全球發(fā)達(dá)國(guó)家云安全發(fā)展摘要美日歐上演云安全“三國(guó)殺”

文/本刊記者 Chulong

伴隨云計(jì)算的大力發(fā)展，美國(guó)、歐洲、日本等發(fā)達(dá)國(guó)家及地區(qū)均加快了各自部署云計(jì)算的步伐，這些發(fā)達(dá)國(guó)家旨在發(fā)揮固有的信息化資源優(yōu)勢(shì)，在云計(jì)算的技術(shù)浪潮中占領(lǐng)信息高地，從而在新一輪的全球競(jìng)爭(zhēng)中占得先機(jī)。與此同時(shí)，云安全和風(fēng)險(xiǎn)問(wèn)題也得到各國(guó)政府的廣泛重視。

美國(guó)：適應(yīng)市場(chǎng)需求，加強(qiáng)云安全規(guī)范

由于云計(jì)算在經(jīng)濟(jì)、敏捷和創(chuàng)新方面的突出特點(diǎn)，受到美國(guó)政府高度重視。早在2009年1月，美國(guó)行政管理和預(yù)算局(OMB)就開(kāi)始關(guān)注云計(jì)算和虛擬化。3月，維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(huì)(CIOC)的首席信息官后即表示將推動(dòng)政府采用云計(jì)算，啟動(dòng)聯(lián)邦云計(jì)算倡議(FCCI)，成立了專門(mén)管理組織，并確定了聯(lián)邦政府云計(jì)算及云安全的發(fā)展目標(biāo)。

聯(lián)邦政府首席信息官委員會(huì)首席信息官維維克·昆德拉上任時(shí)就承認(rèn)，云計(jì)算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯(cuò)過(guò)云計(jì)算的速度和效率。

美國(guó)聯(lián)邦政府在大力推進(jìn)云計(jì)算的同時(shí)，也大力研究和制定云安全策略。昆德拉上任時(shí)就承認(rèn)云計(jì)算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯(cuò)過(guò)云計(jì)算的速度和效率。2009 年5月召開(kāi)的云計(jì)算倡議工業(yè)界峰會(huì)上，美國(guó)產(chǎn)業(yè)界認(rèn)識(shí)到云計(jì)算在法律法規(guī)和政策以及IT安全和隱私方面的挑戰(zhàn)，深入討論了云計(jì)算認(rèn)證認(rèn)可、訪問(wèn)控制和身份管理、數(shù)據(jù)和應(yīng)用安全、可移植性和互操作性以及服務(wù)級(jí)別協(xié)議等。5月的《遠(yuǎn)景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險(xiǎn)，包括政策的變化、動(dòng)態(tài)應(yīng)用的實(shí)施以及動(dòng)態(tài)環(huán)境的安全保障，要求建立一個(gè)項(xiàng)目管理辦公室來(lái)實(shí)施工業(yè)界最佳實(shí)踐和政府項(xiàng)目管理方面的政策。10月美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在《有效安全地使用云計(jì)算范式》的研究報(bào)告中分析了云安全的眾多優(yōu)勢(shì)和挑戰(zhàn)。

2010年2月，美國(guó)啟動(dòng)了政府范圍的云計(jì)算解決方案的安全認(rèn)證認(rèn)可過(guò)程的開(kāi)發(fā)。8月CIOC發(fā)布了《聯(lián)邦部門(mén)和機(jī)構(gòu)使用云計(jì)算的隱私建議》，指出云環(huán)境下隱私風(fēng)險(xiǎn)跟法律法規(guī)、隱私數(shù)據(jù)存儲(chǔ)位置、云服務(wù)商服務(wù)條款和隱私保護(hù)策略有關(guān)，并指出了9類風(fēng)險(xiǎn)，通過(guò)使用相關(guān)標(biāo)準(zhǔn)、簽署隱私保護(hù)的補(bǔ)充合同條款、進(jìn)行隱私門(mén)檻分析和隱私影響評(píng)估、充分考慮相關(guān)的隱私保護(hù)法律，可以有效加強(qiáng)云計(jì)算環(huán)境下的隱私保護(hù)。11月，美國(guó)政府CIO委員會(huì)發(fā)布關(guān)于政府機(jī)構(gòu)采用云計(jì)算的政府文件，闡述了云計(jì)算帶來(lái)的挑戰(zhàn)以及針對(duì)云計(jì)算的安全防護(hù)，要求政府及各機(jī)構(gòu)評(píng)估云計(jì)算相關(guān)的安全風(fēng)險(xiǎn)并與自己的安全需求進(jìn)行比對(duì)分析。同時(shí)指出，由政府授權(quán)機(jī)構(gòu)對(duì)云計(jì)算服務(wù)商進(jìn)行統(tǒng)一的風(fēng)險(xiǎn)評(píng)估和授權(quán)認(rèn)定，可加速云計(jì)算的評(píng)估和采用，并能降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用。12月，在《改革聯(lián)邦信息技術(shù)管理的25點(diǎn)實(shí)施計(jì)劃》中指出安全、互操作性、可移植性是云計(jì)算被接納的主要障礙。

2011年1月，國(guó)土安全部(DHS)給出了《從安全角度看云計(jì)算：聯(lián)邦I(lǐng)T管理者入門(mén)》讀本，指出了聯(lián)邦面臨的16項(xiàng)關(guān)鍵安全挑戰(zhàn)：隱私、司法、調(diào)查與電子發(fā)現(xiàn)、數(shù)據(jù)保留、過(guò)程驗(yàn)證、多租戶、安全評(píng)估、共享風(fēng)險(xiǎn)、人員安全甄選、分布式數(shù)據(jù)中心、物理安全、程序編碼安全、數(shù)據(jù)泄露、未來(lái)的規(guī)章制度、云計(jì)算應(yīng)用、有能力的IT人員挑戰(zhàn)，NIST發(fā)布了《公共云計(jì)算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》。2月份的《聯(lián)邦云計(jì)算戰(zhàn)略》指出在管理云服務(wù)時(shí)要主動(dòng)監(jiān)視和定期評(píng)估，確保一個(gè)安全可信的環(huán)境，并做出了戰(zhàn)略部署，包括推動(dòng)聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目(FedRAMP)、DHS 要每6個(gè)月或按需發(fā)布一個(gè)安全威脅TOP 列表并給出合適的安全控制措施和方法，NIST要發(fā)布一些安全技術(shù)指南。

今年9月，美國(guó)國(guó)防信息系統(tǒng)局(DISA)發(fā)布了新版云安全指南，旨在輔助國(guó)防部(DoD)保護(hù)本國(guó)網(wǎng)絡(luò)免遭黑客攻擊。同以往相比，該指南對(duì)云安全的概念、實(shí)現(xiàn)云安全的步驟均做了更加全面的詮釋。此外，新指南還規(guī)定組織機(jī)構(gòu)及管理者在利用商業(yè)云產(chǎn)品時(shí)應(yīng)承擔(dān)的責(zé)任。該指南的發(fā)布印證了國(guó)防部增加采用商業(yè)云產(chǎn)品的事實(shí)。

歐洲：緊跟美國(guó)，加速部署云安全

云安全為云計(jì)算保駕護(hù)航

近年來(lái)，歐洲經(jīng)濟(jì)受全球經(jīng)濟(jì)環(huán)境惡化的影響日益嚴(yán)重，經(jīng)濟(jì)的持續(xù)發(fā)展受到多種因素的制約。首先，對(duì)能源、尤其是化石能源的消耗增多，導(dǎo)致溫室氣體排放量加大；其次，自然資源匱乏且保護(hù)管理不善等問(wèn)題日益凸顯。經(jīng)濟(jì)發(fā)展持續(xù)停滯，直接導(dǎo)致歐洲公民的生活質(zhì)量提高速度緩慢。在這樣的背景下，云計(jì)算技術(shù)在節(jié)能降耗、提高公共服務(wù)效率方面的優(yōu)勢(shì)受到了歐洲各國(guó)的廣泛認(rèn)可，成為解決經(jīng)濟(jì)持續(xù)發(fā)展問(wèn)題的首選方案。

歐盟及部分歐洲國(guó)家希望在控制赤字、節(jié)省預(yù)算前提下，借助云計(jì)算解決這些影響經(jīng)濟(jì)持續(xù)發(fā)展的問(wèn)題。據(jù)2014年統(tǒng)計(jì)數(shù)據(jù)顯示，歐盟范圍內(nèi)約五分之一的企業(yè)已使用云計(jì)算服務(wù)，其中超過(guò)一半的芬蘭企業(yè)使用云計(jì)算服務(wù)，為歐盟范圍內(nèi)比例最高的國(guó)家，其次是意大利、瑞典和丹麥。此外，英國(guó)還制定了“G-Cloud”戰(zhàn)略，并在境內(nèi)設(shè)立G-CIoud（私人政府云計(jì)算基礎(chǔ)設(shè)施），在云計(jì)算方面走在了歐洲各國(guó)的前列。英國(guó)政府希望能借此在2014~2015年節(jié)省8000萬(wàn)英鎊，到2015年，至少有50%的信息技術(shù)資源通過(guò)公共云服務(wù)網(wǎng)絡(luò)來(lái)購(gòu)買。

為了持續(xù)保障云安全，早在2009年，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）就啟動(dòng)了相關(guān)研究工作，先后發(fā)布了《云計(jì)算：好處、風(fēng)險(xiǎn)及信息安全建議》和《ENISA云計(jì)算信息安全保障框架》，使公共部門(mén)對(duì)云服務(wù)提供商進(jìn)行預(yù)評(píng)估，確定是否采購(gòu)其服務(wù)。

2011年，ENISA又發(fā)布了《政府云的安全性和復(fù)原力》報(bào)告，為公共機(jī)構(gòu)提供了決策指南。ENISA還調(diào)查了歐洲140多個(gè)公共機(jī)構(gòu)在云服務(wù)采購(gòu)方面的做法，為進(jìn)一步出臺(tái)詳細(xì)的操作指南奠定了基礎(chǔ)。然而，以上部署主要關(guān)注在云服務(wù)提供前期如何規(guī)避安全風(fēng)險(xiǎn)。

為了在整個(gè)合同期持續(xù)地保障云服務(wù)安全，2012年4月，ENISA制定并發(fā)布了《云計(jì)算合同安全服務(wù)水平監(jiān)測(cè)指南》?！吨改稀分攸c(diǎn)關(guān)注公共服務(wù)領(lǐng)域的合同，將評(píng)估工作貫穿整個(gè)合同期。這將有助于對(duì)云服務(wù)的數(shù)據(jù)安全持續(xù)監(jiān)測(cè)，為云服務(wù)采購(gòu)者提供指導(dǎo)，推動(dòng)產(chǎn)業(yè)進(jìn)入一個(gè)全新的發(fā)展階段。

歐洲呼吁制定全球數(shù)據(jù)保護(hù)法

2010年3月，歐洲領(lǐng)導(dǎo)人呼吁制定一個(gè)關(guān)于數(shù)據(jù)保護(hù)的全球協(xié)議以解決云計(jì)算的數(shù)據(jù)安全弱點(diǎn)。這個(gè)呼吁是向參加歐洲議會(huì)討論網(wǎng)絡(luò)犯罪法規(guī)和諧化的會(huì)議的來(lái)自許多國(guó)家的300名網(wǎng)絡(luò)法律專家提出的。

意大利數(shù)據(jù)保護(hù)權(quán)利機(jī)構(gòu)負(fù)責(zé)人Francesco Pizetti警告說(shuō)，云計(jì)算對(duì)哪一種個(gè)人數(shù)據(jù)應(yīng)該由公司處理的法律基礎(chǔ)提出了挑戰(zhàn)。沒(méi)有一個(gè)為全球所有國(guó)家接受的嚴(yán)格的國(guó)家規(guī)則，要繼續(xù)保護(hù)公民的數(shù)據(jù)是不可能的。

歐洲網(wǎng)絡(luò)和信息安全局（ENISA）執(zhí)行理事Udo Helmbrecht表示，該機(jī)構(gòu)正在審查云計(jì)算，因?yàn)樵朴?jì)算有數(shù)據(jù)安全風(fēng)險(xiǎn)。ENISA將推動(dòng)歐洲管理部門(mén)要求云計(jì)算提供商通知客戶有關(guān)安全突破的事情。

云安全聯(lián)盟執(zhí)行理事Jim Reavis說(shuō)，管理環(huán)境需要為云計(jì)算提供商澄清疑惑。一個(gè)不確定性是如何處理政府提出的訪問(wèn)他們擁有的數(shù)據(jù)的請(qǐng)求。云計(jì)算服務(wù)提供商應(yīng)該讓“敵對(duì)的”政府很難得到他們的數(shù)據(jù)，但是，應(yīng)該支持有法律權(quán)利的政府提出這種請(qǐng)求。

比利時(shí)那慕爾大學(xué)（University of Namur）IT和法律研究中心主任Yves Poullet警告說(shuō)，云計(jì)算正在挑戰(zhàn)隱私的定義。外國(guó)警察可能會(huì)繳獲在他們國(guó)家托管的云計(jì)算數(shù)據(jù)中心存儲(chǔ)的數(shù)據(jù)。

歐盟建立政務(wù)云安全框架

歐盟成員國(guó)當(dāng)前面臨嚴(yán)峻的經(jīng)濟(jì)挑戰(zhàn)，成員國(guó)中央或地方政府迫切需要增加ICT服務(wù)的效率及有效性，而云計(jì)算的服務(wù)模式為達(dá)到這一目標(biāo)提供了可操作的捷徑和契機(jī)?；谶@一背景，2010年11月歐洲網(wǎng)絡(luò)與信息安全局（ENISA）等國(guó)際公共機(jī)構(gòu)提出了政務(wù)云的概念。在ENISA的“安全彈性的政務(wù)云”和“政務(wù)云安全部署操作指南”報(bào)告中指出：“云計(jì)算的服務(wù)模式具備擴(kuò)展性、彈性、高性能和安全性，可以滿足大部分公共管理部門(mén)的業(yè)務(wù)需求，但目前公共管理部門(mén)缺乏針對(duì)自身的基于安全與彈性的風(fēng)險(xiǎn)評(píng)估模型”。

ENISA在報(bào)告中建議各成員國(guó)政府應(yīng)鼓勵(lì)在所有云部署模型中嵌入基本的安全要求。該報(bào)告還以此為基礎(chǔ)提出了一個(gè)通用的政務(wù)云安全框架。此安全框架的參考依據(jù)包括現(xiàn)有的云安全文獻(xiàn)、相關(guān)的優(yōu)秀實(shí)踐和歐洲政務(wù)云案例。該安全框架總結(jié)為四個(gè)階段、九個(gè)安全操作流程和十四個(gè)步驟詳盡的安全框架模型,可作為成員國(guó)定義和實(shí)踐安全政務(wù)云的指南。本框架已經(jīng)過(guò)愛(ài)沙尼亞、希臘、西班牙和英國(guó)四個(gè)國(guó)家政務(wù)云案例的實(shí)踐驗(yàn)證，并在驗(yàn)證過(guò)程中形成操作指南，此操作指南可用于指導(dǎo)歐盟成員國(guó)建設(shè)安全的政務(wù)云。

比利時(shí)那慕爾大學(xué)IT和法律研究中心主任Yves Poullet警告說(shuō)，云計(jì)算正在挑戰(zhàn)隱私的定義。外國(guó)警察可能會(huì)繳獲在他們國(guó)家托管的云計(jì)算數(shù)據(jù)中心存儲(chǔ)的數(shù)據(jù)。

“棱鏡門(mén)”事件加速歐洲云安全增長(zhǎng)

美國(guó)國(guó)家安全局監(jiān)視公眾隱私的“棱鏡門(mén)”事件曝光之后，歐洲開(kāi)始力推自主的云計(jì)算。據(jù)報(bào)道，美國(guó)國(guó)家安全局秘密監(jiān)控美國(guó)9大互聯(lián)網(wǎng)企業(yè)的活動(dòng)，引發(fā)歐洲各界的不安，擔(dān)心保存在美國(guó)服務(wù)器的資料安全，歐洲云計(jì)算市場(chǎng)正引來(lái)加速發(fā)展的契機(jī)。

2012年，法國(guó)政府已經(jīng)投入1.5億歐元資助當(dāng)?shù)氐脑品?wù)提供商Cloudwatt和Numergy，讓法國(guó)能夠不經(jīng)美國(guó)企業(yè)之手獨(dú)立處理網(wǎng)絡(luò)資訊。

德國(guó)更是打造“云端服務(wù)：德國(guó)制造”項(xiàng)目，向當(dāng)?shù)仄髽I(yè)提供服務(wù)。有歐洲當(dāng)?shù)芈蓭煴硎?，通常資料傳到美國(guó)會(huì)經(jīng)由美國(guó)企業(yè)的云端設(shè)施處理，對(duì)此用戶不免心生疑慮，擔(dān)心美國(guó)當(dāng)局秘密取得資料。

2013年，美國(guó)新出臺(tái)的立法規(guī)定，美國(guó)情報(bào)部門(mén)能夠在無(wú)搜查證的情況下，監(jiān)視存儲(chǔ)在美國(guó)境內(nèi)計(jì)算機(jī)系統(tǒng)里的一切信息。這意味著，其他國(guó)家電腦用戶上傳到云存儲(chǔ)服務(wù)端，例如蘋(píng)果的iCloud和谷歌的云端硬盤(pán)等服務(wù)器的私人信息能夠被美國(guó)政府無(wú)條件獲得。

歐盟司法委員雷丁致信美國(guó)司法部長(zhǎng)霍爾德，要求美國(guó)就其秘密情報(bào)監(jiān)視項(xiàng)目向歐盟作出解釋，并擔(dān)憂美國(guó)當(dāng)局可能大范圍監(jiān)聽(tīng)歐洲公民的私人信息。

有消息指出，歐盟委員會(huì)正在推出一項(xiàng)數(shù)據(jù)保護(hù)法令，包括加強(qiáng)對(duì)第三國(guó)公司數(shù)據(jù)保護(hù)的監(jiān)管。該法令已辯論了一年半，各成員國(guó)政府的支持意愿并不強(qiáng)，“棱鏡門(mén)”事件或有助于該法令獲得更多支持。

英國(guó)廣播公司認(rèn)為，美國(guó)國(guó)家安全局通過(guò)互聯(lián)網(wǎng)獲得個(gè)人信息，首先得歸功于云計(jì)算時(shí)代。如今大量用戶數(shù)據(jù)不再存放于個(gè)人電腦中，而是在云服務(wù)提供商手中。

當(dāng)下，各國(guó)對(duì)于云計(jì)算技術(shù)的應(yīng)用持續(xù)升溫，雖然歐洲云計(jì)算的基礎(chǔ)設(shè)施發(fā)展比北美市場(chǎng)滯后一些，但增長(zhǎng)趨勢(shì)強(qiáng)勁。

有分析人士表示，“棱鏡門(mén)”事件反而將成為推動(dòng)歐洲云計(jì)算市場(chǎng)發(fā)展的助推器，各國(guó)也將加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)，特別是“云安全”市場(chǎng)將出現(xiàn)爆發(fā)式增長(zhǎng)。

日本：學(xué)習(xí)歐美，快速搭建云安全平臺(tái)

2009年，日本總務(wù)省推出《數(shù)字日本創(chuàng)新計(jì)劃》，旨在建立新型信息技術(shù)市場(chǎng)，助力日本經(jīng)濟(jì)發(fā)展。由日本內(nèi)務(wù)和通信監(jiān)管部負(fù)責(zé)建立的大數(shù)據(jù)、云計(jì)算基礎(chǔ)設(shè)施“霞關(guān)云”工程是該計(jì)劃的一個(gè)重要組成部分。工程主要包括四方面內(nèi)容：一是共建創(chuàng)新性的電子政府;二是建立國(guó)家數(shù)字存檔系統(tǒng);三是創(chuàng)建綠色云數(shù)據(jù)中心;四是開(kāi)發(fā)政府潛能，建立霞關(guān)云。2010年，日本經(jīng)濟(jì)產(chǎn)業(yè)省推出《云計(jì)算與日本競(jìng)爭(zhēng)力研究》報(bào)告，制定了在2020年前培育出超過(guò)40萬(wàn)億元新市場(chǎng)的目標(biāo)。2015年，“霞關(guān)云”將建設(shè)完成，日本政府所有的電子政務(wù)將集中到統(tǒng)一的云計(jì)算基礎(chǔ)設(shè)施之上，以提高運(yùn)營(yíng)效率、降低成本。

由于云計(jì)算的快速發(fā)展，日本對(duì)于云安全的重視程度也在增加。日本總務(wù)省每年都會(huì)召開(kāi)“智能手機(jī)與云安全研討會(huì)”并發(fā)布中期報(bào)告，探討智能手機(jī)、云服務(wù)應(yīng)用和其他新技術(shù)進(jìn)步帶來(lái)的信息安全問(wèn)題及相應(yīng)的解決方案。日本政府也啟動(dòng)了官民合作項(xiàng)目，組織信息技術(shù)企業(yè)與有關(guān)部門(mén)對(duì)于云計(jì)算的實(shí)際應(yīng)用開(kāi)展計(jì)算安全性測(cè)試，以提高日本使用云計(jì)算的安全水平，向中小企業(yè)普及云計(jì)算，并確保企業(yè)和個(gè)人數(shù)據(jù)的安全性。

因此，隨著云計(jì)算技術(shù)及理念的深入應(yīng)用，云計(jì)算的安全越來(lái)越成為業(yè)界關(guān)注的重點(diǎn)，一方面云計(jì)算應(yīng)用的無(wú)邊界性、流動(dòng)性等特點(diǎn)引發(fā)了很多新的安全問(wèn)題；另一方面云計(jì)算技術(shù)及理念也對(duì)傳統(tǒng)安全技術(shù)及應(yīng)用產(chǎn)生了深遠(yuǎn)的影響。歐美和日本對(duì)云計(jì)算安全體系的研究和規(guī)范也說(shuō)明云安全需求越來(lái)越受到各國(guó)政府的重視。