云安全之重

我們嘗試從三個層面解構云安全概念：其中作為產品的云安全，即把云技術應用于網絡安全方面已經得到廣泛應用；而在技術層面、云是否安全是云計算轉向大規模商業應用的障礙；而在信息戰略層面，云安全甚至給國家信息安全帶來新的威脅。后兩個層面的核心只有一個——數據安全。

業界廠商和用戶都已經肯定，云計算已經成為全球信息產業的重要發展方向。現在已經過了要不要上云計算的時期，而到了怎么上云計算的時期。但是，對信息安全的擔憂，已經成為全球部署云計算的重要障礙。一項調查顯示，全球51%的CTO認為安全問題是部署云計算時最大的顧慮。

事實上，自云計算服務出現以來，發生的大量安全事件已經引起了業界的廣泛關注，并進一步引發了用戶對公共云服務的信任問題。從導致安全事件的原因來看，軟件漏洞或缺陷、配置錯誤、基礎設施故障、黑客攻擊等原因都可能產生較大問題；從安全事件的后果來看，信息丟失或泄露和服務中斷是最受詬病的部分。2011年3月，谷歌郵箱爆發大規模的用戶數據泄漏事件，大約有15萬Gmail用戶受到影響；2011年4月，由于EC2業務的漏洞和缺陷，亞馬遜公司爆出了史前最大的云計算數據中心宕機事件，且這一事件在上周再次重演。據國外媒體報道，自2007年開始，13次著名的云服務宕機導致了568小時的服務中斷，造成了超過7170萬美元的經濟損失。

我們嘗試從三個層面解構云安全概念：其中作為產品的云安全，即把云技術應用于網絡安全方面已經得到廣泛應用；在技術層面、云是否安全是云計算轉向大規模商業應用的障礙；而在信息戰略層面，云安全甚至給國家信息安全帶來新的威脅。后兩個層面的核心只有一個——數據安全。

產品層面——云讓人更安全

從目前各大安全廠商推出的基于云技術的安全產品來看，云安全是基于云計算商業模式應用的安全軟件，硬件，用戶，機構，安全云平臺的總稱。它是“云計算”技術的重要分支，是P2P技術、網格技術、云計算技術等分布式計算技術混合發展、自然演化的結果，而且已經在反病毒領域當中獲得了廣泛應用。

隨著互聯網越來越成為人們工作生活的重要部分，未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬，在這樣的情況下，采用的特征庫判別法顯然已經過時。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行采集、分析以及處理。

在具體的技術實現上，“云安全(Cloud Security)”計劃是網絡時代信息安全的最新體現，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

可以看出，云安全的策略構想是使用者越多，每個使用者就越安全，因為如此龐大的用戶群，足以覆蓋互聯網的每個角落，只要某個網站被掛馬或某個新木馬病毒出現，就會立刻被截獲。

最早提出“云安全”這一概念的是趨勢科技，2008年5月，趨勢科技在美國正式推出了“云安全”技術。云安全的概念提出后，曾引起了廣泛的爭議，許多人認為它是偽命題。但事實勝于雄辯，云安全的發展像一陣風，瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛士等都推出了云安全解決方案，而且中國廠商在“云安全”的技術應用上走到了世界前列。

另一方面，云技術普及也帶來了應對事故的解決方案。

基于云的災難恢復相對于傳統災難恢復帶來了許多優點，這些優點主要得益于把數據遷移或者復制到云端。因為云消除了客戶投資一個遠程災難恢復設施的成本，云顯著地減少了傳統災難恢復的資本支出。用戶不用去支付電力和制冷的費用，使得運營費用不斷下降。又因為云實惠的定價和按需分配容量和性能，用戶只需支付他們所使用的資源。

遷移災難恢復帶云端同樣增加了災難恢復的靈活性和實踐。因為云被設計用來通過遠端管理，它可以加快恢復的速度。相對比笨重并且貴重的磁帶式災難恢復時間(無論在本地還是異地)，這些能力可以使常規檢查更加實際同時在有需要時保證解決方案有效工作。

技術層面——云可以很安全

云計算作為一種新技術，新的運營形態，必然會帶來新的漏洞和新型攻擊。

同傳統的信息化系統一樣，從技術上看，云計算系統的安全漏洞是不可避免的，且由于服務網絡化、數據集中化、平臺共享化和參與角色多樣化，云計算所面臨的安全風險相對于傳統信息化系統更加復雜。此外云計算中對數據的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏，并且還可能缺乏必要的數據銷毀政策。

但也應該看到，在絕大多數情況下，相對于個人和中小企業用戶而言，云服務提供商可以提供更加專業和完善的訪問控制、攻擊防范、數據備份和安全審計等安全功能，并通過統一的安全保障措施和策略對云端IT 系統進行安全升級和加固，從而提高了這部分用戶系統和數據的安全水平。

簡單來說，專業的云服務上提供的服務比小企業自己花費IT預算進行的數據保護和應用更安全，這好比專業的基金公司通常比散戶更能在股市上賺到錢。

隨著云計算技術和理念的不斷發展，國際標準組織、產業聯盟和研究機構等針對云計算安全風險開展了研究，盡管各組織機構對云計算安全風險分析的角度不盡相同，但普遍認為共享環境數據和資源隔離、云中數據保護以及云服務的管理和應用接口安全是最值得關注的問題。從各組織的關注重點來看，管理方面的探討較多。

例如，ITU-T關注用戶在讓渡數據和IT 設施管理權的情況下與服務提供商之間的安全權責問題，并強調了數據跨境流動帶來的法律一致性遵從問題；CSA 關注云服務惡意使用和內部惡意人員帶來的安全風險；ENISA(歐洲網絡與信息安全局)強調了公共云服務對滿足某些行業或應用特定安全需求的合規性風險。

事實上，實現用戶數據在云服務器端從生成到銷毀全過程，包括在云服務器端的強制自我銷毀技術，保證在云計算平臺受到惡意攻擊的情況下用戶數據仍然能夠按時銷毀，技術上并沒有多大難度。而從針對基于虛擬機監控器的用戶進程保護系統，保證用戶數據在遷移的全過程的隱私性和完整性也已經在多個平臺上實現。

戰略層面——國家安全的新威脅與機遇

目前，信息技術領域逐漸被發達國家特別是美國所壟斷，全球真正有實力研發和提供“云計算”服務的公司只有谷歌、微軟、IBM和亞馬遜等少數IT巨頭。而發展中國家在技術上沒有主導權，其戰略選擇非常有限。

“云計算”在顛覆原有互聯網應用模式的同時，也給國家安全帶來了新的挑戰，在“云”面前，國家信息安全和主流思想文化受到挑戰。“云計算”的發展將導致全球信息在收集、傳輸、儲存、處理等各個環節上進一步集中，國家信息將在“去國家化”的趨勢中受到嚴峻考驗。如果不能積極采取措施，建設自有的“云計算”設施，那么我們得到的恐不是便捷的“云”服務，而是一個國家安全受到嚴重威脅的黑云時代。

未來國家的綜合實力，很大程度上將取決于互聯網建設和管理能力，而“云計算”則將成為互聯網應用的核心和依托。因此，“云計算”的這種壟斷發展趨勢，將使眾多國家，特別是發展中國家的安全面臨著嚴峻挑戰。

國家發展壯大新增長點的爭奪加劇。當今世界，高性能計算已成為理論和試驗之外的第三種科學研究手段，計算能力因而成為衡量一個國家綜合國力和科學研究能力的指標，成為一種重要的戰略資源，其重要性不亞于石油和其他戰略物資。在實體的超級計算機研發耗資巨大且性能突破受到物理制約的條件下，相當于虛擬超級計算機的“云計算”則可無限擴充，并以更低成本、更高的計算能力和更方便的應用環境為國家重要戰略領域的高端研究提供支撐。

現在的格局是，跨國企業在“云計算”領域的咄咄逼人和各國政府對“云計算”發展的深遠謀劃，對我國政治、經濟、科技和國家安全都形成了嚴峻挑戰。事實上，如果我們不具備自有“云計算”實力，那么絕大多數企業和個人為了滿足應用需要，將別無選擇地通過如上所述的“云計算”中心存儲和處理各類數據。

同時，國家和軍隊信息化建設的發展將越來越受制于國際IT巨頭制定的信息化標準和規則。當然，“云計算”的發展也為我國帶來了新的發展機遇。一方面，它的智能管理算法為解決我國信息化建設中的綜合集成問題，提供了一種嶄新的思路。另一方面，經過多年信息化建設，我國信息化基礎設施已經達到了相當的規模和水平，而且擁有全球最龐大的需求市場，如果充分發揮集中力量辦大事的制度優勢，就完全有可能構建國家主導的自有“云計算”設施。

因此，我國應盡快啟動云計算的理論研究和標準研發工作。盡快建立云計算服務平臺的建設規范和對運營服務軟件的驗收規范，防止其預留后門，還應盡快建立入云企業的信息安全管理規范，才能確保云計算得到健康有序的發展。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]