“國資云”方案出臺,能否讓數據更有保障?
點擊: 作者:余鵬鯤 來源:川觀新聞 發布時間:2021-09-07 10:50:18
真實的網絡泄密大部分沒有技術含量
前言
近期,天津市國資委推出《關于加快推進國企上云工作完善國資云體系建設的實施方案》,并在9月3日撤回了該方案,引發了輿論的熱議。該方案爭議點在于,要求天津市各國企今后不再租用公有云資源,逐步將服務和數據轉移到國資系統云平臺,并由國資云公司提供技術支持。
盡管天津市的這一方案剛放出,就立刻撤回了。但這一舉措,無疑會使人思考以行政命令設立市場準入門檻,成立企業提供相關的服務,是否會改變行業競爭的形式,或者改善國有企業的信息安全呢?
01
信息安全的核心在于系統開發隊伍
公有云與自建機房相比具備使用和開發成本低、容易拓展和擴容、體系穩定成熟等許多優點,對中小企業很有吸引力。信息安全公司McAfee的一項調查顯示,大多數組織將部分或全部敏感數據存儲在公有云中,只有16%的組織沒有在云中存儲任何敏感數據。由于管理鏈條長、定制化安全能力弱,公有云的信息安全治理一直飽受詬病和懷疑。
今年8月,央廣網報道了發生在2019年的一次信息泄露:阿里云在未經用戶同意的情況下擅自將用戶留存的注冊信息泄露給第三方合作公司。阿里云表示,該事件系公司一位電銷員工私下獲取客戶聯系方式,并透露給分銷商員工,已對事件嚴肅處理。
該事件中最令人擔心的是,無論是媒體的報導,還是阿里云方面的解釋。這樣的信息泄露似乎并不需要什么技術門檻,也沒有發生想象中緊張刺激的信息攻防。
正因為公有云中管理鏈條較長,且管理權限混亂,如果國有企業嚴重依賴公有云存儲敏感信息,可能會引發嚴重的信息泄露問題。此次天津市國資委的方案中將國企數據資源明確定義為國有資產。從這樣的高度看,國有企業繼續大規模的使用公有云,確實存在著風險,“國資云”的出世擁有相當的合理性。
天津市國資委文件截圖
不過信息安全有自己的特點,并非沾上“國資”就安全了。信息安全企業卡巴斯基曾就云安全,在2019年末發布了一份報告。報告指出:“約90%的云端企業數據泄露是由于客戶員工遭受社交工程攻擊(通俗地說就是被“套磁”或被竊聽)造成的”。因此“國資云”的信息安全性,在很大程度上取決于系統開發隊伍。不幸地是,這恰好正是國有企業的短板和弱點。
由于目前大部分國有企業的信息產品方案構想能力要大大超過其所擁有的開發能力,大部分的信息業務都外包給信息服務公司去解決,甚至層層轉包。從以開發團隊為核心的信息安全觀念來看,這是非常不利的。
紙質辦公的時代,國企員工的涉密等級和職級成正比,進而和泄密代價成正比。而程序的世界里,負責開發的程序員恰恰是最了解程序的構造,一旦有意破壞不僅很難發現,而且追責鏈條極長。
我們可以想象一個場景,某國有企業因云平臺的漏洞發生了信息泄露,假設該企業能知道誰寫了這個漏洞,而且可以證明沒有被他人假冒。如果要想進一步追究相關的責任,還要證明該漏洞系惡意引入,并要分辨是公司行為還是個人行為,以及是否是社交攻擊。這個環節上的每一層級都有充分的動機隱匿可能的事實,現實中要做到這些并不容易。
以蝦米音樂曾經引發爭議的客戶端代碼為例,2018年有網民發現,蝦米MAC客戶端以源代碼形式傳送的網頁前端代碼的注釋中,將活動贈送的VIP會員賬號稱之為窮逼VIP,存儲主鍵更是被用英文稱呼為乞丐VIP。
引發爭議的代碼
這一事件說明,即使強調免費也要提供服務的文化,開發資源和人員穩定性都占優的互聯網行業,也不能保證充分的代碼審查。外部人員參與度更高的“國資云”就會擺脫這些問題?筆者實在難以樂觀。
將一個區域的國有企業資產都放到同一個云上,尤其是這個云的總量還不大時,無疑是放大了開發隊伍引入的風險,因為這樣的舉措放大了利用漏洞的收益,又縮小了引入漏洞的成本。
自建云的優勢在于管理鏈條短、權限清晰,而體制內企業熟悉的條塊分割的管理體系,并不利于信息安全。以天津的“國資云”為例,實際上由“三朵云”組成:業務云、監管云和安全云,三種云成分的安全要求和承載業務并不相同。那么一個疑問就產生了,三種云的開發者存在人員交流么?或者是否干脆就是一個開發團隊?
“國資云”依然存在平臺開發部門與業務開發部門關系不清的問題
如果是的話,如何嚴格保證一個人可以同時寫出符合兩種甚至更多安全需求的代碼呢?如何保證三種云成分依托的資源不出現混交呢?
02
“國資云”應大區化管理并重視立法
前面說到“國資云”或類似的云平臺有存在的合理性,但要顯著提升國有企業信息資產的安全性,仍然需要組建可控的系統開發和審查的隊伍,并縮小平臺開發部門與業務開發部門的認知差距。
基于這樣的認知,“國資云”顯然不宜一地一策,甚至一地一公司一平臺。“國資云”與公有云最大的區別在于服務國有企業安全性高,而不在于地點不同,同時和郵政、電力事業等也不能簡單類比。
目前重慶、四川、浙江、蘇州、深圳等省市都開始嘗試建設國資云項目,這些項目在云的層面區別不大,主要還是具體的業務的不同,這么多“國資云”確實有重復建設之嫌。是否“國資云”落地可以統一安排實現全國一盤棋,或者像電網一樣,按區域集中提供服務呢?
以騰訊云為例,作為中國云服務的前三強,騰訊云只在廣州、上海、南京、北京、成都、重慶和香港等地域重點部署,就實現了對一般中國用戶云服務器的全覆蓋。“國資云”的用戶更少,由業務造成的服務器壓力也更小,如果每個省甚至每個市都搞一套自己的云平臺,無疑是不經濟的。
騰訊云面向普通用戶的機房區域選擇
從公布方案到撤回,僅僅只隔了幾天,實現“國資云”的障礙顯然不只是技術,市場對“國資云”的存在也提出了質疑和挑戰。目前所有的質疑都可歸納為兩點,一是合規性問題,二是成本問題。其中后者被反復強調,而前者盡管不受重視,實則關系到“國資云”的成敗。
眾所周知,公有云存在著種種安全隱患,這些隱患在市場狀態下存在,與權威行政力量宣布存在,其意義有著根本的不同。“國資云”的排他性意味著行政力量肯定公有云是不符合國有企業安全標準的。人們不禁會想,難道這樣的云就一定符合私人企業的安全標準么?
如果今后“國資云”也面向大眾提供服務,這等于憑空增加了“國資云”的商譽,制造了不對等的競爭。退一步說,這也給了其他國家和組織拒絕考慮使用中國公有云的借口,對中國云服務走出去是不利的。
此外“國資云”提倡數據挖掘,既然國企數據資源屬于國有資產,那么就不是所有部門都有開發這種資產的權利。目前為止,還沒有相關規范說明誰有資格組織挖掘整個地區跨行業的所有國有企業的數據挖掘。更何況部分數據的挖掘工作還可能侵犯個人隱私,甚至涉及國家安全。
前文也說到,大量體制內的服務、系統、軟件是由私人企業開發的,其中還有不可忽視的部分最終是由外包的第三方開發的,這其中就存在著安全風險。中國軟件評測中心發布的2014年中國政府網站績效評估結果顯示,在評估范圍內的900余家大型政府網站中,超過93%存在各種危險等級的安全漏洞。
然而這種潛在的安全風險并沒有轉化為大規模的安全問題,依靠的就是法律。黑客敢于黑掉漏洞較少的企業網站,但不敢攻擊漏洞更多的政府網站。事實說明,依法治理具有突出的成本優勢,合規性問題和成本問題最終交匯到一起:國有企業的數據安全問題真的必須要靠自建云平臺解決了么?
通過立法規定國有企業的云服務提供商資質不會造成采購云服務的成本大幅提高,數據泄露產生的損失也不難估計,但目前各地的“國資云”建設方案中,沒有這些經濟賬。
總而言之,建設“國資云”無疑是一件好事情,同時也存在很多的問題。如何讓良好的愿望變成現實,關鍵就在于建成的“國資云”要集約安全,要揚長避短。
來源|科工力量
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
建言點贊
圖片新聞
