaaS和SaaS)或云部署方式(公有云、私有云、混合云和社区云),要满足云端时代的安全需求,传统信息安全的五大方面(加密、访问控制、审计、认证、授权验证)都需要解决云计算特有的问题,如资源虚拟化、多租户、动态分配、特权用户以及服务模式等云计算特性,造成信任关系的建立、管理和维护更加困难,服务授权和访问控制变得更加复杂,网络安全边界变得模糊等,这些问题要求在现有安全技术基础上提供更多的云安全技术和方案来解决。
正是在这样的云时代发展大趋势下,中国电子信息产业集团于2012年先后成立了两家专注于信息安全的企业:中电信息技术研究院和中电长城网际。
秉承中央企业保障国家基础信息网络和重要信息系统的安全为使命,以面向国家重要信息系统的高端咨询和安全服务业务为主线,着眼于信息化发展的大趋势和信息安全对抗的严峻局面,立足产业、突出国家信息安全顶层设计,提高国家信息安全咨询与服务能力,带动产品技术的不断创新和产业化发展,为国家信息安全保障体系提供产业支撑。
此外,中标软件有限公司也将多年从事操作系统安全研发的经验应用于云计算环境,打造出一个以安全为首要目标、面向私有云环境改造和建设的云操作系统。
云安全固然是云计算应用的首要挑战和风险,但是,我们也不能因噎废食,只要接受行业云专家的专业咨询服务,采用安全的云计算产品和解决方案,按照标准的企业云化的方法和路线图以及专业的实施规范和流程,云计算这朵云一定会“化云为雨,润泽大地”。
韩乃平:中标软件有限公司总经理,中国软件高级副总裁,研究员级高级工程师,"核高基"国家科技重大专项总体专家组成员,任中国软件行业协会常务理事,开源及基础软件技术创新联盟理事长。