2003年5月，美國(guó)《哈佛商業(yè)評(píng)論》刊載了尼古拉斯·卡爾的《IT不再重要》一文。他將IT發(fā)展與電力發(fā)展相比較，認(rèn)為IT發(fā)展將歸于云計(jì)算模式——就像今天的電廠一樣，實(shí)現(xiàn)標(biāo)準(zhǔn)化的按需供給和收費(fèi)。

　　時(shí)至今日，云計(jì)算作為未來(lái)信息社會(huì)發(fā)展的可能趨勢(shì)，已經(jīng)成為業(yè)界共識(shí)。無(wú)論在學(xué)術(shù)界還是在產(chǎn)業(yè)界，云計(jì)算都是被熱烈探討的話題之一。

　　但隨著探討的深入，人們逐漸認(rèn)識(shí)到：比特不是電子，業(yè)務(wù)流程也不是電機(jī)和電燈。云計(jì)算正在遭遇以往電氣時(shí)代所從未遇到過的難題——如何保障云計(jì)算的安全。

　　“云時(shí)代”的安全難題

　　在12月18日由CCF YOCSEF舉辦的“云計(jì)算時(shí)代的國(guó)家信息安全戰(zhàn)略”論壇上，中國(guó)科學(xué)院軟件所研究員、信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室主任馮登國(guó)指出，信息安全技術(shù)的發(fā)展，除了其自身體系發(fā)展之外，有很多技術(shù)是伴隨著信息技術(shù)的發(fā)展而產(chǎn)生的。

　　在電子通信時(shí)代，信息安全的重點(diǎn)是如何實(shí)現(xiàn)通信保密，因此當(dāng)時(shí)研究的重點(diǎn)是密碼技術(shù)。到了個(gè)人計(jì)算機(jī)時(shí)代，信息安全的重點(diǎn)則是以計(jì)算機(jī)為主的安全保障體系建設(shè)，也可以稱之為“主機(jī)安全”。互聯(lián)網(wǎng)興起之后，以往的“主機(jī)安全”策略難以滿足用戶需要，人們更加重視對(duì)來(lái)自網(wǎng)絡(luò)上的各類風(fēng)險(xiǎn)的防護(hù)。而在云計(jì)算時(shí)代，共享、動(dòng)態(tài)的云計(jì)算資源減弱了用戶的控制能力，因此給信息安全帶來(lái)了新的挑戰(zhàn)。

　　馮登國(guó)認(rèn)為，云計(jì)算時(shí)代的到來(lái)，主要給信息安全帶來(lái)了3方面挑戰(zhàn)。

　　首先是云計(jì)算系統(tǒng)的安全防護(hù)問題。在云計(jì)算模式下，用戶數(shù)據(jù)以共享和動(dòng)態(tài)的方式被保存，這使其安全性面臨巨大風(fēng)險(xiǎn)——如果服務(wù)提供商對(duì)數(shù)據(jù)有訪問權(quán)，則可能隨意處置用戶的數(shù)據(jù)，甚至可能產(chǎn)生倒賣行為，造成用戶數(shù)據(jù)權(quán)利的損失。而對(duì)于這類行為，用戶往往難于追查和取證。

　　“云服務(wù)商的動(dòng)態(tài)虛擬化管理及多租戶共享模式，缺乏清晰的安全邊界，從而容易引發(fā)運(yùn)行環(huán)境的安全問題?！瘪T登國(guó)說。

　　其次，云計(jì)算還將對(duì)現(xiàn)有安全體系產(chǎn)生沖擊。云計(jì)算為用戶提供了更強(qiáng)大的計(jì)算和存儲(chǔ)能力，但云服務(wù)商很難識(shí)別用戶行為的目的，無(wú)法區(qū)分用戶的計(jì)算任務(wù)是否合法。這些潛在風(fēng)險(xiǎn)是現(xiàn)有安全體系很難應(yīng)對(duì)的。

　　“基于云的安全攻擊無(wú)疑將帶來(lái)安全的噩夢(mèng)。如果云服務(wù)平臺(tái)被攻擊者控制，安全漏洞被利用或云用戶身份被盜用，攻擊者將可以利用龐大的網(wǎng)絡(luò)資源、用戶身份資源和計(jì)算資源，組織DDOS類型的更大規(guī)模攻擊?！瘪T登國(guó)說。

　　馮登國(guó)指出，在云計(jì)算時(shí)代，隨著系統(tǒng)規(guī)模的擴(kuò)大和復(fù)雜性的提高，外部攻擊也將更有效率，從而將傳統(tǒng)的安全問題進(jìn)一步放大，帶來(lái)更艱巨的挑戰(zhàn)。

　　第三方面的挑戰(zhàn)，則來(lái)自安全監(jiān)管問題。在云計(jì)算時(shí)代如何對(duì)信息內(nèi)容進(jìn)行監(jiān)管和引導(dǎo)，是關(guān)系到社會(huì)穩(wěn)定和國(guó)家安全的關(guān)鍵問題?，F(xiàn)有的監(jiān)管與預(yù)警體系主要針對(duì)傳統(tǒng)的Web等開放式應(yīng)用，而云計(jì)算則給監(jiān)管體系的建立帶來(lái)新的問題，所需工作量也更大。

　　安全已成發(fā)展瓶頸

　　上述的信息安全問題，顯然在一定程度上制約了云計(jì)算的發(fā)展和普及。而就中國(guó)而言，這一制約更為明顯。

　　在今年5月舉行的第二屆中國(guó)云計(jì)算大會(huì)上，埃森哲與中國(guó)電子學(xué)會(huì)共同發(fā)布了一份名為《中國(guó)云計(jì)算發(fā)展的務(wù)實(shí)之路》的報(bào)告。報(bào)告指出，安全問題是全球?qū)υ朴?jì)算最大的質(zhì)疑。而這種擔(dān)憂在中國(guó)尤為突出，“以至于首席信息官們?nèi)缏谋”貏e是面對(duì)公有云服務(wù)時(shí)”。

　　報(bào)告顯示，有59%的中國(guó)受訪者表示“十分擔(dān)心”云中數(shù)據(jù)的安全性、私密性和機(jī)密性，高于美國(guó)的50%以及中國(guó)以外其他國(guó)家的42%。相比其他所有國(guó)家，更高比例的中國(guó)受訪者認(rèn)為其所在企業(yè)和機(jī)構(gòu)擁有不得外泄的敏感數(shù)據(jù)。中國(guó)高管尤其擔(dān)心數(shù)據(jù)遭黑客盜竊，或是意外泄露給同一云供應(yīng)商的其他用戶或本企業(yè)的非授權(quán)員工。

　　“我本人不看好商業(yè)公有云計(jì)算。管理層最關(guān)注的就是數(shù)據(jù)的安全問題。商業(yè)機(jī)密如果存放在和其他人共用的公有云里，數(shù)據(jù)安全得不到保證，一旦泄露給競(jìng)爭(zhēng)對(duì)手，那結(jié)果會(huì)很可怕。除非解決了相應(yīng)的法律、法規(guī)和SAL協(xié)議這些商業(yè)環(huán)境，同時(shí)對(duì)供應(yīng)商定期評(píng)估、檢測(cè)和審核?！毙聤W集團(tuán)信息中心經(jīng)理肖鵬如此闡釋自己對(duì)云計(jì)算的態(tài)度。

　　而由于對(duì)云服務(wù)可靠性和數(shù)據(jù)敏感性的擔(dān)心，中國(guó)企業(yè)不是特別信任國(guó)外云供應(yīng)商或新興企業(yè)，不愿將數(shù)據(jù)托付給他們。報(bào)告顯示，在數(shù)據(jù)保存在中國(guó)境內(nèi)的前提下，也僅有不足1/2的受訪者表示會(huì)選擇國(guó)外供應(yīng)商。而如果供應(yīng)商未在中國(guó)設(shè)立數(shù)據(jù)中心，該比例則跌至20%以下。

　　神華國(guó)華電力公司技術(shù)中心總經(jīng)理助理丁濤表示，目前國(guó)內(nèi)廠商即使因技術(shù)壁壘難以與全球性大企業(yè)抗衡，也不愿選擇國(guó)外的云提供商。他堅(jiān)信中國(guó)本地的云供應(yīng)商能夠?yàn)楫?dāng)?shù)乜蛻籼峁└玫姆?wù)。他認(rèn)為國(guó)內(nèi)云計(jì)算市場(chǎng)尚不成熟，政府和企業(yè)應(yīng)繼續(xù)制定相關(guān)技術(shù)標(biāo)準(zhǔn)，而這需要政府部門、研究機(jī)構(gòu)、供應(yīng)商、集成商和咨詢公司等各方面的共同努力。

　　由此可見，待解的安全問題是影響云計(jì)算在中國(guó)落地的重要因素。該份報(bào)告顯示，更多中國(guó)企業(yè)的IT經(jīng)理人希望政府積極參與標(biāo)準(zhǔn)的制定和產(chǎn)業(yè)的規(guī)范，讓云計(jì)算在技術(shù)和法律方面更加安全，從而在中國(guó)得到廣泛應(yīng)用。

　　如何突破安全“桎梏”

　　那么，在云計(jì)算發(fā)展過程中，應(yīng)如何突破安全的“桎梏”呢？

　　馮登國(guó)認(rèn)為，應(yīng)該從應(yīng)用基礎(chǔ)平臺(tái)、關(guān)鍵技術(shù)、標(biāo)準(zhǔn)規(guī)范、監(jiān)督管理等多方面進(jìn)行變革。

　　在他看來(lái)，云計(jì)算既帶來(lái)了信息安全的挑戰(zhàn)，同時(shí)也促進(jìn)了信息安全的變革。這種變革主要體現(xiàn)在3個(gè)方面，即技術(shù)理念的變革、產(chǎn)業(yè)發(fā)展的變革和安全戰(zhàn)略的變革。

　　馮登國(guó)表示，技術(shù)理念的變革，主要指的是平衡多方的安全需求。

　　“用戶有安全需求，云服務(wù)商也有安全需求，二者之間有時(shí)是矛盾的，如何在數(shù)據(jù)安全和隱私保護(hù)兩方面取得平衡？這就需要我們從技術(shù)理念上進(jìn)行變革?！瘪T登國(guó)說。

　　而產(chǎn)業(yè)發(fā)展的變革，則指的是信息安全由產(chǎn)品研發(fā)向服務(wù)化進(jìn)行轉(zhuǎn)變。在馮登國(guó)看來(lái)，應(yīng)積極推動(dòng)信息安全產(chǎn)品和技術(shù)轉(zhuǎn)型，從產(chǎn)品研發(fā)轉(zhuǎn)向基礎(chǔ)設(shè)施、服務(wù)的研究，從而通過標(biāo)準(zhǔn)化服務(wù)解決用戶所面臨的各種各樣的安全問題。

　　監(jiān)督管理的變革，指的是市場(chǎng)監(jiān)管引導(dǎo)的重點(diǎn)發(fā)生了轉(zhuǎn)移。比如過去更重視骨干網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全保障工作，而在云計(jì)算時(shí)代，則將更加重視對(duì)網(wǎng)絡(luò)空間大規(guī)模攻擊的防范，新建立的基礎(chǔ)設(shè)施也要采取相應(yīng)的技術(shù)保障手段。

　　馮登國(guó)表示，雖然云計(jì)算推進(jìn)了信息安全的變革，但這種變革并非意味著對(duì)原有技術(shù)體系的顛覆。

　　“比如說傳統(tǒng)的權(quán)限管理和身份認(rèn)證技術(shù)，隨著云計(jì)算的發(fā)展，這些技術(shù)也要發(fā)展和拓展功能，從而增強(qiáng)安全保障的能力和水平?！瘪T登國(guó)說。

　　在工業(yè)和信息化部電信研究院通信標(biāo)準(zhǔn)所互聯(lián)網(wǎng)中心主任何寶宏看來(lái)，除了在信息安全的技術(shù)理念、產(chǎn)業(yè)和安全戰(zhàn)略方面進(jìn)行變革，還應(yīng)該從法律層面、行政層面及行業(yè)自律的層面，對(duì)云計(jì)算的安全進(jìn)行監(jiān)管。

　　何寶宏認(rèn)為，應(yīng)進(jìn)一步健全隱私保護(hù)、數(shù)據(jù)安全的相關(guān)法律；政府可以從政策層面對(duì)云計(jì)算進(jìn)行界定，并通過通信質(zhì)量、安全等測(cè)試，對(duì)云服務(wù)提供商進(jìn)行資格認(rèn)證；此外，還可以借助行業(yè)協(xié)會(huì)的力量，在商業(yè)層面和市場(chǎng)競(jìng)爭(zhēng)的層面采取一些有約束性的舉措，從而維護(hù)行業(yè)的正常秩序。

　　賽門鐵克首席信息安全解決方案顧問林育民此前在接受媒體采訪時(shí)也表示，云計(jì)算的安全問題不僅僅是技術(shù)問題，還與行業(yè)標(biāo)準(zhǔn)、政策法規(guī)以及市場(chǎng)成熟度有很大關(guān)系。

　　“如果由于資料外泄給用戶帶來(lái)了損失，客戶首先會(huì)通過法律手段追究云計(jì)算運(yùn)營(yíng)方的責(zé)任。同時(shí)也會(huì)有一些政策法規(guī)、審計(jì)方面的要求。”林育民說。

　　林育民表示，隨著云計(jì)算慢慢普及和標(biāo)準(zhǔn)化，會(huì)形成良性的市場(chǎng)競(jìng)爭(zhēng)機(jī)制，由若干運(yùn)營(yíng)商共同提供云服務(wù)。如果某一家運(yùn)營(yíng)商所提供的云服務(wù)性能不佳、穩(wěn)定性不強(qiáng)，用戶將轉(zhuǎn)而購(gòu)買其他運(yùn)營(yíng)商的服務(wù)。在這種情況下，安全問題與云計(jì)算運(yùn)營(yíng)方的關(guān)系密切，安全問題不解決，很可能就運(yùn)營(yíng)不下去，因此運(yùn)營(yíng)商會(huì)非常重視安全問題，進(jìn)而推動(dòng)和催進(jìn)云服務(wù)穩(wěn)定性的提高及云計(jì)算安全難題的解決。