突圍“云”安全

許高峰

乎只是一覺(jué)醒來(lái)，“云計(jì)算”這個(gè)

詞猶如生命力旺盛的爬山虎一般，在互聯(lián)網(wǎng)以及各媒體平臺(tái)上席卷而來(lái)。業(yè)界內(nèi)人士也多熱衷于此，好像言不及“云”就“OUT”了一般。用中國(guó)工程院院士鄔賀銓的話來(lái)講：“互聯(lián)網(wǎng)現(xiàn)在面臨新一輪換代，現(xiàn)在是后PC時(shí)代、后網(wǎng)絡(luò)時(shí)代和移動(dòng)互聯(lián)網(wǎng)時(shí)代，不出十年，我們又會(huì)進(jìn)入后摩爾時(shí)代——這是云計(jì)算的時(shí)代?！?/p>

緣何云計(jì)算會(huì)如此受人追捧？這就要談到云計(jì)算的特點(diǎn)：它發(fā)展了一種智能算法，可以動(dòng)態(tài)管理幾十萬(wàn)臺(tái)、幾百萬(wàn)臺(tái)甚至幾千萬(wàn)臺(tái)計(jì)算機(jī)資源所具有的總處理能力，并按需分配給全球用戶，使他們可以在此之上構(gòu)建穩(wěn)定而快速的存儲(chǔ)以及其他網(wǎng)絡(luò)服務(wù)，而所有數(shù)據(jù)處理都是遠(yuǎn)程的，用戶無(wú)須知道資料存儲(chǔ)在哪里，也無(wú)須知道計(jì)算在哪里進(jìn)行。這么闡述或許太過(guò)于抽象，打個(gè)比方，如果說(shuō)原先我們所使用的本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器就如同傳統(tǒng)的單臺(tái)發(fā)電機(jī)模式，那么云計(jì)算就是國(guó)家電網(wǎng)集中供電的模式，它意味著計(jì)算能力也可以作為一種商品進(jìn)行流通，就像煤氣、水電一樣，取用方便、費(fèi)用低廉?！坝辛嗽朴?jì)算以后，網(wǎng)絡(luò)就是計(jì)算機(jī)。”這是許多業(yè)內(nèi)人士的共識(shí)。

不可避免的“內(nèi)憂”

難道云計(jì)算就真的是“完美無(wú)缺”？自然不是，首當(dāng)其沖的便是安全問(wèn)題。

與其他互聯(lián)網(wǎng)應(yīng)用類似，云計(jì)算也潛藏著一定的安全風(fēng)險(xiǎn)。鄔賀銓院士指出：“云計(jì)算邏輯上的集中容易成為攻擊目標(biāo)，其遭受攻擊的風(fēng)險(xiǎn)以及遭受攻擊后面臨的損失也較以往呈幾何級(jí)數(shù)增加。而且云存儲(chǔ)的虛擬化和物理上分布的異構(gòu)化，使得云計(jì)算缺乏物理安全邊界。用戶數(shù)據(jù)管理權(quán)與所有權(quán)分離，則使得數(shù)據(jù)面臨泄露和篡改的風(fēng)險(xiǎn)。同時(shí)，云存儲(chǔ)面向終端用戶的應(yīng)用程序也存在安全漏洞?！睂?shí)際上，國(guó)外不少知名互聯(lián)網(wǎng)公司的云平臺(tái)自運(yùn)行以來(lái)已經(jīng)發(fā)生了多次故障?；谝陨戏N種，我們甚至可以說(shuō)，安全問(wèn)題已經(jīng)成為困擾云計(jì)算進(jìn)一步發(fā)展的一個(gè)重要瓶頸。

不能忽視的“外患”

如果將因?yàn)樵朴?jì)算的特征而帶來(lái)的固有安全威脅稱之為“內(nèi)憂”，那么它的“外患”也同樣不可小覷。震驚世界的信息安全事件——“棱鏡門”爆出已經(jīng)一年有余，隨著云計(jì)算在中國(guó)的逐漸推廣，其影響卻愈發(fā)深遠(yuǎn)，令人“細(xì)思恐極”。

我們知道，一臺(tái)電腦連入互聯(lián)網(wǎng)要先找到為其所在地區(qū)分配的DNS服務(wù)器，通過(guò)DNS解析來(lái)進(jìn)入具體的網(wǎng)絡(luò)。而用來(lái)管理互聯(lián)網(wǎng)主目錄的根邏輯域名服務(wù)器，全世界只有13臺(tái)，1臺(tái)主根服務(wù)器放置在美國(guó)，其余12臺(tái)均為輔根服務(wù)器，其中位于美國(guó)的有9臺(tái)。這13臺(tái)根服務(wù)器可以指揮Web瀏覽器和電子郵件等程序，以此來(lái)控制互聯(lián)網(wǎng)通信。因此，美國(guó)把持了這些根邏輯域名服務(wù)器就相當(dāng)于握住了互聯(lián)網(wǎng)的命門，如果拒絕接受美國(guó)的控制則需要建立自己的獨(dú)立域名系統(tǒng)，但因需要的設(shè)備投入很大，技術(shù)有風(fēng)險(xiǎn)，所以到目前為止很少有國(guó)家敢于貿(mào)然嘗試。

如此優(yōu)良的“先天”條件，讓美國(guó)的云計(jì)算技術(shù)在國(guó)際上獨(dú)領(lǐng)風(fēng)騷，美國(guó)也由此掌握了云計(jì)算話語(yǔ)權(quán)。美國(guó)是云計(jì)算概念和技術(shù)的先行者。早在2006年，互聯(lián)網(wǎng)巨頭谷歌就正式提出了“云”的概念。此后，亞馬遜、微軟、英特爾、IBM等互聯(lián)網(wǎng)巨頭先后跟進(jìn)，隨后這場(chǎng)“云”潮流在短時(shí)間內(nèi)便風(fēng)靡全球。由于云計(jì)算需要很高的技術(shù)門檻，因而全球真正有實(shí)力研發(fā)和提供云計(jì)算服務(wù)的公司除了那些互聯(lián)網(wǎng)巨頭外便寥寥無(wú)幾。依托國(guó)內(nèi)這些網(wǎng)絡(luò)巨頭，美國(guó)掌握了對(duì)全球信息的絕對(duì)控制權(quán)，并大有壟斷和控制云計(jì)算發(fā)展走向的趨勢(shì)。由于云計(jì)算的技術(shù)特點(diǎn)，如果將涉及國(guó)家軍事、金融、政務(wù)等領(lǐng)域的機(jī)密信息放置于由國(guó)外公司提供的云平臺(tái)之上，誰(shuí)也無(wú)法保證不會(huì)發(fā)生下一個(gè)“棱鏡門”事件。

突圍，兩手都要抓

面對(duì)云計(jì)算的“內(nèi)憂”與“外患”，要想突圍成功，必須兩手都要抓，兩手都要硬。

就“內(nèi)憂”而言，云服務(wù)提供商必須確認(rèn)其云基礎(chǔ)設(shè)施是安全的，所有客戶的數(shù)據(jù)與應(yīng)用程序能夠被妥善地保護(hù)，這就如同一場(chǎng)“矛”與“盾”之間的博弈。由于云計(jì)算數(shù)據(jù)集中的特點(diǎn)，除了防入侵、防病毒等傳統(tǒng)的信息安全防護(hù)手段外，更要建立“不是生病了才去醫(yī)院，而是為了更健康（阿里巴巴CTO王堅(jiān)語(yǔ)）”的長(zhǎng)效安全監(jiān)測(cè)機(jī)制。

對(duì)于“外患”來(lái)說(shuō)，隨著跨國(guó)巨頭在云計(jì)算領(lǐng)域咄咄逼人的“圈地運(yùn)動(dòng)”，一場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)就此展開。如果我們不具備自主可控的云計(jì)算能力，那么我們將不得不借助于相關(guān)跨國(guó)巨頭的云計(jì)算中心進(jìn)行存儲(chǔ)和計(jì)算數(shù)據(jù)，這將對(duì)中國(guó)的網(wǎng)絡(luò)安全構(gòu)成嚴(yán)峻挑戰(zhàn)。所幸，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立、云服務(wù)網(wǎng)絡(luò)安全法律法規(guī)加速制定、中央機(jī)關(guān)禁止采購(gòu)win8操作系統(tǒng)、“云計(jì)算實(shí)踐系列指南”發(fā)布、企業(yè)去“IOE”運(yùn)動(dòng)等一系列事件，無(wú)不昭示著中國(guó)對(duì)于“外患”足夠重視。我們有理由相信，一個(gè)自主可控的云計(jì)算平臺(tái)并不遙遠(yuǎn)。endprint