人工智能

云安全:管控最重要 标准难出台

作者:邱江勇来源:中国电子报发布时间:2009-07-31 15:42我要评论

 
“对于安全,云计算是一场噩梦!”在不久前召开的RSA大会(RSA2009Confer-ence)上发表主题演讲时,思科董事会主席兼首席执行官约翰·钱伯斯语惊四座。


 


话音刚落,亚马逊的“云计算门”便为这一悲观论调加了重重的注脚。从美国当地时间7月19日开始,亚马逊包括EC2在内的6项云计算服务发生故障,出现数据包丢失现象。而EC2分别于2008年和2007年发生过大范围故障。


但是三天后,7月22日,全球500强之一的中国中化集团公司(以下简称“中化”)却在北京高调宣布,IBM为其成功打造了企业云计算平台。据有关方面介绍,这不仅是中国第一家,也是世界第一家企业云计算平台。中化信息技术部总经理彭劲松称:“企业云计算平台更加强了中化核心信息的安全性。”


安全还是不安全?对云计算而言,这的确是一个问题。


 


云安全没有终点


 


IDC中国企业级系统研究部研究经理周震刚在接受《中国电子报》记者采访时曾表示,数据的安全性对于大多数企业用户来说是压倒一切的指标。即使云计算平台性能再好,价钱再便宜,如果安全性无法得到保障,也会被用户直接否决掉。


IBM大中华区云计算中心项目总监朱近之女士认为,企业对云安全问题谨慎考虑是一种正常的行为,无可厚非,“特别是当这个问题发生在企业边界之外的时候”。


其实,当天参加中化企业云计算平台落成仪式的许多业内记者都明白,企业云就是业界常说的“私有云”,它是居于企业防火墙以里的一种更加安全稳定的云计算环境。


显然,中化并未完全打消对于云计算安全性的顾虑。对此,彭劲松也不讳言。他承认,“安全性确确实实是我们前期考察的重点”,而且贯穿于整个项目。


然而,在舆论声中,云安全问题是否被夸大了?起码在世纪互联副总裁蒋健平看来确实如此。他认为,用户需要现实地比较现有的基础设施服务与云计算服务提供商所提供的安全服务。云计算服务在对新安全技术的采用和部署速度上,以及自身所具有的安全特性上,均比用户原有的基础设施服务更具优势。


“在现有的IT应用环境下,安全方面需要投入的费用和应用复杂性成倍增长,目前国内大部分企业几乎都无力保证自己的信息安全。因此,他们恐怕也不可能比云计算服务商做得更好。”蒋健平说。


朱近之则表示,大家对云安全心存疑虑有一部分原因是对云的分类还不是很清楚。公共云依赖第三方厂商提供服务,而对于重要数据不愿意放在防火墙以外的企业,可以打造自己的私有云。她认为:“当公共云和私有云并存,追求安全性的企业会倾向于建立私有云,而追求性价比的用户则会倾向于使用公共云。”


鉴于云计算安全结构可以分为物理、传输、应用三个层面,周震刚表示,保障云计算的切实安全可靠也需要从这三个层面同时入手。首先是物理层面,对云计算数据中心的监控、出入人员授权等都要进行严格的管理;而在传输层面,要保障用户通过互联网接入云计算中心后进行数据交互的安全,通过对数据加密保障数据在传输中的安全;最后是对于云计算应用和数据在服务器端的安全性管理,要保障各个应用的访问独立且互不影响。


即便如此,云安全只有起点没有终点,因为安全威胁是动态变化的,相应的,安全技术亦永远处于不断前进之中。再好的技术也需要完善的流程加以管控,从而保证其正常发挥作用。朱近之认为,“这一点在安全领域尤其重要”。


 


云安全也是一种服务


 


那么是否能够利用云计算的方式促进云安全的发展,甚至将云安全也作为一种云计算服务呢?


显然,这是个有趣的话题。不过,至少中化认为这种做法是可行的。彭劲松的一句“企业云计算平台更加强了中化核心信息的安全性”,曾令不少记者印象深刻。


从理论上讲,云计算的强大数据运算与同步调度能力,可以极大地提升安全公司对新威胁的响应速度。金山毒霸互联网安全研发中心产品经理韩正奇认为,响应时间快了对用户来说也是一种服务:可以第一时间将补丁或安全策略分发到各个分支节点。


瑞星副总裁卢青则称,随着云安全技术的不断发展,用户的客户端防御系统将变得更加智能化、个性化;客户端的安全功能协作将深入不同类的上网设备。“云安全改变了反病毒行业。”卢青说。


朱近之透露,典型的云计算安全服务包括:远程数据保护、云计算灾备、远程安全漏洞扫描等,“这是云计算的一个很大的市场”。


据她介绍,狭义的云安全性包括数据的私密性,而广义的云安全性包括数据可靠性、可用性及持久性。为了实现安全,用户不仅需要投入大量的资金用于购买相应的软硬件和解决方案,更需要长时间的团队建设。朱近之认为,不是每个客户都是云安全专家,而传统的安全提供商一般只提供解决方案,这也就给了专业的云安全提供商一个很好的发展契机。“云计算从出现伊始就是促进互联网安全发展的。”蒋建平旗帜鲜明地表示。他告诉记者,云计算的基本理念是,从由多个计算机组成的巨大资源池中获取计算能力、存储空间等,云计算服务提供者特别是基础设施服务提供者一般都为规模比较大的服务提供商,可以让众多的中小客户共享他们在信息安全方面的专业化经验。数据中心的管理者可以对存储在一个或者若干个数据中心的数据进行统一管理,负责资源的分配、负载的均衡、软件的部署、安全的控制,并能够实施更可靠的安全实时监测,同时,还可以降低使用者成本。


蒋建平认为,从这个角度说,既可以用云计算来促进云安全的发展,也可以将云安全作为一种云计算服务。


 


  云安全标准难产


 


业内对“云安全”的技术争论,很大一部分集中在标准的制定上。虽然每个云服务供应商都部署了安全措施保护存储在其服务器上的数据,但目前云安全标准繁杂,并且仍然没有公认的云安全标准。在这种状况下,最大的受害者可能是IT企业。


企业应用咨询公司的首席分析师认为,在针对云计算体系架构的安全模式和标准出台以前,多数可能面临的风险和损失就直接落在了IT企业的肩上,而不是由云计算服务供应商来承担。


然而,不少业内人士并不赞成现在就建立云计算标准,认为这样反而会限制云计算服务发展的多样化,可能无法使用户受益。蒋建平就是其中一位。他的观点是:“云计算还处在发展的初期,并且云计算服务涉及IT基础设施、平台、应用多个方面,涉及了太多的技术、服务接口、商业模式、存取方式等,目前很难制定一个统一的标准。”


蒋建平以互联网为例说:“除了技术上大家共同遵循的RFC(请求注解)开放标准以外,在服务上则是百花齐放。”他表示,与标准相比,云计算的开放性和建立SLA(服务等级协议)显得更为迫切。据其介绍,为此,世纪互联在推出的弹性计算、云备份、云存储等几个云计算服务中正逐渐引入SLA,并为开发者按需存取计算和存储资源提供开放的API(应用程序编程接口)。


韩正奇认为,由于受到很多因素的制约,短时间内不会有一个统一的云安全标准。如果说未来有可能由谁来制定这个标准,那么制定者的云安全技术一定居于行业领先地位。他强调,技术是否在行业内领先由用户说了算,“如果用户用了你的‘云安全’电脑一年都没有中过病毒,那你的云安全就成功了一半。”


朱近之指出,安全标准的制定需要结合行业技术标准和国家法律法规,一方面需要涵盖技术规范,另一方面需要规范运维流程。一个主要的原则是应采用开放的框架,避免局限于少数厂商的专有技术。然而,当前一个较为突出的问题是,对云计算服务提供商的安全能力公众并没有一个评估的办法,无法进行量化考核,因而只能依赖于对品牌的信任。


 


相关链接


 


  三“朵”云


 


目前,业界将云计算按照运营模式分为三种:公共云、私有云和混合云。


公共云是通过云计算提供商自己的基础架构直接向用户提供服务,用户通过互联网访问服务,但并不拥有云计算资源。


私有云是在企业内部搭建的云计算环境,面向内部用户或者外部客户提供云计算服务。企业拥有云计算环境的自主权,并可基于自己的需求改进服务,进行自主创新。


混合云是企业既有自己的云计算环境,同时也使用外部公共云提供的服务。


提供云计算解决方案的厂商大约分为三个层面:SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础架构即服务)。


 


观点


 IBM大中华区云计算中心项目总监朱近之:


 两种力量推动云安全市场增长


 


云安全市场增长的推动力主要有两方面,一方面是云计算本身的发展,当云计算中心的用户越来越多时,相应的安全需求也会越来越多,这样会产生一系列针对“云”中数据安全性的服务和产品。另一个推动力是企业针对已有数据安全的投入。这部分数据仍然位于企业自己的数据中心内,但是以云计算形式提供的安全服务的使用可能更方便,成本更低。


为了防止云计算平台供应商“偷窥”客户的数据和程序,可以采取分级控制和流程化管理的方法。银行是一个很好的例子,银行虽然储存着所有客户银行卡的密码,但是即使是银行内部员工,也无法获取客户的密码信息;同时,银行系统内也有一系列流程防止出现“内鬼”。对于IBM的云计算方案来说也是这样,云计算的运维体系至少有两级,一级是普通的运维人员,他们负责日常的运维工作,但是无法登录物理主机,也无法进入受控的机房,接触不到用户数据;具备核心权限的人员则受到运维流程的严格控制,这一点与现有IDC(互联网数据中心)的运作模式大体相同。


在技术层面我们有各种各样的方案,包括计算安全、网络安全、存储安全,每种方案都涉及用户认证、权限控制、访问审计、攻击防护等一系列措施。这些方案的有机组合能够形成一套满足用户特定需求的云计算安全方案。但是再好的技术也需要完善的流程加以管控,以保证其正常发挥作用。


 


瑞星副总裁卢青:


  云安全系统改变反病毒模式


 


我们将继续坚持“云安全”的策略,在核心技术不断提高的同时,推进云安全系统向更高水平迈进。未来的云安全系统将为每一个电脑用户提供个性化的可疑文件识别、安全检查等服务。有了云安全系统,我们的反病毒工程师的工作发生了很大变化,真正需要手工分析的病毒变得寥寥无几,大多数工程师都在分析云安全系统里的病毒发展趋势、挂马网站行为等,实现了从“分析单个病毒”到“分析病毒群的趋势、特征”的巨大转变。


在云安全系统的支持下,未来将出现所有功能都运行在服务器端的杀毒软件,用户电脑上只需安装几百字节大小的客户端。查杀、升级、监控等所有功能都通过互联网实时提供,使杀毒软件真正实现体积虽小却查毒能力强大的目标。


随着云安全技术的发展,未来的杀毒软件将可以预知用户遇到的安全威胁,事先将病毒码、病毒的行为特征等加入服务器中,不会再有杀毒软件杀不掉、认不出的病毒,从而使用户得到真正的安全,摆脱“中毒”的困扰。


未来我们甚至可以针对每个用户制作不同的病毒库,制定不同的主动防御策略,提供个性化的安全威胁预警信息。客户端的安全功能协作将深入不同类型的上网设备,如手机、上网本,甚至“嵌入”智能冰箱和智能电视机中。


 


世纪互联副总裁蒋建平:


信息安全问题不只存在于“云”中


 


云计算技术和方案提供商应该更多关注私有云,它给传统IT市场提供了创新的机会;作为服务提供商和用户,会更加关注公有云的发展。我们认为,不同的客户需求导致不同形态的服务出现。世纪互联的云计算服务体系既包括提供计算能力租用的云计算服务,也包括提供存储能力租用的云存储服务,以及保证数据安全的云备份服务,这些都是公有云服务。


任何云计算服务模式下的信息安全问题也同样会出现在其他地方。以服务器租用为例,客户将大量的数据(其中包括许多机密重要的数据)存储在服务器提供商处,必然对数据的安全性产生疑虑。所以信息安全问题并不是只存在于“云”中。


在原有的数据中心,用户数据由具有垄断性质的运营商存储,用户相对被动、弱势,而且其数据存储的具体位置、相关的网络条件、机房设施、硬件配置、带宽分布等信息很容易被他人获取。但下一代数据中心具有即时开通、按需使用、不受地点限制、灵活简便等优势,可以最大限度地保证用户数据的自主性、完整性与安全性。


 


金山毒霸互联网安全研发中心产品经理韩正奇:


缩短响应时间也是一种“云服务”


 


云计算的基础设施是服务器,假设你处理样本量每天都是固定的,如果你只有一台服务器处理这些样本,响应时间可能需要一个月,但是如果有100台服务器处理这些样本,响应时间可能只需要一天。在资金有限的情况下,如果在100台服务器上利用算法优化的方法,响应时间可能会缩短到半天,算法优化就用到了云计算。通过无限制增加服务器提高响应速度是不现实的事情。云安全后台的核心处理一定会用到云计算,响应时间快了对用户来说也是一种服务。对我们而言,云安全的核心是处理速度和响应时间。云安全技术就是为了更好地防御病毒,只有厂家对新样本、新威胁处理及时才能使用户免受威胁。


对于金山软件而言,我们所做的一切都是为了用户,用户的利益是我们首要考虑的问题。作为一家上市企业,我们不会存在“偷窥”客户的数据和程序的问题。我们只在用户允许的情况下,收集潜在的存在威胁的程序,而这些程序都是用户可见的。


 


责任编辑:电子信息产业网
相关链接

首届全球IC企业家大会

12月11日,由工业和信息化部、上海市人民政府指导,中国半导体行业协会、中国电子信息产业发展研究院主办,北京赛迪会展有限公司、中国电子报社、上海市集成电路行业协会承办的“首届全球IC企业家大会暨第十六届中国国际...

2018世界VR产业大会

10月19日,2018世界VR产业大会在南昌盛大开幕。开幕式上,全国政协副主席卢展工宣读国家主席习近平贺信,工业和信息化部部长苗圩,江西省委书记刘奇,江西省委常委、南昌市委书记殷美根分别致辞。

第二届中国虚拟现实创新创业大赛启动...

8月20日,在中国创新创业大赛组委会办公室指导下,由虚拟现实产业联盟、国科创新创业投资有限公司共同举办的第二届中国虚拟现实创新创业大赛启动新闻发布会在北京举行。

2018年上半年家电网购分析报告发布会

8月2日,工业和信息化部赛迪研究院、中国电子报社在北京发布了《2018年上半年家电网购分析报告》(以下简称《家电网购报告》)。报告显示,2018年上半年,我国B2C家电网购市场(含移动终端)规模达2641亿元...

2018制造业“双创”高峰论坛

6月22日,2018制造业“双创”高峰论坛在北京举办。本次论坛由中国电子信息产业发展研究院、中国制造企业双创发展联盟和中国软件行业协会工业互联网分会主办,中国电子报社、北京云道智造科技有限公司和中国船舶工...

2018世界VR产业大会新闻发布会

5月21日,记者从在北京人民大会堂召开的2018世界VR产业大会新闻发布会上获悉,由工业和信息化部、江西省人民政府共同主办,中国电子信息产业发展研究院、江西省工业和信息化委员会、南昌市人民政府、虚拟现实产业...

数字经济前沿论坛-CITE2018第六届中国电...

为贯彻落实党的十九大精神,充分展示新一代信息技术产业最新发展成就,促进产业核心技术突破,加快形成数字经济新动能,引领信息技术产业供给侧改革,工业和信息化部、深圳市人民政府将于2018年4月9日-11日在深圳市共 ...

中国超高清视频(4K)产业发展大会

3月29日,中国超高清视频(4K)产业发展大会在广州市召开。大会由工业和信息化部、国家广播电视总局、广东省人民政府主办,广东省经济和信息化委员会、广东省新闻出版广电局、广东省通信管理局、广州市人民政府、中...

2019CES国际消费电子产品展报道

CES由美国电子消费品制造商协会(简称CEA)主办,CES每年一月在世界著名拉斯维加斯举办,CES是世界上最大、影响最为广泛的消费类电子技术年展,也是全球最大的消费技术产业盛会。...

2019年全国工业和信息化工作会议

今年中央经济工作会议,认真总结了一年来我国经济社会发展取得的成就和经验,深入分析了当前经济形势,全面部署了明年经济工作,提出要推动制造业高质量发展,坚定不移地建设制造强国。中央经济工作会议把推动制造业...

改革开放40年

40年的实践充分证明,党的十一届三中全会以来我们党团结带领全国各族人民开辟的中国特色社会主义道路、理论、制度、文化是完全正确的...

支持民营企业在行动

当前,国际经济复杂多变、新旧动能转换和政策措施落实差距等多种因素叠加,民营企业发展内外交困,“民营经济离场论”、“新公私合营论”等不当言论甚嚣尘上,导致部分民营企业发展缺乏定力和信心。习近平总书记“在...

中关村集成电路设计园开园暨第二届“芯动北京”中关村IC产业论坛

中关村集成电路设计园开园暨第二届“芯动北京”中关村IC产业论坛...

星河亮点副总裁王奥博:5G应用为测试厂商带来新机遇

今年可以认为是5G移动通信的元年、真正商用的元年,因为随着运营商中国移动、中国电信、中国联通扩大5G网络在更多城市的试用,5G各方面的产业成熟度也已经达到了可以...

普天技术副总裁杜涛:开拓物联网市场须在垂直行业二次学习

普天作为通信行业的一个老兵,为2018中国国际信息通信展带来了信息通信与网络安全、物联网、智慧社会等领域的众多自主创新成果。9月26日,在2018中国国际信息通...

第六届中国电子信息博览会开幕式暨数字经济前沿论坛

本次论坛主题是“智领新时代 慧享新生活”,将邀请政府行业主管部门、国内外著名专家学者、企业家发表主题演讲、对话或专题交流,深入探讨深化创新驱动战略、实施“中国制...

友情链接
关于我们 | 联系我们 | 广告服务
电子信息产业网LOGO