工信部關于云計算服務的標準已經在制定中了,預計未來兩三個月就會對社會正式公布進入征求意見階段了。
作為計算技術體系演進的新階段,云計算時代的到來正在打破以往形成的產業格局甚至是政府監管的傳統方式。近日,在一家云計算服務運營商的數據中心,企業負責人指著一群正在忙碌的外國人對《中國產經新聞》記者說道:“看看這場面,你覺得有什么不對勁的地方嗎?”
“坦率地說,雖然國內云計算概念熱了兩年,但論技術實力,能夠向用戶提供商業級的云計算軟硬件產品和解決方案的也就那幾家美國公司,硬件企業不超過3家,軟件平臺也就5家左右。你看到的那群外國人就是軟件平臺供應商在印度的外包合作伙伴。這還真不同于以前的系統軟和硬件廠商售后服務,那只是在用戶需要時請來上門服務,而現在的云計算服務是7X24運營,美國公司的印度合作伙伴也得全天候地待在我們公司的數據中心現場,更重要的云平臺是直接涉及用戶信息和存儲內容的。讓一群外國人天天在中國的數據中心看中國用戶的數據和信息,這合適嗎?”在該企業負責人的解釋下,記者迅速明白了云計算運營服務由于缺少相應的國家標準,以往為保障國家信息安全針對外國企業和外國人的一些法規條款正在被規避和突破。
上世紀末,互聯網在全球掀起一陣普及熱,與網絡相關的信息安全問題也日益突出。IT產品尤其是軟件產品的安全等級也就成了計算機產業的新問題,而美國政府更是立法嚴禁高安全等級(B2以上)的IT產品出口,并將信息安全產品列為武器進行管制。1999年10月,中國國務院正式發布了《商用密碼管理條例》,對境外生產的密碼產品進行嚴格管制。該《條例》頒布的第二年,也就是中國正式加入WTO的第一年就發生了一起針對外國進口軟件產品的管制,該產品僅在傳統上對國產IT產品質量并不信任的銀行業賣了一單就被禁止再銷售。
除含密碼技術的產品外,中國的公安部門還依據《計算機信息系統安全保護條例》對列為計算機信息系統安全專用產品的IT產品實行檢測和銷售的許可證制度。孔志印,一位國內經營信息安全產品類企業的技術人士對記者解釋道:“許可證制和相關的企業資質規定其實主要還是針對外國資本和外國人的,比如外資不能是公司的單一最大股東,公司董事會中不能有外籍人士。”
對于信息系統的信息安全監管,國內目前實行的是于2006年起生效的安全等級保護制度,對服務器、終端、操作系統和數據庫管理系統等關鍵類IT產品制定了相應的安全技術要求。不過對于國內來說,硬件產品還有國產品牌的心理安全效應,而操作系統和數據庫管理系統的盜版式普及推廣讓外國企業對中國異常惱火。李劍坡,一位前太陽微計算機系統(中國)公司的員工對記者表示:“在中國大陸,也就微軟[微博]還多年堅持下來打盜版,數據庫軟件的老大甲骨文[微博]一開始也打,后來也就放棄了,畢竟企業級的軟件還能收上些服務費。”
2011年7月,為加強政府部門信息技術外包服務的安全管理,保證政府信息和信息系統安全,工信部頒布了外包服務機構申請信息安全管理體系認證的安全審查程序,由國家認證認可監督管理委員會批準開展信息安全管理體系認證的認證機構進行認證。隨著近年云計算的崛起,歐美國家開始認識到“數據主權”的意義,本國用戶的數據和信息不應該被云計算服務商輕易轉移到國外。
2012年6月,國務院在下發的《大力推進信息化發展和切實保障信息安全的若干意見》中明確提出,嚴格政府信息技術服務外包的安全管理,為政府機關提供服務的數據中心、云計算服務平臺等要設在境內,禁止辦公用計算機安裝使用與工作無關的軟件。
“云計算時代對中國在用戶數據和信息保護方面產生了的兩個新問題,一個是數據和信息可能存在被跨境備份的風險,一個就是外國人在國內數據中心現場進行維護運營。” 前述云計算服務商的負責人對記者分析到。