|
发展“云计算”必须高度重视“云安全”
在当前的云计算快速发展中,有一个十分值得提出的问题,就是:发展云计算不注重云安全。为此,本文就此提出一些意见和看法。
为此,IBM的研究员、软件工程师和网络安全专家,将与军方人员和政府机关合作,并将采用汇流计算分析,建设一种能让空军持续监看和分析所有网络资料,以寻找任何威胁或故障迹象的技术。为支持这项计划的实施和落实,前不久,美国国会众议院又通过了“网络安全研究与发展法”。 2010年12月25日媒体又报道:IBM又称:正在为北约创建云计算系统。位于佛吉尼亚州诺福克市的北约军事指挥部将率先使用这一技术,随后还可能向其它分支扩展。该“云计算系统可让北约更迅捷地收集和分析数据”。 与此同时,IBM大举进军中国市场。先是欲借无锡,打开强力挺进中国云计算市场的通路。又携手东营共建“黄河三角洲云计算中心” 。而且,还将其他100个中国城市作为潜在的云计算客户,并希望吸引20万家独立软件公司使用自己的数据中心。今年6月,又在北京建立了一个铁路创新中心,以期掌控中国重要的铁路建设信息。 IBM日前已经宣布,国内49家应用开发商、系统集成商已经正式加入其云引擎合作伙伴计划,并被授予顶级云会员、高级云会员及基础云会员认证金牌。正在成为IBM进军中国计划的一部分。 一个一手为美国空军制造“能让空军持续监看和分析所有网络资料”的公司,其另一只手欲把 “100个中国城市作为潜在的云计算客户,并准备吸引20万家软件公司进入并使用自己的数据中心。还要掌控中国巨大的铁路建设信息”。中国的国防信息安全何在?中国铁路的高速运载能力和军事物流优势何在?我国信息的绝对制导权何在? 就经济信息安全而言,发展云计算以后,企业和行业的大量经济信息,竞争信息将进入信息运营商的资源池中,其“海涵”的大型数据中心和强劲服务器,又担当软件开发的信息“调度师”和流程“监控员”。 那么,我们要问:究竟谁是这些经济信息的主体?中国企业重要的经济信息安全,在入云以后谁来保证?如何保证? 在当前全球经济一体化的背景下,企业只有掌握竞争情报,并注意保护好自已的商业秘密,才能在激烈的市场竞争中处于主动地位。特别是,创新型无形资产和竞争性商务信息是企业和商家核心的商业秘密。所以必须高度警惕和有效防止:信息资源集聚过程中的无意流失和有意窃取。更应认识到:这种无形资产被外资掌控以后和有形资产的结合,将全面掌控中国的经济命脉。号称世界民用飞机巨无霸的美国波音公司就专门建立了“反竞争情报机制”。从获取的“战略信号”中研究破解对方竞争手段的方法。商业巨头沃尔玛其信息化的基本经验就是:找到最值得信赖,同时成本又低的系统”。 欧盟的一些成员国最早意识到这个问题的重要性。因此,提出了在入云时保护企业经济信息安全的《数字议程计划》。并对进入云资源池中的经济信息规定了删除时间。有14个国家规定:企业入云信息12个月必须删除。8个欧盟国家规定,这些数据必须在6个月后删除;只有一个国家规定,这些数据必须在18个月后删除。德国更严格规定:所有入云数据,必须保存在德国境内。加拿大也实行了非常严格的禁止跨疆界个人信息搜集或信息处理的法律。 为了制约云服务公司的不道德行为和窃取企业商业秘密的做法,欧盟成员国还通过立法的程序确保企业的经济信息安全。而我国在前一段云计算的宣传和介绍中,一些商家和媒体不知是无意地,还是昧着良心地漠视了这样一个重要的问题。其实,欧盟的做法,会给我国的企业和商家提供重要的启示和警示。 近日,欧盟网络与信息安全局(ENISA)又发布了一则报告:《云计算:好处、风险以及信息安全建议》。指出在公共云的数据安全会面临巨大的挑战。报告并不建议将最敏感或者核心的数据置于云端,但认为许多电子政务应用,可以适当的放在公共云上。这些建议很值得我国学习和借鉴。 3、必须尽快启动云计算的标准和法规建设 就世界而言,在云计算环境开发和服务方面的标准才刚刚兴起。不仅一次编写、普遍运行的标准缺失,云计算数据中心的软件生产标准,云服务企业运营的标准也严重缺失,这就导致了一些企业可以打着“善意”的旗号,进行不善意的行为。甚至可以将一个时期,或一个行业的发展信息,趋势信息进行智能分析后,而转供他人。或被重金收买,采取“服务放水”,“捞鱼有价”的方式,秘密出售资源池中的整合经济信息。 部分欧洲国家看到了这个问题的严重性。它们对本国公民个人信息和企业商务信息严加保护,并拒绝了一些云服务商提出的27国统一隐私政策的计划。德国是其中态度最鲜明的国家之一,它坚持实行严厉的国家标准。法国数码经济协会主席奥利维尔?米蒂尔更表示。“对于欧洲国家来说,隐私权的重要性是无价的。”在此情况下,一些跨国IT企业大举进军中国市场,妄图尽快找到战略突破点。他们不仅看到了中国市场的巨大,更看到了中国市场的浮躁。这是我们必须有所警惕的。 当前,我们特别要注重云服务的战略研究和创新研究。应当看到,有的城市,现有的集成计算能力,尚有三方之二闲置。就又盲目发展很多朵云。这就会造成资金和资源的浪费。 还要在加强应用研发的同时,加强理论研发。要有效地界定:云数据的进入、删除及其无法恢复性。 确保进入“云”的数据,必须可以彻底有效地去除,并保证该数据已被完全消除,使其无法恢复。并不被转移。 在云资源池中,应确保其客户的保密/敏感数据不能在使用、储存或传输过程中,在没有任何补偿控制的情况下与其它客户数据混合、或被他人获取。其云数据备份和云恢复计划,必须落实到位、以防止数据丢失和意外破坏。 因此,应尽快启动云计算的理论研究和标准研发工作。尽快规划入云信息的分类规范,尽快建立云计算服务平台的建设规范和对运营服务软件的验收规范,防止其预留后门,还应尽快建立入云企业的信息安全管理规范。才能确保云计算得到健康有序的发展。 根据IDC统计数据显示,当前,87.5%的受调查用户认为“安全性问题”是影响其采用云服务的主要问题。特别是鉴于云服务和传统IT服务在法律层面上的考量会有许多不同之处。因此,入云企业应慎重。签订云计算服务合同时尤其要注意合同中关于涉及安全破坏、数据转移、控制转变以及数据访问时自身在法律层面的权利及义务的准确描述和界定。谨慎考量风险。慎重签订合同。防止误入合同预留的文字陷阱中。 除此之外,云服务提供者也必须规避恶意用户对于云服务的滥用风险。为了规避以上风险,云服务提供商必须对云系统进行全面的安全加固,不仅要在云中部署针对性的安全防护产品,更要从系统层面,建立完善的密钥管理、权限管理、云安全认证监测服务等多维安全机制,确保云服务的安全平稳运行。
责编:杨雪姣
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
推荐圈子
|
|