宁家骏：对云计算与web安全的进一步思考

宁家骏:原国家信息中心总工程师，现任国家信息中心专家委员会副主任、研究员。

我们国家正式把信息安全工作列入了国家重要的热点问题，5月9日温家宝总理召开了常务会议，刚才我们看到了新闻的报道，就这个问题我想谈一下个人的一些看法。

第一，云计算正在走进我们，而且信息安全和我们密切相关。我们国家信息化建设经过了几十年的努力，已经取得了丰硕的成果。我们现在用网银都非常方便，几十年前要在储蓄所存的钱，你都要到那个储蓄所去，不可能像现在网上就可以办理。但是我们也要看到面对国际竞争，我们信息化形势不容乐观。在国家信息化发展测评中，我们国家排名在下滑，有三个指是衡量标准，分别是ID1、EGDI、NRI，我们的排名指数是先上升后下降，我们这个排名下滑的幅度是全球第三，而且现在这个指数实际水平没有达到世界平均水平，电子政务的指数更是这样，2003年74位，2005年57位，2008年65名，2010年72名，去年78名。这些问题都是都是我们很大的挑战。

当今社会，网络空间已经成为陆、海、空、天等武力空间之后，具有国家主权性质的第五个实体空间，已直接影响着国家安全、社会安定、经济繁荣和群众生活，自主可控的网络空间，既具领土、领海、领空等国际疆域的性质，又具有公海、外太空领域等难以确定疆域的作用。

当前信息安全形势变化是国际安全形势变化的表现。第一美国积极调整我们国家战略安全，特别是美国安全战和网络空间国际战，反映了我国政府对国家安全环境的重视和国家安全战略的选择。特别是在进入反恐的后拉登时代之后，更加把网络安全加以重视。所以更加强调经济外交和信息对于美国安全的作用，他们高度重视包括现在云计算中的安全战略，也进行了深入的研究。所以它的总动向，一个是通过对网络空间战略确定，为它的网络争霸，包括提出的互联网上的自由来寻找它的理论依据。同时加快制定网络空间标准和国际法规，为争霸网络空间构建法律基础。

所以美国提出的网络自由和冷战思维作为其战略核心，将我国视为竞争对手的针对意图十分明显。我国作为一个发展中的信息大国，但还不能说是一个信息强国，对网络依赖程度日益增加。

我们也看到，俄罗斯也仍然在不断调整它的安全管理，也把它的经济安全、信息安全作为国家安全的重要位置。同时以欧盟为代表的一些国家，包括北约也在积极介入信息安全。日本更是这样，日益把国家安全防范的对象转向中国，而且现在强化了日本在信息领域的合作。

亚洲地区本身的热点问题也在不断升温，除了朝鲜和韩国的僵持状态之外，特别是最近大家有痛切的感受，菲律宾包括越南，在南海蠢蠢欲动，所以黄岩岛事件僵持了很长的时间。

面对当前复杂的国际形势以及信息安全问题，而云计算和新一代移动通信时代的到来，也给我们提出了新的挑战。当前，互联网正在不断的向移动化发展，用户对互联网无所不在的接入，以及从社会向用户的转入。另外我们也要看到，信息化的发展本身对云计算巨大的需求，我们不是说为了云计算而云计算，可以看一些具体的数字，从美国联邦政府来说，它们的数据攻击也是在增加，电耗也是在增加，所以美国通过集约化建设来降低投资。

所以我们在国家“十二五”规划中把云计算作为重要的任务，也是作为一个信息技术产业革命纳入到中国的发展战略。

但是我们必须看到，新技术的应用延伸出了更加复杂的安全问题，使得国家政府、企业和个人，面临着更为严峻的网络危机。来自国外的安全威胁以及互联网竞争优势不对称态势日益增加，更让我国网络和信息安全问题日益严峻和紧迫。信息安全产业界面临的，将不再仅是日新月异的网络攻击手段，而是更加激烈，更加艰巨。但我国信息安全技术总体水平、产业发展环境以及产业链协作能力在加强。所以我们看到云计算面临着一系列的安全问题，我们说既有云计算所集中化建立的一种设施安全，也有数据的安全和平台的安全，更有应用的安全。所以安全已经成为当前推进云计算必须解决的主要问题之一。

有的时候我们说云计算现在大家喊的很多，但实际上比较冷的情况，很大一个问题就是因为云计算中的安全问题没有得到解决。我们从这里可以看到，WEB的安全、虚拟化的安全是云计算必须要解决的核心问题，它既有原来传统安全问题的延伸，也有我们带来新的问题。比如说位置信息的泄露、身份信息的泄露以及一些其他领域。所以没有安全的云计算将来是一个“晕计算”。

所以安全资源的虚拟化，我们既要有安全的云策略，还要有云安全，使得用户得到的是安全的云计算。所以我们说云计算对我们现有安全的威胁进行了放大，包括特别是我们会议的主题，对WEB的安全威胁进一步放大。

同时还出现了新的安全隐患，正因为这样，我们可以看到云计算是非常热点的问题。传统的信息安全技术将会继续应用在云计算本身体系上，但是不能解决当前云计算的问题。同时怎么样把通过安全作为服务的形式为改善互联网安全作出贡献，这都给我们提出了新的课题。

当然我们必须看到，云安全是当前云计算当中发展的难点问题。因为过去我们的设计往往是针对周边设计，包括通过拒绝外部非授权，但是在虚拟化环境中，虚拟IT很难确定这个物理边界，所以这样的情况，我们在面对所有传述的数据都有潜在被拦截的时候，怎么样来解决问题。

第二点，我们还要正确看待我们国家在新的时期，信息安全面临新的形势。除了国际上形势之外，我们必须看到我们自己信息安全问题，很多的问题还是在我们内部。除了我们说作为一个发展中的一个大国，世界上最大的一个发展中国家，我们的崛起引起了国际社会的关注之外，但是必须看到，在当前我们自身建设发展也由于对于安全重视不够，顶层设计和统一规划不够，也使得我们目前的信息安全存在着自身的问题，这就是刚才为什么在5月9日国务院常务会议中专门提出了要加强我们国家信息安全保障体系的顶层设计和统一规划。

另外我们也看到，在当前我们社会管理新的形势下，也使我们的网络安全面临新的挑战，特别是由于我们发展快，发展不平衡、不协调的问题持续存在，由于改革的深入和发展，我们国家社会结构发生了全方位根本性的变化，而且在新的形势下，人们的思想意识、价值取向、道德观念也在调整。而公民的公平意识、民主意识、权利意识、法制意识在不断增强。所以在这种情况下，也使得网络管理面临着巨大的内部挑战。

 [FS:Page]; 另一方面，我们也必须看到，在我们国家现在建设的信息系统，特别是超大型的信息系统，它的固有特征要求我们必须进一步提升系统安全保障水平，很多基于互联网的应用系统都存在着规模庞大、协议开放、应用逻辑复杂等问题。比如说应用复杂问题就使得漏洞难得控制。而且国内发生了一系列的重大事件也给我们提升重要信息安全系统保障提出了更加严峻的挑战。

我们国家在金融、能源、电力、税务、海关等一系列重大信息系统中，都已经成为国家正常运转不可缺少的一部分，这些系统存在着规模大、技术复杂、涉及人员多，包括各个层级很困难的问题，也使得安全保障非常困难，而真正要使安全保障达到一定的标准，所需要的相当巨大。比如我们的金融信息，我们的金融信息起点高、规模大，对国家经济总量影响巨大，所以这些年来依然要发展安全系统，特别是现在的金融信息化，已经基本实现了数据的大集中，我们很多的系统，包括证券交易都是世界上最大的数据库和数据仓库，而且我们的网民已经成为用户最多的业务系统。

在这种情况下，这种重要信息系统的地位和功能，使得加强它的信息安全保障的水平变成了一个极为关键的任务，不是说可搞可不搞，而是说一定要搞，而且一定要搞好的一个关键问题，如果一旦这样的重要信息发生终止，将会产生巨大的社会问题。比如说社会产生动荡，危及国家的安全。

但就像我前面讲到的，我们必须看到重要信息系统的脆弱性造成了安全保障的困难，大家都知道，现在一些重要的信息都是规模大、技术复杂，环节多造成的薄弱环节也多，而且我们的重要信息都是基于网络，在网络上遭受攻击的可能性远远大于简单的独立系统，而多人介入，多层次协调工作的模式，人为的失误也容易给信息安全带来巨大的危害。而且我们现在建设基础设施，相互之间依赖性也容易导致一旦产生灾难，产生难以恢复的结果。

所以总的来说，信息安全非常重要，所以在当前云计算我们一定要提高认识，克服麻痹厌战情绪，进一步强化信息安全保障建设，形成可持续长效管理和运行工作机制。组织落实，人员到位，建立一支政治可靠、忠于职守、技术精湛的专业队伍。

所以我们觉得，在当前我们国家重要信息系统安全保障建设现存的问题。我们要从云服务供应链这个角度来考虑云安全，所以制定要云计算供应链的策略。我们必须看到我们国家信息安全保障一些工作目前还缺少国家层面的产业规划，很多安全保障工作，由于前期工作不到位，对防护范围、能力等缺乏科学合理的分析，比如说一方面在等级保护中，把一些不是特别重要，但一下子把级别定的很高，但是这很难每一个项目都能实现信息安全，另外是基础设施自建比例，极大的增加了国家整体的投资规模，同时也缺少可操作性的管理办法和标准规范。

最后，我再讲一下关于这次会议的主题，关于加强WEB的思考。

我们说WEB安全在云计算时代更加重要，所以WEB业务的发展，一个本身受业务应用的需求，也更加引起了黑客强烈的关注，这点因为WEB是互联网核心，也是将来云计算和移动互联网最佳的载体。近年来发生的WEB安全事件愈演愈烈，这个包括了一系列的问题，包括政务、银行，这些年都发生了大量的WEB安全问题。常见的WEB安全在不断的变化，而且也多样化，而且不断变换着花样，所以对应用产生的影响非常巨大。之所以WEB安全日趋严重，首先是由于互联网上的设计没有考虑到安全，第二是用户对某些东西带有强烈的好奇心，所以发生安全事件往往是由于重视不够发生了大祸。而且WEB的安全常常是因为WEB软件的安全，许多软件特别是传统的软件都是手工做的，作坊式的，这样的软件带来了很大的问题。

所以我们说，在今后的工作中，必须要通过建立完善的认证机制，进一步加强云中数据安全，最根本的要增强安全的重视度，要加快制订相关的管理办法和标准，来提升云计算和云服务的管理，明确各方的责任，要加强对云服务专项工作的监管，同时要开展对云服务技术安全的检查，来加强对云计算中心安全保障工作的风险评估和安全检查，同时更要发展自己创新的云安全的服务和产品，推动具有自主知识产权的云安全产品和服务的产业化发展。加强我们的安全工作，顶层设计和统筹规划至关重要。同时我们要扎实做好基础工作，要认真分析需求，所以立足国情真正把我们安全保障系统搞扎实，这是非常重要的。

在当前，国家要高度重视云计算，大家注意，在前天国家发改委正式颁布“十二五”国家政务信息化建设工作中，明确写出了要坚持安全保障，作为这个规划的一个重要的原则，这里强调了要满足信息化发展实际需要，来坚持自主可控，来着力提升国家网络与信息安全保障，在这个规划中确定了完善国家网络与信息安全设施，在公开版本列出了两大项，第一是网络与信息安全基础设施建设，第二是重要信息系统安全保障设施，这里面明确列出了几项任务，第一是加强互联网出入口管理，第二是加强涉密信息系统安全管理。所以当前要树立好与安全融合的新思路。通过我们不断的努力，要做信息化发展和安全融合的数据平台。

我相信，通过今天主管部门正确的领导，我们认真党中央国务院信息安全保障的方针，通过今天到会的专家和企业家、通过业界共同的努力，一定会把我们国家信息安全保障水平提高到新的阶段，为我国信息化建设做出新的更大的贡献。