“云计算”在颠覆原有互联网应用模式的同时,也给国家安全带来了新的挑战,如果不能积极采取措施,建设自有的“云计算”设施,那么我们得到的恐不是便捷的“云”服务,而是一个国家安全受到严重威胁的黑云时代。
国家信息安全的威胁
网络作为信息承载体,已成为继领土、领海、领空之后的第四维空间,并对现实空间有直接制约作用,其战略地位不亚于领土、领海和领空。这是因为,信息除了与国家政治、经济等方面密切相关之外,更直接融入普通民众的日常生活,对民众的心理和意志影响重大。
目前,互联网基础设施大部分掌握在美国手中,从域名的根服务器到诸如谷歌、微软等公司提供的各类网络与个人应用。虽然人们期望互联网成为一种“全球公共产品”,然而,在1991年海湾战争时期,美国将所有伊拉克国家域名的网站全部封锁,并激活预先安装在伊拉克军队打印机中的所有病毒。不久前,微软公司主动切断了古巴、朝鲜、叙利亚、伊朗和苏丹等5国服务,导致5个国家的用户都无法登陆MSN;谷歌禁止苏丹网民下载谷歌即时通信(IM)和地图服务软件,而雅虎、AOL等互联网服务商亦有可能针对上述国家采取类似措施……联想到这些互联网垄断设施造成的安全隐患,令人如坐针毡。如果未来国家的全民数据都高度集中在国际公司的“云计算”中心,那么,国家信息更存在“去国家化”的风险,大量的信息聚合后若被进行别有用心的分析、挖掘,国家信息安全将受到严峻考验。
网络战争的威胁
未来战争,制信息权即制胜权,因而制网权已成为各国继制海权、制空权、制天权之后的又一重要争夺焦点。“云计算”剥去其华丽外表,在本质上就是互联网的中枢神经系统。因此,它的发展,不仅是商业行为,不仅是一种信息技术应用模式的更新,亦是涉及互联网中枢神经控制与争夺的较量。
毋庸置疑,跨国企业在“云计算”领域的咄咄逼人和各国政府对“云计算”发展的深远谋划,对我国政治、经济、科技和国家安全都形成了严峻挑战。如果我们不具备自有“云计算”实力,那么绝大多数企业和个人为了满足应用需要,将别无选择地通过如上所述的“云计算”中心存储和处理各类数据。同时,国家和军队信息化建设的发展将越来越受制于国际IT巨头制定的信息化标准和规则。
尽管云计算发展中存在着隔离失败风险、合规风险、管理界面损害风险、数据删除不彻底风险、内部威胁风险等众多运营和使用风险,但这些都只是一般性风险,而不是主要风险。其实,云计算当前最重要、最核心的风险是:国家安全风险和企业经济信息失控风险。
就国家安全风险而言,前哥伦比亚电视台新闻频道总裁在其撰写的报告中早就明确指出:“随着世界的变化,美国的未来也需重新定位,不过云计算是美国可以重申其全球经济和技术带头人地位的重要领域。”
应该说,“云计算”的提出和快速发展,正好为美国提供了新的机会。一旦全球信息的流动、存储和处理都要通过美国IT巨头在互联网构建的“云”来进行,那么美国就牢牢掌握了对全球信息的绝对制导权。
事实上,美国为了能获取信息霸权,十分注重国家战略资产的建设。不仅注重把域名根服务器到码址资源等互联网基础设施掌握在自己手中,更最早开始了在军事领域部署“云计算”的计划。与此同时,他们的另一只手,就是大力支持其商业公司在全球大建云资源池和云计算中心,抢占社会化云计算基础性战略资源。
更为严重的是,IBM开始为美国空军构建一个足以保护国防和军事资料的“云端计算网络系统”。IBM宣布:已和美国空军签约,将为其9个指挥中心、100座军事基地,和散居全球之70万军员所使用的USAF网络,设计和建立一个云端计算环境。
为此,IBM的研究员、软件工程师和网络安全专家,将与军方人员和政府机关合作,并将采用汇流计算分析,建设一种能让空军持续监看和分析所有网络资料,以寻找任何威胁或故障迹象的技术。为支持这项计划的实施和落实,前不久,美国国会众议院又通过了“网络安全研究与发展法”。
经济信息安全的威胁
就经济信息安全而言,发展云计算以后,企业和行业的大量经济信息、竞争信息将进入信息运营商的资源池中,其“海涵”的大型数据中心和强劲服务器,又担当软件开发的信息“调度师”和流程“监控员”。
那么,我们要问:究竟谁是这些经济信息的主体?中国企业重要的经济信息安全,在入云以后谁来保证?如何保证?
在当前全球经济一体化的背景下,企业只有掌握竞争情报,并注意保护好自己的商业秘密,才能在激烈的市场竞争中处于主动地位。特别是,创新型无形资产和竞争性商务信息是企业和商家核心的商业秘密。所以必须高度警惕和有效防止:信息资源集聚过程中的无意流失和有意窃取。更应认识到:这种无形资产被外资掌控以后和有形资产的结合,将全面掌控中国的经济命脉。号称世界民用飞机巨无霸的美国波音公司就专门建立了“反竞争情报机制”。从获取的“战略信号”中研究破解对方竞争手段的方法。商业巨头沃尔玛其信息化的基本经验就是:找到最值得信赖,同时成本又低的系统。
在云资源池中,应确保其客户的保密/敏感数据不能在使用、储存或传输过程中,在没有任何补偿控制的情况下与其他客户数据混合、或被他人获取。其云数据备份和云恢复计划,必须落实到位,以防止数据丢失和意外破坏。
因此,应尽快启动云计算的理论研究和标准研发工作。尽快规划入云信息的分类规范,尽快建立云计算服务平台的建设规范和对运营服务软件的验收规范,防止其预留后门,还应尽快建立入云企业的信息安全管理规范,才能确保云计算得到健康有序的发展。
除此之外,云服务提供者也必须规避恶意用户对于云服务的滥用风险。为了规避以上风险,云服务提供商必须对云系统进行全面的安全加固,不仅要在云中部署针对性的安全防护产品,更要从系统层面,建立完善的密钥管理、权限管理、云安全认证监测服务等多维安全机制,确保云服务的安全平稳运行。