导读:“在互联网上,没有人知道你是一条狗。”20年前,美国《纽约客》杂志以黑色幽默方式直指网络虚拟化之弊。如今,随着网络的普及与相关技术的突进,这句话或许应该改写为:“在互联网上,你的隐私可能不如一条狗。”
“在互联网上,没有人知道你是一条狗。”20年前,美国《纽约客》杂志以黑色幽默方式直指网络虚拟化之弊。如今,随着网络的普及与相关技术的突进,这句话或许应该改写为:“在互联网上,你的隐私可能不如一条狗。”
“你好,打扰一下,我是”相信每一位上网用户,都会收到这样的电话、短信或者电子邮件的“友好打扰”——也许,你曾经上网登记了同学录,申请了聊天身份号码,注册了购物账号,开通了证券软件你每一次痕迹的遗留,都可能成为各类商家收获的个人信息。
庆幸的是,我们还有自己的硬盘,还有自己的U盘,还有自己的诸多外存设备,最隐私、最“安全”的个人信息可以锁在这些“保险柜”里,不上网,不外传。
然而,即将到来的云世界,把“保险柜”打开了。它诱惑人们摆脱无所不在的“硬件束缚”,将自己的信息无保留地存储到“云”上,以便在任何地方用任何显示设备取用这些信息——告别个人电脑(PC)、硬盘、U盘的世界,似乎无比自由,整个网络就是你最大的存储器,可接下来的问题是:“我的东西都在网上,大家都能看到,还有隐私吗?”
2月底爆发的谷歌“Gmail故障门”将云安全问题推到公众面前。约15万Gmail用户在2月28日发现自己的所有邮件和聊天记录被删除,部分用户发现自己的账户被重置,因为他们接到了谷歌发给新用户的欢迎信。
谷歌对此的解释是软件升级所致,却无法打消人们对基于云计算系统的Gmail邮件云存储安全性的忧虑。这样的忧虑甚至波及到敏感的国防、军事领域。
信息在安全领域的又一场战争开始了吗?
真伪命题
“我们的数据库交给别人管理,还是不放心。”浙江一位银行系统计算中心柴姓工作人员在接受本刊记者采访时表示,由于整个云计算将海量数据高度集成到一朵“云”里,一旦数据系统崩盘,或者云服务供应商的其他客户意外获取本银行的资料,后果将不堪设想。
大多数企业对于托管给“云计算”服务供应商建立自己企业的“私有云”心存顾虑。
“什么原因让中国对云计算如此谨慎?”美国埃森哲卓越绩效研究院给本刊记者出示一项云计算中国应用调查发现,59%的中国受访者表示“十分担心”云中数据的安全性、私密性和机密性,这一数据高于美国的50%以及中国以外国家的42%,相比其他国家,更高比例的中国受访者认为其所在企业和机构拥有不得外泄的敏感数据。
埃森哲调查还发现,由于对云服务可靠性和数据敏感性的担心,中国有近50%企业和机构不愿将数据托付给国外的云供应商,即使数据仍保存在中国境内,如果供应商未在中国设立数据中心,这一比例将跌至20%。
“云安全是个伪命题”,解放军理工大学教授刘鹏对《瞭望》新闻周刊记者说,“存在你的电脑里也未必就比云里安全。”
“伪命题论”支持者认为,云计算在技术上并没有带来新的问题。中国电子学会云计算专家委员会秘书长林润华接受本刊记者采访时说,“在安全领域,云计算没有带来更多的新安全问题,关键还在于对云计算安全的客观评价。”
他进一步解释,云计算时代的安全和过去的安全从技术层面来讲,核心差别不大,只是影响面大,从技术上没有带来新的安全问题,最主要的问题是人们的信任或者说企业的信任不够。
上海第七人民医院信息中心主任程晓强告诉本刊记者,在刚刚使用云计算系统时,自己最担心的是数据崩盘或者数据泄漏问题,“比我想象的安全很多”。他补充道,规划时要考虑周全,“就是说整个云的方案要安全。”
“十分安全”,江苏电力公司信息中心副处长王纪军表示,“私有云”有效地解决了几类存在较久的与客户、运营和行政事务相关的海量数据,他所在的公司2009年10月建成一个网络化的虚拟数据存储和处理云平台,无论数据在哪里,用户都可以通过统一界面访问。
然而,海量数据构成的“一朵云端”很容易让人联想到“一损俱损”。与个人用户相比,公司中存在大量的高质量数据,而且也存在更多可接入点,如果公司内部实现虚拟云页面,员工的所有信息统一到一朵云中,安全性更加成问题。
“云的安全不是伪命题。”华为技术有限公司中国区核心网营销总工程师秦卓在接受《瞭望》新闻周刊采访时表示,企业之所以有这样的担心,是因为以往企业信息建立在内部系统基础上,都是有效的物理分割,一旦运行到虚拟云上,变成了“逻辑分割”,就会对用户心理上造成影响,同时对技术也提出了更高的要求。
一位不愿透露姓名的专家向本刊记者介绍,云计算架构尤其适合在军事网络中广泛应用,可极大地提高军队基于信息系统的体系作战能力。所以,一些IT巨头目前均加紧与中国军方开展合作,欲花大力气构建种种“私有云”、“专有云”。
这位专家表示,发展云计算可能带来的“云安全”问题令人担忧,“这就像常人不能监听别人电话,但在电信公司内部却可以随时监听任何电话一样”。而所有潜在危险,都是“云”管理者和国家机构必须面对的重大课题。
秦卓表示,国防军队构建的“专有云”平台,可以不向地方扩散,不对非军事人员开放服务,从技术角度讲,在云端实现物理意义的分割,比军队传统网络体系建设更加有助于提升信息安全水平,从而确保“专有云”的军事安全。
云安全大市场
当云安全成了云时代的阴影,保障云安全的软件便有了一显身手的机会。
瑞星、金山、360安全卫士、趋势、卡巴斯基、迈克菲、赛门铁克、江民科技、熊猫等国内外安全厂商均相继推出了云安全解决方案,并以惊人的速度争夺消费者眼球。
在官方声明中,各软件都表示自己的“云安全”系统软件,利用互联网化技术,全面引用了云安全的技术,颠覆了传统的杀毒技术,称得上是国内“真正的云杀毒软件”。
但不止一位受访专家向本刊记者表示,事实上,现有的“云安全杀毒软件”均不能算是严格意义上的云安全解决方案,其在本质上最多属于“瘦客户端”模式,主要的工作仍是在用户端而非云端进行。
曾服务于汶川大地震救灾、奥运会、世博会等重大事件信息安全保障工程的卫士通信息产业股份有限公司,由中国电子科技集团公司(CETC)第三十研究所于1998年发起成立,是国内首家专业从事信息安全的股份制企业,已经与中国电信在云安全领域开始了全方位的合作。
“我们采用的是国家密码管理局审批的商用密码范围。”卫士通信息产业股份有限公司战略合作总监钟博接受本刊记者采访时说,“这种密码算法,国家自己设计的密钥体系更可控,国外很多只是告诉你怎么用,但是为什么这样设计不告诉你。这就留下了很多安全隐患。”
“比如你发电子邮件,那是十分不安全的。”钟博说,电子邮件都是存储转发的,要通过你所不知道的“邮局管理员”,留下许多副本,只是因为量太大,管理员懒得看,或者有契约不能看。
针对邮件转发安全,钟博描绘了这样一幅云安全“保障生态链”:第一个是“端”,即显示器设备。他向记者拿出一个U盘状物品,将它接入电脑,“有了它,你的邮件就是加密发出,即使有人截获,没有密码也没办法解读”。
第二个是“管道”,好比你把保险箱送到另一个地点,所经过的路途。钟博拿出一个叫做“vpn”的小黑盒子——虚拟专用网络设备,装到显示设备上,可以保障数据通过管道时的安全。
第三个是“云端”,通过加密技术保障服务器存储的安全和运行可控。
这样一来,从“端”到“管道”到“云”,三个阶段都能够获得安全保障。
2月底,卫士通的磁盘卫士分区加密系统软件和磁盘卫士文件加密系统软件,通过了工业和信息化部软件产品登记。
钟博介绍说,卫士通目前还关注计算节点的安全,包括服务器本身的保护,“那个是攻击的首要目标”。
他目光坚定地做了个杜绝的手势,“只认我认识的(软件程序),不认识的都是非法,先由我们认证后,(进入)到我们的‘白名单’”。
升级版信息战
亨利·基辛格说:“如果你控制了石油,你就控制了所有国家;如果你控制了粮食,你就控制了所有人类;如果你控制了货币,你就控制了整个世界。”
现今,你控制了信息,你就轻而易举地控制石油、粮食和货币。
“云”让这个世界的信息如此最大化地开放,与此相应的是,云时代让国家、民族之间的界限变得越来越模糊,任何一个处于其中的国家都很难保持自身云系统的独立性。一旦国际形势突变,国外的云服务提供商与各自的政府、军方合作,那么受着云安全系统保护的重要单位将处于严重的危险之中。
“我国云计算正呈现出‘头重脚轻’的发展趋势”,科技部高技术研究发展中心信息技术处处长嵇智源警告说,一方面,众多的企业纷纷推出种类繁多的云计算应用;另一方面,由于国外企业对核心技术的垄断,很少有国内企业进行操作系统、芯片以及底层硬件等基础技术的开发。
“长此以往,我国云计算将宛如‘空中楼阁’,前景不容乐观。”他认为,“在这样的严峻局面下,我国要在IT产业的新一轮革命中弯道超车,必须要在云计算的核心技术领域实现自主可控,才能在新一轮的信息变革中掌握话语权。”
国务院发展研究中心研究员陈宝国,在去年9月出版的《信息战争——第四空间的角逐和博弈》一书中提出:政府机构、商业机构(特别像银行这样持有敏感数据的商业机构)选择云计算服务应保持足够的警惕。一旦商业用户大规模使用私人机构提供的云计算服务,无论其技术优势有多强,都不可避免地让这些私人机构以“数据(信息)”的重要性挟制整个社会。
从2009年底开始,在若干研讨场合,有学者和机构向IBM“智慧地球”战略提出质疑,并涉及到云计算。主要观点认为,美国将云计算、物联网列为国家发展战略,其宗旨和目的,依然是从全球化的大背景下,利用IT技术深度嵌入战略基础设施的机会,利用数据资源跨边界快速流动的机会,最大限度地预留“后门”,为控制、威胁别国的政治、经济、文化和社会生活的各类数据资源保留足够的余地,从而获得未来信息社会的垄断性、独占性和先导性的话语权。
就此争论,工业和信息化部软件服务司司长陈伟向本刊记者表示,“智慧地球这个概念包容性很强,对它的评估应该有科学态度和严谨的论证。”
对于国内一些人士关于云安全的担忧,以及美国制网权争夺战的顾虑,陈伟认为,安全和不安全如影随形,在云计算问题上要正确分析判断,要看到在云概念下,网络和安全受到巨大的挑战,安全问题从各个方面爆发出来。应该怎么应对?从国家角度,第一,思想上要高度重视,中国和其他任何主权国家一样十分重视安全问题。第二,随着云计算的发展,要拿出行之有效的办法,技术、法律、经济、管理的手段都用上,并形成合力,真正实现对信息安全的保障。“在国际项目方面,今年工业和信息化部计划将中国的相关国家标准工作成果提交至国际,进一步争取我国在SOA(Service-Oriented Architecture,即面向服务的体系结构)和云计算国际标准化工作中的话语权。”
制定标准只是游戏规则之一,事情才刚刚开始。
ZiffDavis媒体集团(中国)战略发展研究主任段永朝告诉本刊记者,如果把云计算看作“种子”的话,事情总是要开始的。他所担心的是,目前左右和操控“云计算”话语的弦外之音,往往是事先为自己预留地盘的纯粹商业逻辑。
段永朝进一步解释:云,这种创想是诗意的;如果抽取其“分享、协作、共同演进”的内核,它将极大地“催化”某种新计算形态,比如在复杂社会系统、经济系统、工程系统中某种全新模式的涌现;如果抽取其比特化的线性逻辑,抽取其“商业先机”的商道逻辑,就依然是老调重弹。
值得警惕的,依然是那些秉持传统商业理念的云计算商家,试图从这种社会大迁移的过程中,仰仗业已获得的“先行之利”,主宰和控制这种局面的变革轨迹,使之符合自身的商业利益。
“不过,我相信这几种力量的博弈——文化、技术和商业——已经是彼此缠绕在一起。”段永朝分析说,云计算所颠覆的,除了传统的生产方式,还内含对自身“科学至上主义”的“扬弃”,它最终将走向全面的开放和分享,在共治共享中,共生依存,并共同演化。任何致力于通过云计算“占据”未来世界版图“制高点”的做法,注定走向它的反面。
“云,一定是个好东西,但不是现在的这个版本。”他这样预测云的未来。