1.云计算信息资源管理模式
1.1 云计算的起源、定义和特征
“云计算”的思想由来已久,早在1961年美国麻省理工学院的计算机专家约翰·麦卡锡(John Mccathy)就曾预言计算机最终将成为一种全球公共资源。2006年,谷歌公司正式提出了“云计算”(Cloud Computing)术语,并向美国华盛顿大学提供40台PC组成一个小型的云,开启了云计算研究和实践的序幕。随后,亚马逊、雅虎、微软、国际商用机器公司等国际知名IT企业相继加入了云计算的研究和推广,云计算迅速从一个技术概念演变成技术革命,开启了一片全新的IT商业“蓝海”。目前,关于云计算比较权威的定义出自美国国家标及技术研究所(NIST),即云计算是一种模型,用户可以方便地通过网络按需访问一个可配置的计算资源(如网络、服务器、存储、应用和服务)的共享池,同时实现管理成本或服务供应商干预的最小化。根据上述定义,云计算将包括以下五大特征:
(1)按需自助服务(on-demand self-service。用户能够直接根据需要获取所需计算、存储或应用能力,而不必和服务提供商进行复杂的交互。
(2)广泛的网络访问(broad network access)。客户端可以通过各种类型的终端平台访问网络,如笔记本电脑、移动电话、PDA等。
(3)资源共享(resource pooling)。计算机资源被集中起来为多客户提供服务,根据客户需要,动态分配或再分配不同的物理和虚拟资源。
(4)可伸缩性(rapid elasticITy)。云计算提供的服务具有自动、快速的拓展和收缩的特点。对客户来说,这种服务是无限的、灵活的和动态的。从而改变传统模式下固定的资源配置模式,最大程度提高资源配置效率。
(5)可度量性(measured service)。可度量性是公共资源服务的基本要求之一。云计算所提供的服务可度量,有明确的价格与收费政策,可自动控制并通过服务报告,实现资源使用的透明化。
1.2 云计算下的国家信息资源管理模式的擅变
作为一种崭新的互联网应用模式,云计算正改变传统的互联网应用模式,从一个以桌面系统为中心的模式向以网络为中心的模式转变。它不仅将改变人们信息生产、交流和开发的方式,更将逐步改变国家的信息控制的方式,进而推动全球权力资源的重构和流动。具体表现为:
云计算环境下的国家信息资源管理的全新特征:
(1)信息内容的丰富化。云计算最大限度地降低了网络信息资源的使用成本和应用门槛,释放了用户进行信息内容创造和传播的潜能,推动了全社会范围内信息资源内容的不断丰富,信息资源管理对象的不断扩展。
(2)信息组织的集聚化。云计算使得原本分散在国家不同地域、系统和平台中的异构信息资源不断向少数云计算服务提供商集聚,为海量信息资源的整合应用和深度开发提供了可能。
(3)信息环境的模糊化。云计算的网络化和虚拟化技术突破了以国家、组织、地域为管理边界的传统模式,用户无需也无法了解信息资源的存储位置和运行环境,云计算下的信息资源管理环境呈现“黑箱化”和“模糊化”的趋势。
(4)信息开发的个性化。云计算“按需提供服务”的特性使得信息开发必须以用户为中心,通过深度挖掘用户需求和特性,提供用户各类信息服务产品,云计算环境下的信息开发更具个性化和互动性。
(5)信息传播的无缝化。云计算以定制和推送为主要特征的信息传播模式,减少了信息传播的中介环节,实现了信息与用户的无缝对接,极大地提高了全社会信息传播的精确性和实时性,充分发挥信息传播的效率和效力。
综上所述,云计算的普及应用将显着提高各国信息生产和交流的能力,全面促进全球信息空间的拓展和交融,由此也将产生全新的信息安全问题。
2.云计算信息安全的发展趋势
2.1 云计算信息安全的正向效应
信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,保证信息的机密性,完整性、可用性等安全属性。云计算技术的出现对信息安全带来的机遇与挑战并存。其中,云计算对信息安全正向作用的效应和机理表现为:
(1)云计算可以提供低成本安全保障
对于个人或中小企业来说,信息安全的水平往往受制于信息安全的投人成本。云计算服务提供商采用专业化的安全策略和产品保障海量用户的信息资源,可以充分发挥规模化优势,大幅度降低用户的安全成本,节约全社会信息安全保障成本。
(2)云计算推动客户端安全管理的标准化
云计算提供商可以根据不同的业务需求和信息资产重要性制定各类信息安全标准化服务,其中也包括了安全管理的标准化。客户端功能的弱化,可以更有针对性的制定实施客户端的安全管理标准,提升客户端安全控制效果。
(3)云计算信息集中存储提升安全监测水平
通过存储在一个或者若干个数据中心,数据中心的管理者可以对数据进行统一管理,深人挖掘信息内容的变异过程、精准定义信息内容倾向性。例如可以极大的提升安全公司对新病毒的响应速度,同时第一时间将补丁或安全策略分发到各个分支节点。
2.2 云计算信息安全的负面效应
任何事物都有正反两个方面,在认识到云计算为信息安全带来正向效应的同时,更应该关注其对信息安全造成的威胁,尤其是由于信息资源的高度集中所带来安全双刃剑效应,具体表现为:
(1)信息安全的风险效应空前放大。由于信息资源、基础设施、服务软件等计算资源整体向云计算服务商集聚,信息安全呈现威胁目标少但风险集聚的趋势,系统性故障将带来信息安全的极化效应,对云计算服务商的安全保障提出更高要求。
(2)信息安全的威胁呈现日趋隐性。云计算使得信息所有权和控制权出现分离,云计算使得人们逐步丧失了对自身信息的控制权和知情权,用户信息机密性等面临云计算的“黑箱效应”,对将法律应用到广泛的信息管理场景中提出了新的挑战。
(3)信息安全的国家控制力被削弱。信息源的普遍化和多样化,弱化了国家对信息和公民个人行为的控制力。此外,跨境的云计算服务商支持信息的跨境流动,支持用户在任意位置使用多元化终端获取应用服务,加大了国家整体的信息安全风险。
(4)行政法律管辖边界受到挑战。云计算中的信息流动是全球性的,而每个国家都拥有自己的法律以及管理要求,云计算服务提供者显然无法做到与所涉及的所有国家的规制相符,由此带来信息安全的价值导向和目标定位的冲突将进一步衍生出新的安全风险。
2.3 云计算信息安全与国家安全
信息是维持社会活动、经济活动和生产活动的重要资源和安全要素,信息时代国家安全的内涵已发生重大变化。正因如此,在十六届四中全会的《关于加强党的执政能力的决议》中,信息安全已经与政治、经济、文化安全并列为四大主题之一,在此层面看,云计算信息安全不仅涉及个人与企业,更将全面拓展到国家安全层面。
(1)云计算信息安全对国家政治安全的影响。
网络时代,国家主权行使范围由陆地、海洋、太空扩展到了网络空间,“信息主权”成为国家主权概念中的一项重要内容,其行使能力是一个国家主权独立完整的重要体现。“信息主权”也是国家主权斗争的重要领域,特别是云计算技术和组织模式的兴起,给“信息主权”的全球博弈和平衡管理方面带来了巨大的机遇和挑战。目前以美国为首的发达国家对云计算平台建设力度不断加大,在云计算人才、技术、标准和信息资源等方面的控制力越来越强,“技术位势差”以及由此产生的“信息位势差”可能进一步加剧。这种发展趋势可能导致新型国际公共政治关系,居于信息低位势国家的政治安全将面临来自云计算信息强国的现实威胁。
(2)云计算信息安全对国家经济安全的影响。
在经济的全球化的背景下,信息流已不再是简单的传播,它引导着资本,左右着市场,决定着交易。云计算环境下,随着海量、离散的信息进人云计算资源共享池中,信息因为聚合而产生巨大的商业价值,当达到一定规模势必成为国家经济安全的重要保障对象。重要的经济信息若出现泄露或失控,将极大地威胁企业和国家经济的正常运作。云计算的发展将带来全球新一轮产业竞争和整合,对我国信息技术及相关产业的安全产生严峻挑战。
(3)云计算信息安全对国家文化安全的影响。
网络信息传播对民众的心理和意志影响正日益重大。正如胡锦涛总书记指出的,“互联网已成为思想文化信息的集散地和社会舆论的放大器,我们要充分认识以互联网为代表的新兴媒体的社会影响力”。随着云计算的发展,进一步模糊了国家、组织、领域及虚拟社区的边界,传统封闭和限制的措施在云环境下难以进行有效的信息流动控制,放大了全球思想的跨界渗透力和影响力,加速了国家间文化的传播和融合。信息强国制定信息的管理规则,操纵信息的流向和分布,可能使思想文化交流失去对等性和交互性,从而形成单向的文化产品的灌输和文化意识渗透,将从深层次影响和改变多元化的思想文化和价值导向格局,处于技术和传播弱势的国家文化安全阵线面临冲击。
3.国外云计算产业布局与信息安全规划
3.1 美国云计算产业布局和信息安全规划
美国是“云计算”技术和应用的主要推动者,其云计算环境下的信息安全是通过产业控制和安全保障等得以实现,并具有显着的扩张性特征。具体来说,首先,在政府、企业和科研组织的共同推动下,美国全力引导和推进云计算产业布局。早在2003年,美国国家科学基金就投资830万美元,支持由七所顶尖院校提出的“网格虚拟化和云计算”项目,其后又陆续将云计算技术运用到美国航空航天局等国家重要机构和尖端行业。2006年,美国亚马逊公司推出了简单存储服务(S3)和弹性计算云(EC2),云计算服务的产业化开始走向成熟。2008年,IBM公司又正式提出“蓝云”计划,推出公有云和私有云的概念,随后发布了基于云端的协作平台。与此同时,IBM等企业开始大举进军海外市场,仅在中国市场就已投资建立了无锡云计算中心、黄河三角洲云计算中心、铁路创新中心等云计算平台。
另一方面,在加强云计算全球布局的同时,美国也在不断提升网络信息资源保障的战略层级。2010年5月29日,奥巴马公布了名为《网络空间政策评估—保障可信和强健的信息和通信基础设施》的报告,强调美国21世纪经济繁荣将依赖于网络空间安全。2011年5月16日,美国司法部、国土安全部等六大部门在白宫发布《网络空间国际战略》。确保云计算信息资源的控制和保障是上述信息安全战略的核心利益,其中甚至指出如果网络空间遭到严重威胁,美国将动用包括军事手段予以反击。
3.2 欧盟国家的云计算产业布局和信息安全规划
在认识到云计算对全球产业发展和信息安全的重大影响,欧盟国家对云计算产业和安全的布局正在加快。保持独立发展和强化安全规范是欧盟国家的主要特征。例如,德国投人巨资保持在4G/ LTE和云计算研究的前沿地位,并于2011年1月在德国马格德堡建立了目前欧洲最大的云计算中心,启动了经由卫星实施云计算的技术方案。
同时,欧洲网络及信息安全局(ENISA)积极制定了“云计算风险评估”规范,该机构发布的《云计算:好处、风险以及信息安全建议》报告中明确指出在公共云的数据安全会面临巨大的挑战,提出并不建议用户将最敏感或者核心的数据置于云端。此外,由于欧盟国家对用户隐私保护的严格标准,欧盟提出了云计算环境下保护信息安全的《数字议程计划》,对进人云资源池中的经济信息规定了删除时间。德国更严格规定:所有人云数据,必须保存在德国境内。为了制约云计算公司的不道德行为和窃取企业商业秘密的做法,欧盟成员国通过立法程序确保企业的经济信息安全。此外,针对美国扩张性的云计算战略,欧盟开始研究封杀欧洲市场上由美国公司提供的云服务,原因是欧盟发现美国可能将其《爱国法案》应用到所有在欧洲的云计算服务。根据公爱国法案》法案,提供云计算服务的美国公司在特定情况下需要将欧洲用户的数据提交给美国相关部门。欧盟已经在讨论禁止美国公司在欧洲提供云计算服务事宜,旨在迫使美国调整其相关法规。
3.3 日、韩、印等国的云计算产业布局
日本的云计算产业发展强调经济效果与社会效果的共赢。2010年8月16日,日本经济产业省发布了《云计算与日本竞争力研究》报告,提出将从完善基础设施建设、改善制度和鼓励创新等三个方面推进云计算发展,积极鼓励在医疗、教育、电力等各个领域全面利用云计算技术,同时强调须在充分考虑个人信息匿名化与信息安全的基础上,完善信息使用与传播的规章制度。
韩国于2009年12月制定了《云计算全面振兴计划》,提出在2014年前成为世界最高水准的云计算强国,计划提出通过政府公共部门先行投资及政企合作等方式,将韩国云计算市场规模扩大到现有水平的四倍,并要将在世界市场的占有率提高到10%。
印度已将云计算产业列为其未来五年重要的发展战略之一。印度政府于2010年3月宣布,将打造全球首个向市民提供使用云计算技术的电子政府服务系统。此外,印度政府积极通过“政府云计算论坛”来推进云计算产业的发展。由于印度的基础设施不完备,其云计算市场尚处于发展的初级阶段,但云计算在印度的发展已经呈现了良好的发展态势,个人、家庭用户以中小企业将正成为云计算市场增长的主要动力。但是受安全性、可靠性等因素影响,大多数大型企业在短时间内仍对云计算持保守态度。
综上所述,全球各国围绕云计算发展与安全的规划布局。美国的“扩张型”信息安全战略,强调通过向全世界进行“信息疆域扩张”来保障和维护本国的安全和利益;欧盟的“集聚型”信息安全战略,强调“各成员协调一致,共同保障整体及各成员的信息安全”,日、韩、印等信息技术强国全力培育本国云计算产业,并积极向国外拓展。
4.我国云计算产业发展与信息安全对策
4.1 我国云计算产业的产业发展现况
2008年伊始,我国加快了云计算发展的步伐。国内部分省市和大型企业纷纷投人云计算产业发展。2008年,我国首个“商用云计算中心”落户无锡,2010年北京启动了云计算的“祥云工程”。2010年10月,发改委和工信部研究确定:北京、上海、深圳、杭州、无锡为云计算试点省市,指出发展试点示范工作要与区域产业发展优势相结合,与国家创新型城市建设相结合,与现有数据中心等资源整合利用相结合,立足全国规划布局,推进云计算中心(平台)建设,进一步明确了国家发展云计算的总体思路和战略布局。2010年底,上海发布了《上海推进云计算产业发展行动方案(2010年一2012年)》,确定重点发展六项重大工程,力争三年内实现云产业基地产值50亿元,初步形成有影响力的云计算产业雏形。但是,总体来看国内云计算产业仍主要停留在基础架构平台的建设上,在公共云计算运营方面(包括应用软件部署、按需定价收费模式等)方面处于探索阶段,而围绕云计算安全的国家战略、法律法规、技术标准等方面的研究和实践仍十分匮乏,从长远看将制约我国云计算产业的健康发展。
4.2 我国云计算信息安全的对策初探
当前我国云计算产业发展和普及应用正面临全面布局阶段,为了在新一轮的竞争中占领制高点并保障国家安全,我国云计算安全总体目标应定位为积极参与全球云计算标准、技术和平台的建设,获取云计算产业链各个环节的控制权,培育国内规模化、专业化的信息服务提供商,建立自主可控国家信息安全体系。具体路径包括:
(1)研究和制定国家层面的云计算安全战略,指导各地政府规划和产业发展,制定符合国际通行规则又具有中国特色的云计算信息安全规划,不断建立和完善信息安全风险预警、防范和应急的综合保障体系。
(2)尽快推进云计算信息安全法律规范的建设。一是研究制定国家、商业机构和个人的核心数据云端管理规范,解决云计算模式下的知识产权、用户隐私保护、商业保密信息等一系列法律归位;二是尽快建立云计算服务平台的建设规范、运营服务软件的验收规范,建立云服务资格许可证制度,建立云计算产品技术准人制度;三是对于涉及国家政治、经济、国防、社会公共安全的云计算信息系统的引进和建设,应建立行政审核机制,引导采用自主品牌的产品和技术。
(3)提高技术核心竞争力,支持和培育自主知识产权的云计算关键技术、装备的研发和推广应用。目前由于国外企业对核心技术的垄断,很少有国内企业进行操作系统、芯片以及底层硬件等基础技术的开发,而侧重于云计算的建设和应用。因此要努力把云计算整个产业链上的技术自主性,争取云计算平台的控制权,否则我国的信息安全乃至国家安全就可能长期受制于人。
(4)加强和完善我国云计算信息安全标准体系建设。一是要主动研究梳理国内云计算应用及标准化的需求,解决云计算的规划设计、系统建设、服务运营和质量保障等各个环节的问题;二是标准化工作需要产业链上各方的共同参与,包括政府、行业协会、专家学者、第三方研究机构、云计算相关软硬件和服务提供商,以及最终用户;三是要应积极参与包括国际组织ISO/IEC JTC1 SC38及SC7等的标准化工作,在与国际标准的交流和产业发展的实践中不断修改完善标准,用标准指导产业的有序建设和运行。