云安全挑战与对策

云计算提高了政府、企业的效率，同时也引入了新的安全挑战。云安全联盟（CSA）最新发布的报告指出了2016年“十二大云安全威胁”，包括：数据泄露、凭证被盗和身份验证如同虚设、界面和应用程序编程接口（API）被黑、系统漏洞利用、账户劫持、恶意内部人士、高级持续性威胁（APT）寄生虫、永久的数据丢失、调查不足、云服务滥用、拒绝服务（DoS）攻击、共享技术共享危险等。面对这些威胁，新的安全对策必须被引入。

一、云时代面临的安全挑战

云时代的安全主要面临以下挑战。首先，在云计算模式下，用户一旦将数据存储在虚拟的数据中心，就已经不是事实上的数据拥有者和数据处理者，云服务提供商拥有甚至超过用户的权限，一旦这些权限失控，就会影响到用户的个人数据隐私。其次，在云服务中，数据传输高度依赖于网络设备，由于网络信息以二进制代码为载体，传输过程中，首先要将各种图文信息通过计算机设备转换为数字代码，然后通过传导线路进行传输，最后要通过计算机设备将数字代码还原成人们可以识别的图文信息，其中任何一个技术环节的缺失都会给用户数据带来安全风险。在数据传输安全方面，除了黑客、病毒等带来的安全风险，硬件系统也有可能造成信息失密，如计算机内的信息可能通过电磁波形式泄漏出去，外部网络通信线路也可能被截获、监听等。

还有，在云计算模式下，一些云服务商可能以用户未知的方式越权访问用户数据，同时由于“云”端的数据处于共享环境，如果缺乏用户访问控制和信息操作权限的有效管理，也会导致用户的数据被非法访问。

最后，人们之所以把自己的钱放到银行里，是因为银行背后有相应的法律监管，但云计算运营厂商数据中心的数据安全却没有获得任何有公信力的第三方在制度上的保证，因此用户不敢把数据放进运营商的数据中心里。而且，有的数据是会被跨国存储和传输的，哪个国家的法律适用于争议尚不明确。随着云安全事件的不断出现，相关的法律法规和服务监管成为需要解决的下一个问题。

二、云安全的解决之道

为了解决这些问题，我们需要在可信访问控制、密文检索与处理、数据存在与可使用性证明、数据隐私保护、虚拟安全等技术上加强研究。从更宏观的视野看，当前计算机和互联网工业面临诸多问题，安全只是其中之一。

由于受到20世纪70年代设计的束缚，今天的互联网在安全及其他许多方面都存在严重缺陷。有专家认为这些缺陷无法通过局部修改来纠正，因此，整体重新规划已经势在必行。探索未来网络架构的努力长期以来受到关注。美国国家科学基金会（NSF）曾经是推动早期互联网发展的主要力量，2005年美国国家科学基金会再次发力，设立了未来互联网网络设计（FIND）和全球网络创新环境（GENI）两项计划。欧洲也不甘寂寞，2008年设立了未来互联网研究实验计划（FIRE）。

在云时代，又涌现了主张创新信息技术构架的革命者，其基本主张是云计算提供创新计算机和互联网的基础技术，一揽子解决信息技术产业发展瓶颈的问题。具体而言，在解决云计算安全的基础上，推动信息技术产业跨上新台阶，可以分两步走：第一，在传统互联网架构下，包含物联网在内的信息服务平台深化和整合；第二，建设大一统互联网，进一步实现信息服务、通信、媒体和娱乐四大平台的整合。

安全隐私是云计算通向成功之路的最大拦路虎，是云时代所面临的最为严峻的挑战。当前云计算还在初始阶段，显示出的安全隐私问题已令人不寒而栗，云安全工作远远不能达到为用户储存高机密数据和高敏感隐私的安全程度；隐患险于明火，随着云的普及，越来越多的潜在漏洞将会一一暴露。

云与安全的关系类似矛与盾。一方面云计算为安全带来了挑战，另一面云计算也为安全带来了机遇。安全即服务（Security as a Service，SeaaS）将借助云的强大能力，成为保护数据隐私的一柄利器，使更多安全防护服务今后可以从云中方便地获取。

云安全和隐私问题，绝不仅是技术问题，还涉及标准化、监管模式、法律法规等诸多方面。针对这一重大课题，信息技术业界高度重视，众志成城，防护一刻不曾松懈，努力一刻不曾停止。尽管如此，要最终解决云安全、云隐私问题，也绝非轻而易举、朝夕之功的事。这需要信息安全学术界、产业界以及政府相关部门的共同努力才能实现。

从另一个角度看，网络安全在本质上无非两类问题：病毒和黑客。前者根源于计算机软硬件分离的基本结构，后者根源于互联网尽力而为、存储转发和永远在线的基本协议。云时代的到来也许使我们有机会重新审视这些行业基础。从某种意义上，致力于被动营造“网络安全”，不如主动开创“安全网络”。

历史的经验和哲学的理论告诉我们，世事总要按照其内在规律向前发展，对立的事物往往在更高层次上达成统一。我们相信，云计算的安全隐私问题也终将在浩浩荡荡的全球云实践浪潮下逐步得以解决。这一过程将伴随着技术的革命性进步，更将伴随着人类对安全隐私等一系列社会伦理道德的新认识和再定位！

2015年12月16日，国家主席习近平出席乌镇第二届世界互联网大会开幕式并发表关于“全面推进互联网与经济社会融合创新发展”主旨演讲。在此演讲中他指出，以互联网为代表的信息技术日新月异，引领了社会生产新变革，创造了人类生活新空间，拓展了国家治理新领域，极大提高了人类认识水平，提高了其认识世界、改造世界的能力。我们的目标，就是要让互联网发展成果惠及13亿多的中国人民，更好造福各国人民。习近平主席在此会上提出的推进全球互联网治理体系变革的四项原则以及构建网络空间命运共同体的五点主张，必将有力推动国际社会共同应对互联网发展不平衡、规则不健全、秩序不合理等问题，促进互联网和经济社会融合发展，增加世界各国人民福祉。