確保雲安全是雲計算未來發展的巨大挑戰

當前，全世界掀起了耕雲播雨的熱潮。 「入雲」，「建雲」，「登雲」，「駕雲」，「騰雲」的熱浪一浪高過一浪。 Google、IBM、微軟等IT巨頭們以前所未有的速度和規模推動雲計算的普及和發展，大量學術活動裹挾著商務宣傳，迅速將雲計算概念加溫，推上領導和企業家的日程； 媒體的熱炒，更是把雲計算推上了峰巔。 拼命地為資本造勢。

然而，炒作和鼓噪的「迷雲」終會消散。 雲中閣樓總會落地。 隨著雲規劃，雲綱要，雲專案、雲應用的逐步落地和落實。 雲計算的真面目已經越來越清晰，雲計算的商務價值已經越來越明顯地顯現出來。

於是，中國也步入了雲計算的快速發展行列。 但是，在當前的雲計算快速發展中，有一個十分值得提出的問題，就是：發展雲計算不注重雲安全。 為此，本文就此提出一些意見和看法。

1、必須認識發展雲計算同時帶來了巨大安全隱患

「雲計算」 並不是谷歌敲響了第一聲鐘聲。 其實，早在2003年美國家科學基金就投資830萬美元，支援由七所頂尖院校提出的「網格虛擬化和雲計算VGrADS」專案， 正式啟動了雲計算的研發序幕。 其後，又陸續推出了美國航空航天局的雲計算系統－－Nebula。 從2004年開始，美國先後推出了簡單佇列服務到雲計算的服務雛形。 2006年亞馬遜推出的簡單存儲服務(S3)和彈性計算雲(EC2)，成為了雲計算服務開始走向成熟的標誌。

IBM于2008年提出「藍雲」計畫，推出共有雲和私有雲的概念。 2009年發佈了基於雲端的協作平臺。 歐盟啟動了「視覺雲」計畫，撥款2140萬美元資助雲存儲技術研發。 德國投入鉅資保持在4G/LTE和雲計算研究的前沿地位，並於今年1月在德國馬格德堡建立了目前歐洲最大的雲計算中心，並啟動了經由衛星實施雲計算的方案。 日本更看好雲計算市場的發展前景。 其經濟產業省確定：將在醫療、教育、電力等各個領域利用雲計算。 韓國政府推出了《搞活雲計算綜合計畫》。 確定投資36億元發展雲計算。 旨在提高韓國雲計算產業競爭力，提高國家IT資源的效率。

谷歌為搶佔雲計算的戰略制高點，在歐洲已建成或在建的資料中心有 12個。 據IT業研究美國Gartner公司估計，谷歌在全球的40多個資料中心，共擁有近100萬台伺服器。 IBM為證實其「雲計算」商務模式的可行性，還在荷蘭打造了成功案例，並在中國建設了黃河三角洲雲計算服務平臺。 微軟已經確定了進軍中國的雲戰略發展思路和參考架構。 並確定未來3年，微軟惠普合作投資2.5億美元，發展雲計算。

雲計算的廣泛應用和快速發展，將從根本上改變資訊獲取和知識傳播的方式，促進基礎設施運營、軟體等資訊產業的服務化轉型，催生跨行業融合應用的新型增值資訊服務業態。

採用雲計算，將大量網路分別連接的計算資源進行統一管理和調度，構成一個計算資源池向使用者提供按需服務。 這可以把：分散資源集聚起來，提供資訊資源深度開發的可能；可以把零散資源彙集起來，提供整合應用的可能；資訊資源池中，大量高附加值資訊資源的集聚：不僅提供了資訊資源增值開發和智慧開發的可能；還提供了集群性計算能力深度開發、 增值開發的現實可能性。

在這種發展態勢下，我國加快了雲計算發展的步伐。 前不久，發改委和工信部研究確定：北京、上海、深圳、杭州、無錫為雲計算試點省市。 華為最近宣佈：不僅要構建雲計算平臺，而且要開放合作，構築共贏生態鏈。 讓客戶「像用電一樣享用應用與服務」。 緊接著，中國首個「商用雲計算中心」落戶無錫，北京啟動了雲計算的「祥雲工程」。 上海推出了三年雲計算發展方案。 確定重點發展六項重大工程。 力爭三年內實現雲產業基地產值50億元，初步形成有影響力的雲計算產業雛形。 哈爾濱擬利用世界大型雲計算資料中心選址多在北緯40度—50度之間的地緣優勢，建設「中國雲谷」 。 其「金融行業資料中心」 已經啟動建設。

就社會層面而言，三大運營商分別確定了各自的雲發展計畫。 阿裡巴巴要建電子商務雲計算公司。 表示要為客戶提供計算、存儲服務。 自2010年1月29日訊鳥雲計算基地落戶寧波；到12月15日國內首個雲計算電子政務專案在蓉落地。 這一年的中國可以說正處在耕「雲」播雨的建設熱潮中。

應該說：「雲計算」的這種快速發展，為我國資訊技術的深度開發和應用，帶來了新的發展機遇。 它的智慧管理演算法和整合開發設計，為解決我國資訊化建設中資訊資源的綜合開發和價值開發，提供了嶄新的思路和路徑。 而且可以啟動龐大的需求市場，充分發揮多年資訊化建設基礎設施的投資潛能，迅速構建起國家主導的、具有中國特色的「雲計算」佈局的體系。 迅速形成我國的「雲計算」的資源開發能力和應用開發能力。

但是，由於我們很多人對雲計算的起源和發展缺乏深刻瞭解，不了解雲計算首先在美國軍事應用上快速發展和首先應用的現實。 更不了解歐盟為了保護入雲企業的經濟安全和資訊安全所做出的努力。

以至於，不僅誤以為是谷歌敲響了「雲計算」第一聲鐘聲，而且把物聯網發展中，在生豬銷售上的簡單追溯應用，也當成雲計算的典型應用。 特別是：在我國雲計算快速發展的強勁勢頭下，無意忽視雲安全，和有意漠視雲安全的現象，更是嚴重存在。 已經到了驚濤拍岸，風險叩門的地步，急待引起有關部門和全社會的高度關注和重視。

2、必須認識發展雲計算的巨大挑戰將是確保雲安全

應當看到：雲計算在具有巨大商機的同時，潛在著巨大的安全風險。 儘管雲計算發展中存在著：隔離失敗風險、合規風險、管理介面損害風險、資料刪除不徹底風險、內部威脅風險等眾多運營和使用風險。 但，這些都只是一般性風險，而不是主要風險。 其實，雲計算當前最重要、最核心的風險是：國家安全風險和企業經濟資訊失控風險。

就國家安全風險而言，前哥倫比亞電視臺新聞頻道總裁在其撰寫的報告中早就明確指出：「隨著世界的變化，美國的未來也需重新置放，不過雲計算是美國可以重申其全球經濟和技術帶頭人地位的重要領域」。

應該說：「雲計算」的提出和快速發展，正好為美國提供了新的機會。 一旦全球資訊的流動、存儲和處理都要通過美國IT巨頭在互聯網構建的「雲」來進行，那麼美國就牢牢掌握了對全球資訊的絕對制導權。

奧巴馬政府早已經將網路空間安全威脅定位為「我們舉國面臨的最嚴重的國家經濟和國家安全挑戰之一」，並宣佈「從現在起，我們的數位基礎設施將被視為國家戰略資產」。

事實上，美國為了能獲取資訊霸權，十分注重國家戰略資產的建設。 不僅注重把功能變數名稱根伺服器到碼址資源等互聯網基礎設施掌握在自已手中，更最早開始了在軍事領域部署「雲計算」的計畫。 與此同時，他們的另一隻手，就是大力支援其商業公司在全球大建雲資源池和雲計算中心，搶佔社會化雲計算基礎性戰略資源。

更為嚴重的是：據國際媒體報導：2月6日IBM開始為美國空軍構建一個足以保護國防和軍事資料的「雲端計算網路系統」。 IBM宣佈，已和美國空軍簽約，將為其9個指揮中心、100座軍事基地，和散居全球之70萬軍員所使用的USAF網路，設計和建立一個雲端計算環境。

為此，IBM的研究員、軟體工程師和網路安全專家，將與軍方人員和政府機關合作，並將採用匯流計算分析，建設一種能讓空軍持續監看和分析所有網路資料，以尋找任何威脅或故障跡象的技術。 為支援這項計畫的實施和落實，前不久，美國國會眾議院又通過了「網路安全研究與發展法」。

2010年12月25日媒體又報導：IBM又稱：正在為北約創建雲計算系統。 位於佛吉尼亞州諾福克市的北約軍事指揮部將率先使用這一技術，隨後還可能向其它分支擴展。 該「雲計算系統可讓北約更迅捷地收集和分析資料」。

與此同時，IBM大舉進軍中國市場。 先是欲借無錫，打開強力挺進中國雲計算市場的通路。 又攜手東營共建「黃河三角洲雲計算中心」 。 而且，還將其他100個中國城市作為潛在的雲計算客戶，並希望吸引20萬家獨立軟體公司使用自己的資料中心。 今年6月，又在北京建立了一個鐵路創新中心，以期掌控中國重要的鐵路建設資訊。

IBM日前已經宣佈，國內49家應用開發商、系統集成商已經正式加入其雲引擎合作夥伴計畫，並被授予頂級雲會員、高級雲會員及基礎雲會員認證金牌。 正在成為IBM進軍中國計畫的一部分。

一個一手為美國空軍制造「能讓空軍持續監看和分析所有網路資料」的公司，其另一隻手欲把 「100個中國城市作為潛在的雲計算客戶，並準備吸引20萬家軟體公司進入並使用自己的資料中心。 還要掌控中國巨大的鐵路建設資訊」。 中國的國防資訊安全何在？ 中國鐵路的高速運載能力和軍事物流優勢何在？ 我國資訊的絕對制導權何在？

就經濟資訊安全而言，發展雲計算以後，企業和行業的大量經濟資訊，競爭資訊將進入資訊運營商的資源池中，其「海涵」的大型資料中心和強勁伺服器，又擔當軟體發展的資訊「調度師」和流程「監控員」。

那麼，我們要問：究竟誰是這些經濟資訊的主體？ 中國企業重要的經濟資訊安全，在入雲以後誰來保證？ 如何保證？

在當前全球經濟一體化的背景下，企業只有掌握競爭情報，並注意保護好自已的營業秘密，才能在激烈的市場競爭中處於主動地位。 特別是，創新型無形資產和競爭性商務資訊是企業和商家核心的營業秘密。 所以必須高度警惕和有效防止：資訊資源集聚過程中的無意流失和有意竊取。 更應認識到：這種無形資產被外資掌控以後和有形資產的結合，將全面掌控中國的經濟命脈。 號稱世界民用飛機巨無霸的美國波音公司就專門建立了「反競爭情報機制」。 從獲取的「戰略信號」中研究破解對方競爭手段的方法。 商業巨頭沃爾瑪其資訊化的基本經驗就是：找到最值得信賴，同時成本又低的系統」。

歐盟的一些成員國最早意識到這個問題的重要性。 因此，提出了在入雲時保護企業經濟資訊安全的《數位議程計畫》。 並對進入雲資源池中的經濟資訊規定了刪除時間。 有14個國家規定：企業入雲資訊12個月必須刪除。 8個歐盟國家規定，這些資料必須在6個月後刪除；只有一個國家規定，這些資料必須在18個月後刪除。 德國更嚴格規定：所有入雲資料，必須保存在德國境內。 加拿大也實行了非常嚴格的禁止跨疆界個人資訊搜集或資訊處理的法律。

為了制約雲服務公司的不道德行為和竊取企業營業秘密的做法，歐盟成員國還通過立法的程式確保企業的經濟資訊安全。 而我國在前一段雲計算的宣傳和介紹中，一些商家和媒體不知是無意地，還是昧著良心地漠視了這樣一個重要的問題。 其實，歐盟的做法，會給我國的企業和商家提供重要的啟示和警示。

近日，歐盟網路與資訊安全域（ENISA）又發佈了一則報告：《雲計算：好處、風險以及資訊安全建議》。 指出在公共雲的資料安全會面臨巨大的挑戰。 報告並不建議將最敏感或者核心的資料置於雲端，但認為許多電子政務應用，可以適當的放在公共雲上。 這些建議很值得我國學習和借鑒。

3、必須儘快啟動雲計算的標準和法規建設

就世界而言，在雲計算環境開發和服務方面的標準才剛剛興起。 不僅一次編寫、普遍運行的標準缺失，雲計算資料中心的軟體生產標準，雲服務企業運營的標準也嚴重缺失，這就導致了一些企業可以打著「善意」的旗號，進行不善意的行為。 甚至可以將一個時期，或一個行業的發展資訊，趨勢資訊進行智慧分析後，而轉供他人。 或被重金收買，採取「服務放水」，「撈魚有價」的方式，秘密出售資源池中的整合經濟資訊。

部分歐洲國家看到了這個問題的嚴重性。 它們對本國公民個人資訊和企業商務資訊嚴加保護，並拒絕了一些雲服務商提出的27國統一隱私政策的計畫。 德國是其中態度最鮮明的國家之一，它堅持實行嚴厲的國家標準。 法國數碼經濟協會主席奧利維爾？ 米蒂爾更表示。 「對於歐洲國家來說，隱私權的重要性是無價的。 」在此情況下，一些跨國IT企業大舉進軍中國市場，妄圖儘快找到戰略突破點。 他們不僅看到了中國市場的巨大，更看到了中國市場的浮躁。 這是我們必須有所警惕的。

當前，我們特別要注重雲服務的戰略研究和創新研究。 應當看到，有的城市，現有的集成計算能力，尚有三方之二閒置。 就又盲目發展很多朵雲。 這就會造成資金和資源的浪費。

還要在加強應用研發的同時，加強理論研發。 要有效地界定：雲資料的進入、刪除及其無法恢復性。 確保進入「雲」的資料，必須可以徹底有效地去除，並保證該資料已被完全消除，使其無法恢復。 並不被轉移。

在雲資源池中，應確保其客戶的保密/敏感性資料不能在使用、儲存或傳輸過程中，在沒有任何補償控制的情況下與其它客戶資料混合、或被他人獲取。 其雲資料備份和雲恢復計畫，必須落實到位、以防止資料丟失和意外破壞。

因此，應儘快啟動雲計算的理論研究和標準研發工作。 儘快規劃入雲資訊的分類規範，儘快建立雲計算服務平臺的建設規範和對運營服務軟體的驗收規範，防止其預留後門，還應儘快建立入雲企業的資訊安全管理規範。 才能確保雲計算得到健康有序的發展。

根據IDC統計資料顯示，當前，87.5%的受調查使用者認為「安全性問題」是影響其採用雲服務的主要問題。 特別是鑒於雲服務和傳統IT服務在法律層面上的考量會有許多不同之處。 因此，入雲企業應慎重。 簽訂雲計算服務合同時尤其要注意合同中關於涉及安全破壞、資料轉移、控制轉變以及資料訪問時自身在法律層面的權利及義務的準確描述和界定。 謹慎考量風險。 慎重簽訂合同。 防止誤入合同預留的文字陷阱中。

除此之外，雲服務提供者也必須規避惡意使用者對於雲服務的濫用風險。 為了規避以上風險，雲服務提供者必須對雲系統進行全面的安全加固，不僅要在雲中部署針對性的安全防護產品，更要從系統層面，建立完善的金鑰管理、版權管理、雲安全認證監測服務等多維安全機制，確保雲服務的安全平穩運行。