“雲時代”的安全難題:僅靠技術遠不夠--科技--人民網
人民網

“雲時代”的安全難題:僅靠技術遠不夠

原詩萌

2010年12月30日09:28    來源:《科學時報》     留言 0 條     手機看新聞

  2003年5月,美國《哈佛商業評論》刊載了尼古拉斯·卡爾的《IT不再重要》一文。他將IT發展與電力發展相比較,認為IT發展將歸於雲計算模式——就像今天的電廠一樣,實現標准化的按需供給和收費。

  時至今日,雲計算作為未來信息社會發展的可能趨勢,已經成為業界共識。無論在學術界還是在產業界,雲計算都是被熱烈探討的話題之一。

  但隨著探討的深入,人們逐漸認識到:比特不是電子,業務流程也不是電機和電燈。雲計算正在遭遇以往電氣時代所從未遇到過的難題——如何保障雲計算的安全。

  “雲時代”的安全難題

  在12月18日由CCF YOCSEF舉辦的“雲計算時代的國家信息安全戰略”論壇上,中國科學院軟件所研究員、信息安全國家重點實驗室主任馮登國指出,信息安全技術的發展,除了其自身體系發展之外,有很多技術是伴隨著信息技術的發展而產生的。

  在電子通信時代,信息安全的重點是如何實現通信保密,因此當時研究的重點是密碼技術。到了個人計算機時代,信息安全的重點則是以計算機為主的安全保障體系建設,也可以稱之為“主機安全”。互聯網興起之后,以往的“主機安全”策略難以滿足用戶需要,人們更加重視對來自網絡上的各類風險的防護。而在雲計算時代,共享、動態的雲計算資源減弱了用戶的控制能力,因此給信息安全帶來了新的挑戰。

  馮登國認為,雲計算時代的到來,主要給信息安全帶來了3方面挑戰。

  首先是雲計算系統的安全防護問題。在雲計算模式下,用戶數據以共享和動態的方式被保存,這使其安全性面臨巨大風險——如果服務提供商對數據有訪問權,則可能隨意處置用戶的數據,甚至可能產生倒賣為,造成用戶數據權利的損失。而對於這類行為,用戶往往難於追查和取証。

  “雲服務商的動態虛擬化管理及多租戶共享模式,缺乏清晰的安全邊界,從而容易引發運行環境的安全問題。”馮登國說。

  其次,雲計算還將對現有安全體系產生沖擊。雲計算為用戶提供了更強大的計算和存儲能力,但雲服務商很難識別用戶行為的目的,無法區分用戶的計算任務是否合法。這些潛在風險是現有安全體系很難應對的。

  “基於雲的安全攻擊無疑將帶來安全的噩。如果雲服務平台被攻擊者控制,安全漏洞被利用或雲用戶身份被盜用,攻擊者將可以利用龐大的網絡資源、用戶身份資源和計算資源,組織DDOS類型的更大規模攻擊。”馮登國說。

  馮登國指出,在雲計算時代,隨著系統規模的擴大和復雜性的提高,外部攻擊也將更有效率,從而將傳統的安全問題進一步放大,帶來更艱巨的挑戰。

  第三方面的挑戰,則來自安全監管問題。在雲計算時代如何對信息內容進行監管和引導,是關系到社會穩定和國家安全的關鍵問題。現有的監管與預警體系主要針對傳統的Web等開放式應用,而雲計算則給監管體系的建立帶來新的問題,所需工作量也更大。

  安全已成發展瓶頸

  上述的信息安全問題,顯然在一定程度上制約了雲計算的發展和普及。而就中國而言,這一制約更為明顯。

  在今年5月舉行的第二屆中國雲計算大會上,埃森哲與中國電子學會共同發布了一份名為《中國雲計算發展的務實之路》的報告。報告指出,安全問題是全球對雲計算最大的質疑。而這種擔憂在中國尤為突出,“以至於首席信息官們如履薄冰,特別是面對公有雲服務時”。

  報告顯示,有59%的中國受訪者表示“十分擔心”雲中數據的安全性、私密性和機密性,高於美國的50%以及中國以外其他國家的42%。相比其他所有國家,更高比例的中國受訪者認為其所在企業和機構擁有不得外泄的敏感數據。中國高管尤其擔心數據遭黑客盜竊,或是意外泄露給同一雲供應商的其他用戶或本企業的非授權員工。

  “我本人不看好商業公有雲計算。管理層最關注的就是數據的安全問題。商業機密如果存放在和其他人共用的公有雲裡,數據安全得不到保証,一旦泄露給競爭對手,那結果會很可怕。除非解決了相應的法律、法規和SAL協議這些商業環境,同時對供應商定期評估、檢測和審核。”新奧集團信息中心經理肖鵬如此闡釋自己對雲計算的態度。

  而由於對雲服務可靠性和數據敏感性的擔心,中國企業不是特別信任國外雲供應商或新興企業,不願將數據托付給他們。報告顯示,在數據保存在中國境內的前提下,也僅有不足1/2的受訪者表示會選擇國外供應商。而如果供應商未在中國設立數據中心,該比例則跌至20%以下。

  神華國華電力公司技術中心總經理助理丁濤表示,目前國內廠商即使因技術壁壘難以與全球性大企業抗衡,也不願選擇國外的雲提供商。他堅信中國本地的雲供應商能夠為當地客戶提供更好的服務。他認為國內雲計算市場尚不成熟,政府和企業應繼續制定相關技術標准,而這需要政府部門、研究機構、供應商、集成商和咨詢公司等各方面的共同努力。

  由此可見,待解的安全問題是影響雲計算在中國落地的重要因素。該份報告顯示,更多中國企業的IT經理人希望政府積極參與標准的制定和產業的規范,讓雲計算在技術和法律方面更加安全,從而在中國得到廣泛應用。

  如何突破安全“桎梏”

  那麼,在雲計算發展過程中,應如何突破安全的“桎梏”呢?

  馮登國認為,應該從應用基礎平台、關鍵技術、標准規范、監督管理等多方面進行變革。

  在他看來,雲計算既帶來了信息安全的挑戰,同時也促進了信息安全的變革。這種變革主要體現在3個方面,即技術理念的變革、產業發展的變革和安全戰略的變革。

  馮登國表示,技術理念的變革,主要指的是平衡多方的安全需求。

  “用戶有安全需求,雲服務商也有安全需求,二者之間有時是矛盾的,如何在數據安全和隱私保護兩方面取得平衡?這就需要我們從技術理念上進行變革。”馮登國說。

  而產業發展的變革,則指的是信息安全由產品研發向服務化進行轉變。在馮登國看來,應積極推動信息安全產品和技術轉型,從產品研發轉向基礎設施、服務的研究,從而通過標准化服務解決用戶所面臨的各種各樣的安全問題。

  監督管理的變革,指的是市場監管引導的重點發生了轉移。比如過去更重視骨干網絡基礎設施的安全保障工作,而在雲計算時代,則將更加重視對網絡空間大規模攻擊的防范,新建立的基礎設施也要採取相應的技術保障手段。

  馮登國表示,雖然雲計算推進了信息安全的變革,但這種變革並非意味著對原有技術體系的顛覆。

  “比如說傳統的權限管理和身份認証技術,隨著雲計算的發展,這些技術也要發展和拓展功能,從而增強安全保障的能力和水平。”馮登國說。

  在工業和信息化部電信研究院通信標准所互聯網中心主任何寶宏看來,除了在信息安全的技術理念、產業和安全戰略方面進行變革,還應該從法律層面、行政層面及行業自律的層面,對雲計算的安全進行監管。

  何寶宏認為,應進一步健全隱私保護、數據安全的相關法律﹔政府可以從政策層面對雲計算進行界定,並通過通信質量、安全等測試,對雲服務提供商進行資格認証﹔此外,還可以借助行業協會的力量,在商業層面和市場競爭的層面採取一些有約束性的舉措,從而維護行業的正常秩序。

  賽門鐵克首席信息安全解決方案顧問林育民此前在接受媒體採訪時也表示,雲計算的安全問題不僅僅是技術問題,還與行業標准、政策法規以及市場成熟度有很大關系。

  “如果由於資料外泄給用戶帶來了損失,客戶首先會通過法律手段追究雲計算運營方的責任。同時也會有一些政策法規、審計方面的要求。”林育民說。

  林育民表示,隨著雲計算慢慢普及和標准化,會形成良性的市場競爭機制,由若干運營商共同提供雲服務。如果某一家運營商所提供的雲服務性能不佳、穩定性不強,用戶將轉而購買其他運營商的服務。在這種情況下,安全問題與雲計算運營方的關系密切,安全問題不解決,很可能就運營不下去,因此運營商會非常重視安全問題,進而推動和催進雲服務穩定性的提高及雲計算安全難題的解決。
(責任編輯:趙竹青)
[ 留言 0 條   我要留言 ]

瀏覽過此新聞的網友還閱讀了以下新聞
網友留言留言0

用戶名  密碼  同步至微博客  注冊  留言須知

    全部留言

  • 精彩新聞
  • 精彩博客