英国标准协会近日经过多轮评议,最终宣布阿里云计算有限公司获得全球首张云安全国际认证金牌,这也是BSI向全球云服务商颁发的首张金牌。
这则消息有几个看点。一是认证的权威性。英国标准协会是一家全球领先的商业标准服务机构,成立于1901年,并于1929年获得英国皇家特许,成为世界上第一个国家标准机构。同时,作为国际标准化组织的创始成员之一,BSI创立了全球最值得信赖和得到广泛认可的ISO系列管理体系。而与BSI联合推出云安全国际认证的云安全联盟,是一家非盈利性组织,遵循BSI标准,获得业界的广泛认可。
二是金牌的独特性。除阿里云获金牌之外,仅有惠普等两家国外企业获得了云安全国际认证的银牌。
三是安全的可信度。在互联网技术领域,由于起步较晚等原因,中国长期落后于美国等发达国家。对于还处在初级发展阶段的云计算来说,阿里云似乎把握住了弯道超车的机会,赢得先机。阿里巴巴集团副总裁兼副首席技术官表示,金牌的真正价值在于让更多的用户信任并敢于尝试云计算服务。这里的逻辑似乎是通过BSI认证的,就是值得用户信任的。
四是业务的重要性。在中国,阿里云不但为几十万中小网站提供高弹性、低成本的云计算服务,同时也为电商、金融、政府用户提供强大、稳定、安全的云计算服务保障。
基于以上,笔者认为,阿里云的成绩可喜可贺。但我们不妨从成立国家安全委员会,国家安全模式升级的视角重新思考这个问题,审视其对国家安全的影响,提出几点疑问。其一,云安全认证谁说了算?阿里云的业务不仅涵盖中国几十万中小网站,而且涉及金融、能源,以及政府用户等关系国计民生的核心业务网络。其能否提供强大、稳定、安全的云计算服务保障?通过英国标准机构认证是好事,但千万不能由其说了就算。
其二,安全标准意味着什么?安全标准的推广绝对不是单纯做好事,隐含在其后的商业利益不言而喻。采用某一标准,不仅要将自己的安全机制和盘托出,而且要使用符合其标准的配套产品,标准背后跟随的是一个完整的利益链。
其三,安全“捧杀”会不会有?且不说阿里集团能否触类旁通,将网络营销的辉煌移植到网络安全,单就美国及其盟友对中兴、华为产品的封杀来讲,如果英国真正允许阿里云在其政府、金融、能源领域开展业务,那才算是真正授予金牌。记得有位资深的密码学家说过一句话,“在网络和信息安全上,最可怕的是,事实上已经不安全了,可你还不知道”。但愿刚刚起步的中国云产业,不要陷入被国际利益集团“捧杀”的危险境地。