雲計算模式下信息安全風險管控與法規製定探討

    技術應用

    作者：李洋 張陽 陶銳

    摘 要 雲計算模式下的信息風險不但是技術問題，更是社會性綜合的問題的表現形式之一。在雲計算應用越來越廣的現代信息體係下，信息安全風險的評估是極為必要的，並且對製度層麵的構建，顯得更為重要。因此，通過文獻資料法與邏輯分析法進行雲計算背景下的信息安全風險評估的解析，並進行風險管控與法規製定相關問題的研究，以期為雲安全問題的研究提供一定的參與。

    關鍵詞 雲計算；信息；安全風險；法規

    中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）10-0160-02

    對於大多數互聯網用戶來說，“雲計算”的認知可以說並不陌生。如果說個人計算機變革的出現是IT界革命的程碑式的起點，那互聯網的出現則被人們肯定為第二技術革命。然而，“雲計算”的出現給IT界帶來第三次革命性的技術變革，也給整個社會帶來前所未有的衝擊，尤其是信息的相關產業表現更為明顯。正如現實生活中我們所見到的，互聯網的應用在我國已經進行快行化時期，對互聯網的依賴可以說貫穿於社會中各個行業。“雲計算”作為21世紀的新興信息技術，各類行業已經關注並且嚐試“雲計算”的應用，並且，獲得巨大的經濟效應和社會效應，然而，在“雲計算”模式下信息安全問題也成為困擾著“雲計算”健康發展的重要因素。如何來看待雲計算現象中的信息安全問題以及如何應對雲計算應用過程中所帶來的一係列的問題，尤其是雲計算模式下的信息安全問題。

    1 雲計算模式下安全管控的社會因素解析

    信息科技給社會帶來的影響一直是持續的，並且與社會的需求緊密相關的。從某種意義上來說，信息科技影響著或者說左右著社會的發展，進而改變著人們的生活方式與思維觀念。信息技術所體現的特征常常是因社會個體需求，但是，這種特征也同時滿足大多數個體的需求，才能獲得更大程度的發展。雲計算則可以說信息技術革命重要產物，可以說使人類進入信息技術的新時代。

    眾所周知，雲計算的運行模式分為公共雲、私有雲、社區雲與混和雲四種。從應用形式來看，雲計算的個性化服務的滿足表現更為突出，通過私有雲的運行，借助雲服務商所提供的相關軟件來進行梳理與整合個性化用戶所提供的數據，其梳理數據原則與個體的興趣、愛好、思想或者專業、學科等不同出發點進行，通過雲計算服務商的軟件管理，使得用戶的大量信息得到整合，以方便更多的不同需求的用戶能夠獲得更多的相關自己需求的資源。

    從信息存儲的優勢來看，與物理信息存儲的表現相比，雲計算的存儲對數據的整合與應用更大程度上的突破了“物質上的空間概念”實現了強大的數據存儲能力與網絡互動式交換的能力，給信息資源的整合與信息數據資源的構建提供良好的平台。使大量的計算機與個體用戶集中於特定的虛擬化數據中心池，使信息資源的整合程度更高，給信息資源的使用提供更加便捷的交互式使用，提高網絡利用率的同時，減少了多個服務商與運營商的權限的管控所帶來的繁雜的程序，為網絡信息資源的應用與維護成本的減少提供基礎。通過一個中心進行資源的傳遞與獲得，對於資源有限的個體用戶或者小型企事業單位來說，是一種經濟、有效地方式。

    誠然，信息技術的發展是雙向的，給社會帶來效應的同時，必然會帶來一係列的消極影響。其中雲計算也難以擺脫這一規律，當人們關注雲計算技術的優勢給企事業單位和個體用戶所帶來的便利的同時，雲計算也給人們一係列風險的提醒。由於雲計算的“共享”給多個網絡租戶帶來利益的同時，也給租戶埋下了風險的危機。這種社會性成因也是促進技術發展的重要推動力，正如哲學家黑格爾所說，從不完美的事物中見到完美則是進步，而從不完美的事物中尋求到轉向完美的方法也是進步。雲計算作為社會發展過程中，信息技術與社會因素交互的一個動態性因子，對雲安全的認知與關注則成為社會需求的必然選擇。

    2 雲計算現行信息安全風險評估

    對於現代社會，隨著公共空間的擴大，人們的信息通信工具以及交通工具的發達，使得個體信息隱私權在急劇的縮減，以至於部分個體整體性暴露在公共視野下。雲計算的出現則更加加速了這種風險的存在感，通過雲計算個性化服務可以給不同的終端用戶帶來一係列的實用性個體化服務。然而，這一信息服務提供以個人的需求進行供給，其用戶的身份認證難以做到完全確定其安全性，問題則表現為更加突出。個體用戶通過對雲計算虛擬係統進行需求式要求，以愛好、專業類別、興趣等方向進行相應資源的獲得，服務商則根據個體用戶的具體要求進行一係列資源的調動與供給。這種交互式應用則體現了服務商與用戶二者都可能會出於故意或者過失使得部分關於個人信息的相關資料出現流失，使得個人隱私受到非法的侵犯。

    同時，對於企業來說，大量的商業信息存在於“雲計算”終端，失去了絕對性占有的能力，可能對部分資源與商業機密相關的信息置於可控範圍之外。對監控與管理實施遠程操控有一定的時間空當，容易給其他不良用戶以獲取的空間，一旦出現惡意的破壞行為或者程序相關的問題，企業本身則無法進行直接的管理與幹預。可以說增加了數據管控的難度，從數據隔離、數據存儲分析與數據恢複等方麵，雲計算突破了原有的進出口式的防火牆的管理方式，增加了數據管理與保護難度。

    從技術本身上來講，雲計算的出現並沒有脫離原有的IT界的基本原理，僅僅是一次整合與升華，使原本單一的技術分支，進行統一網絡服務式的處理，使客戶端進行集中的信息處理。然而，從技術風險的角度上來說，所有的安全問題也有集約化的表現存在於這一技術體係中，對於雲計算本身來說，其技術的要求則需要一定的規範的提出，才能使雲計算係統日益應用範圍擴大今天，進行一定風險能力的自我提升。因此，技術標準與安全信息風險評估顯得異常重要。