突圍“云”安全

許高峰

乎只是一覺醒來，“云計算”這個

詞猶如生命力旺盛的爬山虎一般，在互聯網以及各媒體平臺上席卷而來。業界內人士也多熱衷于此，好像言不及“云”就“OUT”了一般。用中國工程院院士鄔賀銓的話來講：“互聯網現在面臨新一輪換代，現在是后PC時代、后網絡時代和移動互聯網時代，不出十年，我們又會進入后摩爾時代——這是云計算的時代。”

緣何云計算會如此受人追捧？這就要談到云計算的特點：它發展了一種智能算法，可以動態管理幾十萬臺、幾百萬臺甚至幾千萬臺計算機資源所具有的總處理能力，并按需分配給全球用戶，使他們可以在此之上構建穩定而快速的存儲以及其他網絡服務，而所有數據處理都是遠程的，用戶無須知道資料存儲在哪里，也無須知道計算在哪里進行。這么闡述或許太過于抽象，打個比方，如果說原先我們所使用的本地計算機或遠程服務器就如同傳統的單臺發電機模式，那么云計算就是國家電網集中供電的模式，它意味著計算能力也可以作為一種商品進行流通，就像煤氣、水電一樣，取用方便、費用低廉。“有了云計算以后，網絡就是計算機。”這是許多業內人士的共識。

不可避免的“內憂”

難道云計算就真的是“完美無缺”？自然不是，首當其沖的便是安全問題。

與其他互聯網應用類似，云計算也潛藏著一定的安全風險。鄔賀銓院士指出：“云計算邏輯上的集中容易成為攻擊目標，其遭受攻擊的風險以及遭受攻擊后面臨的損失也較以往呈幾何級數增加。而且云存儲的虛擬化和物理上分布的異構化，使得云計算缺乏物理安全邊界。用戶數據管理權與所有權分離，則使得數據面臨泄露和篡改的風險。同時，云存儲面向終端用戶的應用程序也存在安全漏洞。”實際上，國外不少知名互聯網公司的云平臺自運行以來已經發生了多次故障。基于以上種種，我們甚至可以說，安全問題已經成為困擾云計算進一步發展的一個重要瓶頸。

不能忽視的“外患”

如果將因為云計算的特征而帶來的固有安全威脅稱之為“內憂”，那么它的“外患”也同樣不可小覷。震驚世界的信息安全事件——“棱鏡門”爆出已經一年有余，隨著云計算在中國的逐漸推廣，其影響卻愈發深遠，令人“細思恐極”。

我們知道，一臺電腦連入互聯網要先找到為其所在地區分配的DNS服務器，通過DNS解析來進入具體的網絡。而用來管理互聯網主目錄的根邏輯域名服務器，全世界只有13臺，1臺主根服務器放置在美國，其余12臺均為輔根服務器，其中位于美國的有9臺。這13臺根服務器可以指揮Web瀏覽器和電子郵件等程序，以此來控制互聯網通信。因此，美國把持了這些根邏輯域名服務器就相當于握住了互聯網的命門，如果拒絕接受美國的控制則需要建立自己的獨立域名系統，但因需要的設備投入很大，技術有風險，所以到目前為止很少有國家敢于貿然嘗試。

如此優良的“先天”條件，讓美國的云計算技術在國際上獨領風騷，美國也由此掌握了云計算話語權。美國是云計算概念和技術的先行者。早在2006年，互聯網巨頭谷歌就正式提出了“云”的概念。此后，亞馬遜、微軟、英特爾、IBM等互聯網巨頭先后跟進，隨后這場“云”潮流在短時間內便風靡全球。由于云計算需要很高的技術門檻，因而全球真正有實力研發和提供云計算服務的公司除了那些互聯網巨頭外便寥寥無幾。依托國內這些網絡巨頭，美國掌握了對全球信息的絕對控制權，并大有壟斷和控制云計算發展走向的趨勢。由于云計算的技術特點，如果將涉及國家軍事、金融、政務等領域的機密信息放置于由國外公司提供的云平臺之上，誰也無法保證不會發生下一個“棱鏡門”事件。

突圍，兩手都要抓

面對云計算的“內憂”與“外患”，要想突圍成功，必須兩手都要抓，兩手都要硬。

就“內憂”而言，云服務提供商必須確認其云基礎設施是安全的，所有客戶的數據與應用程序能夠被妥善地保護，這就如同一場“矛”與“盾”之間的博弈。由于云計算數據集中的特點，除了防入侵、防病毒等傳統的信息安全防護手段外，更要建立“不是生病了才去醫院，而是為了更健康（阿里巴巴CTO王堅語）”的長效安全監測機制。

對于“外患”來說，隨著跨國巨頭在云計算領域咄咄逼人的“圈地運動”，一場沒有硝煙的戰爭就此展開。如果我們不具備自主可控的云計算能力，那么我們將不得不借助于相關跨國巨頭的云計算中心進行存儲和計算數據，這將對中國的網絡安全構成嚴峻挑戰。所幸，中央網絡安全和信息化領導小組成立、云服務網絡安全法律法規加速制定、中央機關禁止采購win8操作系統、“云計算實踐系列指南”發布、企業去“IOE”運動等一系列事件，無不昭示著中國對于“外患”足夠重視。我們有理由相信，一個自主可控的云計算平臺并不遙遠。endprint