首页 > 云计算 > 正文

信息安全专家为我们拨开“云”雾话说安全

2010-06-23 16:20:15  来源:计世网

摘要:云计算是信息世界工业化发展趋势下的必然产物,它不是单纯的技术问题,而是一个流行的商业概念。如何在信息世界向工业化发展的大背景下,客观地审视当前的“云计算”热?如何看待
关键词: 云计算 信息安全

 

 

 

  云计算是信息世界工业化发展趋势下的必然产物,它不是单纯的技术问题,而是一个流行的商业概念。如何在信息世界向工业化发展的大背景下,客观地审视当前的“云计算”热?如何看待铺天盖地而来的云计算为我国信息安全带来的重大挑战和机遇?让信息安全专家为我们拨开“云”雾,话说安全吧。

        云计算与信息工业化

  云计算作为当前信息产业最热门的关键词,已经得到了所有IT业人士的关注。回溯云计算的历史,其思想起源于1969年的ARPANET项目;1999年,Salesforce.com利用Web界面进行了企业应用的尝试,是云计算发展的第一个里程碑事件;2002年,Amazon推出基于Web的存储、计算和情报服务,成为云计算发展的第二个里程碑;2006年,Amazon推出橡皮云(Elastic Compute Cloud),允许小型企业和个人租用计算机运行自己的程序;2009年,Google等公司利用Web2.0技术推出诸如Google Apps的企业应用。

  到目前为止,云计算作为一个“计算”的概念,其技术含义仍不清晰:美国国家标准技术研究所认为,云计算是一个演进中的模式,其定义、使用方式、基本技术、问题、风险等还有待进一步明确;云计算安全联盟(CSA)认为,云计算是一个正在演化的词汇,描述了现有诸多技术的发展和不同于过去计算方式的演化。由于云计算的部分思想,如“软件即服务”、“系统即服务”、“基础设施即服务”,以及“大家帮助大家”等理念,符合未来信息服务的发展方向,因此云计算在业界广受追捧。

  正如运输技术及交通基础设施为工业化发展提供了基础,现代网络基础设施的迅猛发展也使信息世界的专业化分工成为可能。在以往的信息世界,存储需要用户自行购买和管理,系统需要用户自己维护,应用需要用户自己进行版本的升级,这样的信息服务模式可以称做自给自足的“信息农村”模式;随着网络随处可得,也就是信息世界“交通基础设施”的快速发展,信息世界也必然由过去自给自足的“信息农村”经济向“信息工业化”经济转变。在信息世界的“工业化”时代,专业服务机构会为用户直接提供低成本的服务,用户不再需要自己管理所需的磁盘资源、计算资源和信息资源。通过网络上的专业机构,用户可以在任何地方获得存储、信息和计算能力。可以说,信息世界的工业化进程正是云计算这个概念赖以生存的土壤。

  企业精英们正利用信息世界工业化的这种发展趋势,不断推出各种商业概念,换来更加蓬勃的市场发展。云计算就是专业化信息服务发展方向众多代名词中的一个,也是最能产生商业价值的一个。它借助信息世界“工业化”的步伐,逐步侵略和占领那些以自给自足为主要特征的信息疆域。

  云计算时代,Google的搜索引擎、免费的电子邮件和随处可得的网络存储,将比用户自己的信息库系统、自行安装的邮件服务器,以及自己维护的海量存储更加可靠和便宜。这些服务以专业化和集团化的优势,逐步占领我们的信息世界,驱逐着那些自给自足的信息服务模式,通过诸多网民用户的广泛使用,逐步统治和掌控信息资源。

  信息社会的专业化发展是一个自然的过程,社会对云计算技术的追求会伴随网络基础设施的发展而逐步演变。鼓励或强迫超前发展,或者阻止发展,都是不符合历史发展进程的,都是不正确的。

  云计算只是流行商业概念

  美国国家标准技术研究所关于云计算的定义认为,云计算就是一种支持方便地、按需获取的可配置共享计算资源池的模式,这种模式能够迅速获得和释放所需资源,并能大大减少管理开销以及用户与服务提供商的交互。其中可共享的资源包括网络、服务器、存储、应用以及服务。

  从本质上来说,云计算是一种服务和技术结合的概念,是一个以商业宣传为主的名词,不完全是技术问题。云计算的概念是现代网络技术与网络基础设施发展到一定程度的必然产物,是部分企业和部分学者对现有信息技术服务大众的商业与技术模式的一个总结。

  云计算作为一个综合的概念,不可能成为科学和技术发展的指挥棒,更不能指导我们的科技发展规划。我们应该站在信息世界工业化的角度,全面审视未来计算的发展方向—未来信息世界需要的技术和方法,肯定不是“云计算”一个商业概念所能概括的。

  1.云计算涉及的技术大部分是成熟技术。

  云计算涉及的技术,很多都是已有的成熟技术,如并行计算、海量存储、Web服务、浏览器与虚拟机等,都是很成熟的技术。正如过去众多企业吹捧“可信计算”一样,云计算也是以企业吹捧为主的一个名词,尽管有较多的技术基础,但其更多地是一种商业推广行为。

  2.云计算阐述了未来技术应考虑的商业特点。

  信息世界工业化计算模式的特点,从技术上讲主要包括以下两个方面,这两方面也正是目前云计算所阐述的技术特点:

  第一个特点是“软件/系统/基础设施即服务”。在信息世界工业化的环境下,专业化分工是一个重要特点。用户不再需要购买维护软件系统,直接通过网络使用最新的软件,并按照使用付费;用户不再需要购买和维护计算资源,需要时直接利用网络上的专业并行计算机;用户不再需要拥有自己的存储设备,可以直接将信息存在专业的存储中心,需要时只要上网就可以获得;用户不再需要设立自己的邮件服务器,需要时直接使用网络上的专业邮件服务器。

  第二个特点是“大家帮助大家”。当一个用户键入需求,其计算的结果可能是由很多人共同维护的数据的集合。万人维护的开放源码系统、亿人维护的网络百科,就是“大家服务大家”的典型代表。多人服务的专业团队理念,就如同工业时代的规模化工厂,必然带来更好的质量、更低的价格。通过组织和管理大家已有的资源来为大家服务,是未来资源共享的发展方向。

  在这样的计算环境下,人们无法知道自己正在用的资源所处的物理位置,也很难知道自己的资源被谁、被如何使用了。这一切可能只有资源服务提供商才能知道。随着资源组织和服务提供的发展,对信息世界的控制权也将两极分化。

  3.未来的信息产业将以服务为主,并逐步规模化。

  信息工业化时代的产业特点必然是服务代替产品、服务代替系统。

  好的信息服务必然是具有一定规模的服务,对用户来说应该是资源无限、想用就买,系统不间断、服务随时可得。仅这两点,没有规模化服务就很难做到。由于宽带网络无处不在,未来信息产业的大型企业将是以直接提供服务为主的公司,而不再是提供系统和产品的公司。通过直接提供服务,减少了中间购买和维护产品的环节,从而节约大量成本。小企业因为不能提供足够好的信息,不能提供伸缩自如的资源购买,不能提供不间断的服务保障,将很难在宽带网络环境下获得用户的亲睐。而大型企业将利用无处不在的网络,突破国界和地域的限制,通过网络将其规模化的廉价服务提供给全世界的网民,最终逐步形成跨地域、跨部门的大型服务集团。这些集团拥有大量的资源,拥有其他企业无法比拟的优势。垄断将成为信息工业化时代的可能结果。

  云计算挑战国家信息安全

  虽然云计算仅仅是一个名词,但它从侧面体现了信息社会工业化的潮流,这种“工业化”对我国目前的信息网络带来了巨大的威胁。

  1.以云计算为代表的信息工业化进程不可阻挡。

  当提到“工业化”的概念时,我们不应该忘记鸦片战争,也不能指望通过封闭和抵制新技术或模式来解决政府的安全问题。

  信息工业化给许多用户带来了廉价、可靠、随处可得和非常方便的信息服务。云计算得到了诸多大公司和各国政府的大力支持:不论是微软总裁、还是RSA总裁,不论是Symantec、还是EMC的领导者,不论是美国政府高官、还是美国学术界部分领军人物,都扬言要追随云计算的浪潮。大量的科研和开发资金正源源不断投入到云计算的产业中。随着许多大型厂商不断追逐云计算的步伐,越来越多的中国网民也被拉到各种云服务上。不难发现,许多中国人都已经不再使用自己单位的电子邮件地址、转而采用Gmail来接收和处理邮件了。

  云计算的安全问题是当前大家最为关注的一个问题。人们知道将自己的内容存在“云”中不安全,人们也一直嚷嚷要注意安全问题,但规模服务的方便和廉价,最终会打破人们的顾虑,让大家迅速转移到集中式的服务上去。人们也可以找到自我安慰的理由:安全一定是相对的,重要信息存在自己家里不仅有成本开销,而且也不一定绝对安全。如果一种模式能够带来更多的方便和实惠,对普通百姓来说,牺牲一些安全性也未尝不可。

  规模服务中的服务性能问题、可用性问题、与现有产品集成问题,以及满足个性化需求的问题,也都是目前信息社会工业化面临的重大技术问题。这些问题不可能有一个终极完善的解决方案,人们也不会要求服务提供商提供完善的解决方案。逐步扩张的实践和服务能够帮助服务提供商逐步克服这些问题,逐步完善其服务体系。

  可以预计,不论是安全问题还是性能问题,都不会成为规模化和工业化信息服务发展的真正障碍。在工业化社会,人们相信服务提供商可能会胜过相信自己。

  2.资源逐步集中,隐含着资源的占领和掠夺。

  信息世界的工业化意味着巨大的规模化资源池的建设,意味着大型的存储中心、邮件中心、财务中心的建立,意味着计算、信息、存储等资源的集中管理。资源的集中肯定伴随着对信息世界资源的掠夺,伴随着信息世界资源的原始积累。

  用户就是信息世界中最原始的资源,谁拥有用户,谁就可以建设更好的存储、计算、应用服务的资源,从而更加规模化和专业化。拥有大量的用户资源,也就能够确立起在后信息时代对信息世界的控制权。设想一下,如果80%的中国人使用Gmail作为自己的邮件系统,中国的信息产业保护将如何开展?据techCrunch调研显示,截至2009年8月,Gmail的用户数量已经达到3700万人,年增长率达25%。

  我们可能无法通过立法来拒绝使用云计算相关技术。而且,如果拒绝使用信息工业化时代的技术,我国的规模化服务产业就会落后,别国肯定会利用其规模化服务技术,通过贸易或经济手段,强行打开我国信息世界的大门。如果没有相应的技术和产品来应对,我们就有可能成为信息世界鸦片战争的受害者。

  3.信息世界只能称霸。

  云计算仅仅是一个概念,但这个概念下涌动的信息社会变革却是历史的潮流。如果我们仍旧抱住“自己建设自己的信息系统”的理念不放,我们的信息产业就会徘徊在自给自足的服务体系下。国外专业化、规模化的信息服务一定会以更加廉价、易用、可靠的方式,冲垮我们自己建设的信息系统。

  随着网络基础设施的发展、信息工业化的推进,大型规模化企业将迅速占领世界市场,小型企业很快会败下阵来。无论政府用什么政策去保护,网络化的服务很容易突破疆域,进入任何行政地界。信息世界工业化对资源的掠夺只能依靠同样的方式去抵御。

  信息世界的规模化服务提供商,首先占领的将是那些不太需要安全、但非常渴望廉价和方便的领域。我国的广大民众可能会选用服务质量更加稳定的规模化服务提供商,将自己的邮件、相册、文件资料全部存放到网络上去。由于更加专业化,规模化的服务器的安全性可能大大高于自行维护的服务器的安全性,规模化服务的受众必然逐步增加,自建服务器的用户数量必然逐步减少,小规模信息服务商将不得不逐步退出市场,大量用户将逐步转移到更大的所谓“云服务”中去。当前,美国政府正加大与大企业的合作力度,大力推进云计算平台的建设。我们可以看到,通过对云计算平台的控制,美国政府就可以比在任何时代下更加容易地控制信息资源。

  我国面临的发展机遇

  国外企业的云计算威胁着我国的信息安全,吞噬着我国的信息疆域,但同时,信息世界的专业化分工也给全球信息产业带来了一次重新洗牌的机会,这无疑也是我国信息产业发展的一个良好机遇。

  许多中国企业已经认识到自己的使命,国家大力倡导的现代服务业也顺应了这一潮流。在各方面的共同推进下,中国的专业化规模化服务有了长足的发展,已经出现了很多专业化的公司,如新浪、百度、阿里巴巴等,这些企业都是以服务和规模化为代表的现代服务业。可以说,这些公司就是中国云计算的企业代表。通过持续不断的努力,相信我国能够继续产出更多专业化的信息服务企业,或称为云计算服务提供商。

  “云”时代我国信息安全产业的对策

  面对来势汹汹的云计算浪潮,建议我国信息安全产业应采取以下应对措施:

  1. 认识和发现信息服务的发展规律,控制发展节奏。

  专业化计算和信息服务是网络普及到一定程度的产物,这种服务企业的诞生不可能超前于网络基础设施的建设。我国信息产业应该伴随着网络基础设施的建设,协调发展专业化信息服务企业,提前建设这样的企业可能无法顺应未来新的网络基础而导致失败。信息技术发展很快,过去认为很有前途的技术可能很快就被淘汰。提前建设的云计算平台除了为平台提供商赚取利润外,并不能给我们的信息产业带来太多的利益。

  2. 鼓励自主创新,防止盲目跟进。

  面对云计算,我们必须认识到:在我国建设云计算平台,并不能保证我们就能够控制云平台中的信息资源,也不能保证我们就是惟一的控制者。由于很多技术仍然控制在国外企业手中,大规模的云计算平台建设可能仅仅增加了国外控制中国的手段,用中国人自己的钱为他人提供了控制中国的途径。

  一些通过购买获得的自主知识产权而不加以认真研究的所谓自主产品,更是麻痹中国人的迷魂汤,因为仅仅是购买的产权中的技术核心根本就不掌握在中国人手里。这种自主知识产权的本质就是买下了推广他人产品的权力,即替他人推广产品、还花了中国人民自己的钱。

  我们也可能拥有云计算部分技术的自主知识产权,但这并不代表对云计算集中资源的控制能力。完全的控制需要整个链条都控制在自己手中,一旦有一个环节控制在别人手里,对手就会通过这个环节偷走所有的信息。

  3. 主动发展自己的云服务市场,追赶现代服务业浪潮。

  信息世界的工业化是以市场化模式进行推广的。如果我们封闭市场,就不可能学习到先进的信息服务经验和理念。我们最后肯定要在开放的环境下与对手竞争,而在政策保护下成长的企业习惯于依赖政府的保护,借国家安全的名义获得大量支持,这样的企业一旦失去政府的保护,肯定经不起市场的洗礼。由于目前大家的起点基本相同,开放竞争是我国培养经得起考验的新兴企业的重要机遇。这也正是发展独立自强的现代服务业、调整我国经济结构的一次重要机遇。

  针对目前的形势,我们应支持研究信息世界工业化形势下的信息安全技术,特别是针对规模化服务的新安全需求进行技术研究与开发。要看到未来的技术发展方向,积极探索新形势下可能出现的信息安全新问题,特别是在宽带网络无处不在的前提下,引导研究机构在虚拟机技术、浏览器技术等方面加大投入力度,争取有更多更好的技术积累。

  要组织战略专家,认真研究云计算的内在本质,发现我国信息工业的特长,在部分领域推出有自己特色的云计算平台和服务,以及与之配套的有特色的云终端产品,满足中国民众的信息服务需求。

  要鼓励和支持企业在中国境内建立各种各样的专业化云计算服务平台,采用成熟技术为中国公民提供形式多样的专业化信息和计算服务。特别是要加大力度支持对国产安全技术的利用。

  应该继续推动通用计算芯片、嵌入式操作系统、服务器操作系统以及超级计算服务器的开发研究,为自主的云计算平台建设提供基础部件支持。


第三十二届CIO班招生
法国布雷斯特商学院硕士班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编: