发展“云计算”必须高度重视“云安全”!
(2)
中国电子商务协会移动商务专家咨询委副主任王汝林
《接上篇文章(1)》
3、必须尽快启动云计算的标准和法规建设
就世界而言,在云计算环境开发和服务方面的标准才刚刚兴起。不仅一次编写、普遍运行的标准缺失,云计算数据中心的软件生产标准,云服务企业运营的标准也严重缺失,这就导致了一些企业可以打着“善意”的旗号,进行不善意的行为。甚至可以将一个时期,或一个行业的发展信息,趋势信息进行智能分析后,而转供他人。或被重金收买,采取“服务放水”,“捞鱼有价”的方式,秘密出售资源池中的整合经济信息。
部分欧洲国家看到了这个问题的严重性。它们对本国公民个人信息和企业商务信息严加保护,并拒绝了一些云服务商提出的27国统一隐私政策的计划。德国是其中态度最鲜明的国家之一,它坚持实行严厉的国家标准。法国数码经济协会主席奥利维尔·米蒂尔更表示。“对于欧洲国家来说,隐私权的重要性是无价的。”在此情况下,一些跨国IT企业大举进军中国市场,妄图尽快找到战略突破点。他们不仅看到了中国市场的巨大,更看到了中国市场的浮躁。这是我们必须有所警惕的。
当前,我们特别要注重云服务的战略研究和创新研究。应当看到,有的城市,现有的集成计算能力,尚有三方之二闲置。就又盲目发展很多朵云。这就会造成资金和资源的浪费。
还要在加强应用研发的同时,加强理论研发。要有效地界定:云数据的进入、删除及其无法恢复性。确保进入“云”的数据,必须可以彻底有效地去除,并保证该数据已被完全消除,使其无法恢复。并不被转移。
在云资源池中,应确保其客户的保密/敏感数据不能在使用、储存或传输过程中,在没有任何补偿控制的情况下与其它客户数据混合、或被他人获取。其云数据备份和云恢复计划,必须落实到位、以防止数据丢失和意外破坏。
因此,应尽快启动云计算的理论研究和标准研发工作。尽快规划入云信息的分类规范,尽快建立云计算服务平台的建设规范和对运营服务软件的验收规范,防止其预留后门,还应尽快建立入云企业的信息安全管理规范。才能确保云计算得到健康有序的发展。
根据IDC统计数据显示,当前,87.5%的受调查用户认为“安全性问题”是影响其采用云服务的主要问题。特别是鉴于云服务和传统IT服务在法律层面上的考量会有许多不同之处。因此,入云企业应慎重。签订云计算服务合同时尤其要注意合同中关于涉及安全破坏、数据转移、控制转变以及数据访问时自身在法律层面的权利及义务的准确描述和界定。谨慎考量风险。慎重签订合同。防止误入合同预留的文字陷阱中。
除此之外,云服务提供者也必须规避恶意用户对于云服务的滥用风险。为了规避以上风险,云服务提供商必须对云系统进行全面的安全加固,不仅要在云中部署针对性的安全防护产品,更要从系统层面,建立完善的密钥管理、权限管理、云安全认证监测服务等多维安全机制,确保云服务的安全平稳运行。
2011·-1-13
《此文载中国信息界》杂志2011年第1期今日出版