“棱镜门”事件曝光出来的一个关键点,是美国国家安全局秘密监控美国九大互联网公司的活动。英国广播公司(BBC)最近的评论认为,美国国家安全局通过互联网获得个人/机构信息,主要是利用了云计算技术的管理疏漏——大量用户数据不再存放于个人电脑中,而是存放在云服务提供商手中,这才是“棱镜门”得以实施的最根本原因。
“对信息系统研究人员而言,‘棱镜门泄密事件’不算什么新鲜事。”胥正川副教授来自复旦大学管理学院信息管理与信息系统系,信息安全是其研究方向之一,他认为:“中国机构或企业应该以这个事件为契机,主动选择使用国产的高质量云技术来保护自己的信息资产安全。”
局势:美国的“云控制”与西方国家的反击
今年年初,美国立法规定,美国情报部门可以在无搜查证的情况下,监视存储在美国境内计算机系统里的一切信息。这意味着,由其它国家电脑用户上传到位于美国的云存储服务端的信息,例如苹果的iCloud和谷歌的云端硬盘的私人信息都能被美国政府无条件获得。实际上,由于美国多年来在世界IT领域的领先地位,基础设备服务领域的“八大金刚”——思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软,在中国信息基础设施建设中处于垄断地位,占据政府、海关、邮政、金融、铁路、民航、医疗、军警等关键领域,对我国大部分网络干线有着举足轻重的影响。
其中,思科威胁最大。相关数据显示,在2013年第一季度,思科超越IBM和惠普,成为全球云计算最大服务商。据斯诺登揭露,美国国家安全局正是通过思科技术系统监控中国网络和电脑。在中国,思科积极参与了几乎所有大型网络项目的建设,其产品在我国骨干网络的核心节点上占据着垄断地位。在金融行业,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科占有了金融行业70%以上的份额;在海关、公安、武警、工商、教育等政府机构,思科的份额超过了50%;在铁路系统,思科份额约占60%;在民航,空中管制骨干网络全部为思科设备;在机场、码头和港口,思科占有超过60%的份额;在石油、制造、轻工和烟草等行业,思科的份额超过60%,甚至很多企业和机构只采用思科设备;在互联网行业,腾讯、阿里巴巴、百度、新浪等排名前20名的互联网企业,思科设备占据了约60%份额;而在电视台及传媒行业,思科的份额更是达到了80%以上。思科强大的云计算技术可以让美国情报部门毫不费力地获取海量的中国各机构和企业的机密信息。
很多国家在此领域也面临和中国一样的尴尬。目前,一些西方国家已经积极行动起来,为本地企业和机构使用本土云服务创造条件。例如,德国正在打造独立的云计算服务,并宣称“云端服务,德国制造”,向本地企业提供服务。法国政府已经投入1.5亿欧元资助当地的云服务提供商Cloudwatt和Numergy开发技术,让法国能够不经美国企业之手独立处理网络资讯。最近欧盟委员会正筹备推出一项数据保护法令,其中包括加强对第三国公司数据保护的监管,“棱镜门”事件或有助于该法令获得通过。俄罗斯也正在积极筹备打造“国家云”平台,近日,俄罗斯大型IT公司NVision
Group对外宣布,已完成了关于“国家云”的实施方案;俄罗斯政府则称,实施“国家云”的主要目的是消除机构间的“数字鸿沟”,实现政府部门间的系统大融合。
障碍:中国本土云计算产业深陷盲区
反观中国本土云计算产业,虽然发展势头迅猛,却掩盖不了其与生俱来的缺陷与障碍。
目前,中国互联网用户超过5.6亿,数量居世界第一,本土数据生产和数据消费量都领先其他国家,这为云计算产业的发展奠定了坚实的终端基础。有数据显示,2012年中国云计算市场规模超过600亿元人民币,同比增长92.3%;2013年市场规模将超过1100亿元人民币;而到2015年产业链规模将达7500亿至1万亿元。但在急速增长的数字背后,却深藏隐忧。
一是鱼龙混杂。由于目前尚未形成有效的评价、资格认证和准入机制,国内云计算市场上鱼龙混杂,缺乏大型、可信赖的服务供应商,也缺乏行业普遍认可的成功应用实践案例,一定程度上制约了产业规模的扩张。
二是标准缺失和不统一。不同云计算服务公司采用不同的技术方案,致使大量数据和服务无法在各公司范围内转移、共享,大大限制了云计算的应用服务范围。
三是国内云计算产业许多方面存在安全隐患,比如数据存储/传输安全、数据隐私、数据主权、身份认证等问题。许多机构或企业对这些问题依然忐忑不安,制约了本土云计算产业的发展。
同时,学者认为,在当今云计算已成大势所趋的背景下,国内诸多机构和企业在信息安全方面依然存在诸多盲区。具体来说,主要有以下三点:
盲区一:政府机构和企业盲目选择国外电子产品。“大部分机构和企业的信息安全工作都流于形式。他们认为处理业务数据可以不用外国设备,而处理日常办公数据则可以。殊不知所有系统都联成一体,很多时候难以区分清楚。所以会出现盲目大量采购美国公司设备的情况。”
盲区二:企业信息安全体系建设基本为零。目前国内很多企业对信息安全建设的概念还只是停留在安装杀毒软件的层面,但这只能解决病毒相关问题,却不能解决由系统管理不严、员工操作不当和黑客入侵引发的安全问题。“其中最关键的问题,是国内机构和企业严重缺乏安全意识。”
在这方面,华为公司的安全忧患意识值得学习。“我拜访过许多国内企业,我觉得华为公司是最重视信息资产安全的。10年前我去拜访华为时,非常吃惊地发现,公司所有外部设备接口全都被封条封起来了,不允许任何外部设备接入。而且,如果公司邮件附件稍大一些,就可能无法发送,”胥正川说。“在华为,像斯诺登一样拷贝机构机密文件的行为,是不可能发生的。”
盲区三:BYOD成为企业信息安全的致命伤。BYOD(bring your own device)是指机构或企业允许员工将私人电脑、手机、平板电脑等电子终端设备接入企业内网。瑞星安全专家表示:“国内很多企业鼓励员工携带私人电脑等设备到公司办公。这种做法虽然能促进工作效率,但使得办公数据与私人设备的物理边界消失,使企业机密信息时刻处于危险之中。”
“棱镜门”事件给身处这些盲区而浑然不知的国内众多机构和企业敲响了警钟,同时客观上倒逼中国云计算产业加速制定相关产业标准。
对策:中国“云”标准亟待出台
对中国本土机构或企业而言,他们首先应该学会对信息安全实行精细化管理,即对信息安全进行分级管理,这是云计算时代的趋势。在机构或企业内部,要实现不同部门、小组乃至不同用户之间的深度保密,同时在加密文档上实现诸如普通、内部、秘密、机密与绝密的级别分层。比如知名企业五羊-本田公司为了保护其研发成果,对几个核心部门实施高强度加密保护,这几个部门间相互隔离,各部门文档互不能访问,同时在部门内部将文档分为普通人员、科级与部级三个级别,使公司的机密随时处于严密保护之中。这样可以有效防止在云安全措施失效时可能发生的大范围泄密。
同时,随着中国云计算市场高速发展,“云安全”问题将集中爆发,施行相对独立的中国云计算标准将是维护云安全和企业利益的一条必由之路。众多专家和学者已经在呼吁国家出台相关的云计算行业标准。云计算标准化是云计算真正大范围推广和应用的基本前提。长期以来,标准的缺乏,使得云计算行业存在以邻为壑的现象,不同企业、行业采用不同技术手段的云计算解决方案,导致不同解决方案之间的“沟通”成为难题,使得云计算的“威力”大打折扣。一位业内人士称:“如果对照地图的话,你会发现中国几乎所有的地区都在升腾‘云’,越是后来的云越大,现在简直满眼都是‘蘑菇云’。”
工信部副部长刘利华在6月6日举办的中国云计算大会上明确表示,主管部门将健全云计算的标准体系,加大分布数据存储,海量数据处理等云计算关键技术的研发力度。中国云计算专业委员会主任王恩东认为,目前国内标准制定进展非常缓慢,建议借鉴欧美发达国家标准制定工作由行业权威组织主导的惯例,让国内更多的行业权威组织和机构参与其中,加快标准制定、出台的效率。
信息安全看似技术问题,核心依然在人。胥正川认为,鉴于中国企业或机构普遍低估信息安全的现状,目前最紧迫的事情,是加强对员工、企业主以及利益相关人的培训,切实筑起信息安全意识这道“防火墙”。
设为首页
