仅靠技术远不够,工信部通信发展司

中国IDC产业联盟讯 3月30日下午消息 在今天召开的“2011中国通信行业云计算峰会”上,工业和信息化部通信发展司政策标准处处长谢雨绮表示,发展云计算应该以企业为主体。但在过程中要处理好发展与安全、发展与环境支持的关系。同时,还要做到全面部署和统筹规划,防止出现一哄而上,出现大量重复投资的现象。

5月24日,第四届中国云计算大会在北京召开。十一届全国人大常委会副委员长严隽琪,工业和信息化部副部长刘利华,原信息产业部部长、中国电子学会名誉理事长吴基传,中国电子学会理事长、陕西省常务副省长娄勤俭等出席了大会,并从产业发展标准、政策扶持、政府引导等方面提出了要求,希望优化云产业发展环境。

2003年5月,美国《哈佛商业评论》刊载了尼古拉斯·卡尔的《IT不再重要》一文。他将IT发展与电力发展相比较,认为IT发展将归于云计算模式——就像今天的电厂一样,实现标准化的按需供给和收费。

谢雨绮说道,发展云计算具有非常重大和现实的意义。“第一,云计算将再次改变产业格局;第二,云计算将极大帮助ICT企业实现资源节约;第三,云计算也将会加快国民经济信息化的步伐。”

严隽琪认为,标准是我国云计算产业发展至关重要的问题。解决这个问题,不仅需要国家层面的战略引导,自上而下进行规划推进,大力促进网络、服务、计算等要素的有效整合;也需要企业抓住机遇、创新转型,挖掘国内市场的潜在需求,在新产业链中占据一席之地;更需要在云计算操作系统、服务等关键领域实现突破,官、产、学、研多方合作,打破长期以来我国在高端服务器、基础软件、核心芯片等领域对国外的依赖,实现云计算的创新发展。

时至今日,云计算作为未来信息社会发展的可能趋势,已经成为业界共识。无论在学术界还是在产业界,云计算都是被热烈探讨的话题之一。

但她同时指出,云计算要想实现真正的落地和大规模商用,还需要克服四大难题。“首先是要保证信息和应用的安全,其次是解决超大规模云计算中心自身的能耗问题,第三是解决好信息在跨境流动中的安全可信问题,最后是确定云计算的标准,实现在异构平台下的平滑迁移。” 图片 1

刘利华表示,工信部将进一步加强规划引导、政策扶持和标准制定,加大科研投入和示范推广力度,加强对网络与信息安全的保护,不断优化我国云计算产业发展环境。具体措施是:统筹规划全国云计算基础设施建设和服务发展,支持形成具有区域特色、行业特色的云计算应用;加强关键核心技术研发,创新服务模式,支持超大规模云计算操作系统、核心芯片等基础技术的研发,推动产业化,逐步形成一批满足重点领域需求的安全可控的产品;加强云计算应用示范推广,面向具有迫切应用需求的重点领域,组织实施试点示范工程,以大型云计算平台建设和重要行业试点应用带动产业链上下游协调发展;加强网络基础设施建设,统筹布局新一代移动通信、下一代互联网,加快光纤宽带建设,稳步推进三网融合,全面提高宽带普及率和接入带宽,为云计算发展提供更强大的网络基础支撑;加强标准体系建设,组织开展云计算的标准制定工作,积极参与国际标准化活动,构建云计算标准体系。

但随着探讨的深入,人们逐渐认识到:比特不是电子,业务流程也不是电机和电灯。云计算正在遭遇以往电气时代所从未遇到过的难题——如何保障云计算的安全。

吴基传说,去年全球云计算服务的市场规模已经接近900亿美元,预计到2015年,将达到1768亿美元,而我国目前只占3%的份额。加快我国云计算产业的发展,就要减少概念炒作,防止走简单、重复、浪费的老路;要按相互渗透、融合的思路去发展,防止单打独斗、分割分散地发展;要在应用上下工夫,综合考虑中国消费者的服务共性和特性。他建议,要积极推动云计算发展环境的建设,创造一个有利于云计算产业健康发展的氛围,从国家和政府的层面,加强云计算规划和统筹监管,推进国家的宽带战略,建立和完善云计算服务及安全管理的法律法规。坚持以服务带动产业的发展,以应用牵引技术的创新,优先发展社会化公众云服务。

“云时代”的安全难题

娄勤俭表示,要解决云计算发展中的问题,需要采取“政府引导、市场运作、社会化服务”的方式。政府通过制定中长期和近期的产业发展规划,鼓励引导社会各领域以云计算为基础发展信息化,从资金、技术、人才、土地等方面支持云计算发展,还需要企业通过自主研发,按照用户需求提供服务,高效率、低成本地满足社会和个人对信息的需求。 图片 2

在12月18日由CCF YOCSEF举办的“云计算时代的国家信息安全战略”论坛上,中国科学院软件所研究员、信息安全国家重点实验室主任冯登国指出,信息安全技术的发展,除了其自身体系发展之外,有很多技术是伴随着信息技术的发展而产生的。

在电子通信时代,信息安全的重点是如何实现通信保密,因此当时研究的重点是密码技术。到了个人计算机时代,信息安全的重点则是以计算机为主的安全保障体系建设,也可以称之为“主机安全”。互联网兴起之后,以往的“主机安全”策略难以满足用户需要,人们更加重视对来自网络上的各类风险的防护。而在云计算时代,共享、动态的云计算资源减弱了用户的控制能力,因此给信息安全带来了新的挑战。

冯登国认为,云计算时代的到来,主要给信息安全带来了3方面挑战。

首先是云计算系统的安全防护问题。在云计算模式下,用户数据以共享和动态的方式被保存,这使其安全性面临巨大风险——如果服务提供商对数据有访问权,则可能随意处置用户的数据,甚至可能产生倒卖行为,造成用户数据权利的损失。而对于这类行为,用户往往难于追查和取证。

“云服务商的动态虚拟化管理及多租户共享模式,缺乏清晰的安全边界,从而容易引发运行环境的安全问题。”冯登国说。

其次,云计算还将对现有安全体系产生冲击。云计算为用户提供了更强大的计算和存储能力,但云服务商很难识别用户行为的目的,无法区分用户的计算任务是否合法。这些潜在风险是现有安全体系很难应对的。

“基于云的安全攻击无疑将带来安全的噩梦。如果云服务平台被攻击者控制,安全漏洞被利用或云用户身份被盗用,攻击者将可以利用庞大的网络资源、用户身份资源和计算资源,组织DDOS类型的更大规模攻击。”冯登国说。

冯登国指出,在云计算时代,随着系统规模的扩大和复杂性的提高,外部攻击也将更有效率,从而将传统的安全问题进一步放大,带来更艰巨的挑战。

第三方面的挑战,则来自安全监管问题。在云计算时代如何对信息内容进行监管和引导,是关系到社会稳定和国家安全的关键问题。现有的监管与预警体系主要针对传统的Web等开放式应用,而云计算则给监管体系的建立带来新的问题,所需工作量也更大。

安全已成发展瓶颈

上述的信息安全问题,显然在一定程度上制约了云计算的发展和普及。而就中国而言,这一制约更为明显。

在今年5月举行的第二届中国云计算大会上,埃森哲与中国电子学会共同发布了一份名为《中国云计算发展的务实之路》的报告。报告指出,安全问题是全球对云计算最大的质疑。而这种担忧在中国尤为突出,“以至于首席信息官们如履薄冰,特别是面对公有云服务时”。

报告显示,有59%的中国受访者表示“十分担心”云中数据的安全性、私密性和机密性,高于美国的50%以及中国以外其他国家的42%。相比其他所有国家,更高比例的中国受访者认为其所在企业和机构拥有不得外泄的敏感数据。中国高管尤其担心数据遭黑客盗窃,或是意外泄露给同一云供应商的其他用户或本企业的非授权员工。

“我本人不看好商业公有云计算。管理层最关注的就是数据的安全问题。商业机密如果存放在和其他人共用的公有云里,数据安全得不到保证,一旦泄露给竞争对手,那结果会很可怕。除非解决了相应的法律、法规和SAL协议这些商业环境,同时对供应商定期评估、检测和审核。”新奥集团信息中心经理肖鹏如此阐释自己对云计算的态度。

而由于对云服务可靠性和数据敏感性的担心,中国企业不是特别信任国外云供应商或新兴企业,不愿将数据托付给他们。报告显示,在数据保存在中国境内的前提下,也仅有不足1/2的受访者表示会选择国外供应商。而如果供应商未在中国设立数据中心,该比例则跌至20%以下。

神华国华电力公司技术中心总经理助理丁涛表示,目前国内厂商即使因技术壁垒难以与全球性大企业抗衡,也不愿选择国外的云提供商。他坚信中国本地的云供应商能够为当地客户提供更好的服务。他认为国内云计算市场尚不成熟,政府和企业应继续制定相关技术标准,而这需要政府部门、研究机构、供应商、集成商和咨询公司等各方面的共同努力。

由此可见,待解的安全问题是影响云计算在中国落地的重要因素。该份报告显示,更多中国企业的IT经理人希望政府积极参与标准的制定和产业的规范,让云计算在技术和法律方面更加安全,从而在中国得到广泛应用。

如何突破安全“桎梏”

那么,在云计算发展过程中,应如何突破安全的“桎梏”呢?

冯登国认为,应该从应用基础平台、关键技术、标准规范、监督管理等多方面进行变革。

在他看来,云计算既带来了信息安全的挑战,同时也促进了信息安全的变革。这种变革主要体现在3个方面,即技术理念的变革、产业发展的变革和安全战略的变革。

冯登国表示,技术理念的变革,主要指的是平衡多方的安全需求。

“用户有安全需求,云服务商也有安全需求,二者之间有时是矛盾的,如何在数据安全和隐私保护两方面取得平衡?这就需要我们从技术理念上进行变革。”冯登国说。

而产业发展的变革,则指的是信息安全由产品研发向服务化进行转变。在冯登国看来,应积极推动信息安全产品和技术转型,从产品研发转向基础设施、服务的研究,从而通过标准化服务解决用户所面临的各种各样的安全问题。

监督管理的变革,指的是市场监管引导的重点发生了转移。比如过去更重视骨干网络基础设施的安全保障工作,而在云计算时代,则将更加重视对网络空间大规模攻击的防范,新建立的基础设施也要采取相应的技术保障手段。

冯登国表示,虽然云计算推进了信息安全的变革,但这种变革并非意味着对原有技术体系的颠覆。

“比如说传统的权限管理和身份认证技术,随着云计算的发展,这些技术也要发展和拓展功能,从而增强安全保障的能力和水平。”冯登国说。

在工业和信息化部电信研究院通信标准所互联网中心主任何宝宏看来,除了在信息安全的技术理念、产业和安全战略方面进行变革,还应该从法律层面、行政层面及行业自律的层面,对云计算的安全进行监管。

何宝宏认为,应进一步健全隐私保护、数据安全的相关法律;政府可以从政策层面对云计算进行界定,并通过通信质量、安全等测试,对云服务提供商进行资格认证;此外,还可以借助行业协会的力量,在商业层面和市场竞争的层面采取一些有约束性的举措,从而维护行业的正常秩序。

赛门铁克首席信息安全解决方案顾问林育民此前在接受媒体采访时也表示,云计算的安全问题不仅仅是技术问题,还与行业标准、政策法规以及市场成熟度有很大关系。

“如果由于资料外泄给用户带来了损失,客户首先会通过法律手段追究云计算运营方的责任。同时也会有一些政策法规、审计方面的要求。”林育民说。

林育民表示,随着云计算慢慢普及和标准化,会形成良性的市场竞争机制,由若干运营商共同提供云服务。如果某一家运营商所提供的云服务性能不佳、稳定性不强,用户将转而购买其他运营商的服务。在这种情况下,安全问题与云计算运营方的关系密切,安全问题不解决,很可能就运营不下去,因此运营商会非常重视安全问题,进而推动和催进云服务稳定性的提高及云计算安全难题的解决。(原诗萌)

来源:《科学时报》

本文由正版香港马报免费资料发布于公司场景,转载请注明出处:仅靠技术远不够,工信部通信发展司

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。