自建云平台:解决国有企业数据安全的终极方案?

发表时间: 2021-09-07 10:18

【文/观察者网专栏作者 余鹏鲲】

近期,天津市国资委推出《关于加快推进国企上云工作完善国资云体系建设的实施方案》,引发了舆论的热议。该方案争议点在于,要求天津市各国企今后不再租用公有云资源,逐步将服务和数据转移到国资系统云平台,并由国资云公司提供技术支持。

“国资云”消息一出,无疑会使人思考以行政命令设立市场准入门槛,成立企业提供相关的服务,是否会改变行业竞争的形式,或者改善国有企业的信息安全呢?

信息安全的核心在于系统开发队伍

公有云与自建机房相比具备使用和开发成本低、容易拓展和扩容、体系稳定成熟等许多优点,对中小企业很有吸引力。信息安全公司McAfee的一项调查显示,大多数组织将部分或全部敏感数据存储在公有云中,只有16%的组织没有在云中存储任何敏感数据。由于管理链条长、定制化安全能力弱,公有云的信息安全治理一直饱受诟病和怀疑。

今年8月,央广网报道了发生在2019年的一次信息泄露:阿里云在未经用户同意的情况下,擅自将用户留存的注册信息泄露给第三方合作公司。阿里云表示,该事件系公司一位电销员工私下获取客户联系方式,并透露给分销商员工,已对事件严肃处理。

该事件中最令人担心的是,无论是媒体的报导,还是阿里云方面的解释,这样的信息泄露似乎并不需要什么技术门槛,也没有发生想象中紧张刺激的信息攻防。

真实的网络泄密大部分没有技术含量

正因为公有云中管理链条较长,且管理权限混乱,如果国有企业严重依赖公有云存储敏感信息,可能会引发严重的信息泄露问题。此次天津市国资委的方案中将国企数据资源明确定义为国有资产。从这样的高度看,国有企业继续大规模的使用公有云,确实存在着风险,“国资云”的出世拥有相当的合理性。

天津市国资委文件截图

不过信息安全有自己的特点,并非沾上“国资”就安全了。信息安全企业卡巴斯基曾就“云安全”在2019年末发布了一份报告。报告指出:“约90%的云端企业数据泄露是由于客户员工遭受社交工程攻击(通俗地说就是被“套磁”或被窃听)造成的”。因此“国资云”的信息安全性,在很大程度上取决于系统开发队伍。不幸地是,这恰好正是国有企业的短板和弱点。

由于目前大部分国有企业的信息产品方案构想能力要大大超过其所拥有的开发能力,大部分的信息业务都外包给信息服务公司去解决,甚至层层转包。从以开发团队为核心的信息安全观念来看,这是非常不利的。

纸质办公的时代,国企员工的涉密等级和职级成正比,进而和泄密代价成正比。而程序的世界里,负责开发的程序员恰恰是最了解程序的构造,一旦有意破坏不仅很难发现,而且追责链条极长。

我们可以想象一个场景,某国有企业因云平台的漏洞发生了信息泄露,假设该企业能知道谁写了这个漏洞,而且可以证明没有被他人假冒。如果要想进一步追究相关的责任,还要证明该漏洞系恶意引入,并要分辨是公司行为还是个人行为,以及是否是社交攻击。这个环节上的每一层级都有充分的动机隐匿可能的事实,现实中要做到这些并不容易。

以虾米音乐曾经引发争议的客户端代码为例,2018年有网民发现,虾米MAC客户端以源代码形式传送的网页前端代码的注释中,将活动赠送的VIP会员账号称之为穷逼VIP,存储主键更是被用英文称呼为乞丐VIP。

引发争议的代码

这一事件说明,即使强调免费也要提供服务的文化,开发资源和人员稳定性都占优的互联网行业,也不能保证充分的代码审查。外部人员参与度更高的“国资云”就会摆脱这些问题?笔者实在难以乐观。

将一个区域的国有企业资产都放到同一个云上,尤其是这个云的总量还不大时,无疑是放大了开发队伍引入的风险,因为这样的举措放大了利用漏洞的收益,又缩小了引入漏洞的成本。

自建云的优势在于管理链条短、权限清晰,而体制内企业熟悉的条块分割的管理体系,并不利于信息安全。以天津的“国资云”为例,实际上由“三朵云”组成:业务云、监管云和安全云,三种云成分的安全要求和承载业务并不相同。那么一个疑问就产生了,三种云的开发者存在人员交流么?或者是否干脆就是一个开发团队?

“国资云”依然存在平台开发部门与业务开发部门关系不清的问题

如果是的话,如何严格保证一个人可以同时写出符合两种甚至更多安全需求的代码呢?如何保证三种云成分依托的资源不出现混交呢?

“国资云”应大区化管理并重视立法

前面说到“国资云”或类似的云平台有存在的合理性,但要显著提升国有企业信息资产的安全性,仍然需要组建可控的系统开发和审查的队伍,并缩小平台开发部门与业务开发部门的认知差距。

基于这样的认知,“国资云”显然不宜一地一策,甚至一地一公司一平台。“国资云”与公有云最大的区别在于服务国有企业安全性高,而不在于地点不同,同时和邮政、电力事业等也不能简单类比。

目前重庆、四川、浙江、苏州、深圳等省市都开始尝试建设国资云项目,这些项目在云的层面区别不大,主要还是具体的业务不同,这么多“国资云”确实有重复建设之嫌。是否“国资云”落地可以统一安排实现全国一盘棋,或者像电网一样,按区域集中提供服务呢?

以腾讯云为例,作为中国云服务的前三强,腾讯云只在广州、上海、南京、北京、成都、重庆和香港等地域重点部署,就实现了对一般中国用户云服务器的全覆盖。“国资云”的用户更少,由业务造成的服务器压力也更小,如果每个省甚至每个市都搞一套自己的云平台,无疑是不经济的。

腾讯云面向普通用户的机房区域选择

实现“国资云”的障碍显然不只是技术,市场对“国资云”的存在也提出了质疑和挑战。目前所有的质疑都可归纳为两点,一是合规性问题,二是成本问题。其中后者被反复强调,而前者尽管不受重视,实则关系到“国资云”的成败。

众所周知,公有云存在着种种安全隐患,这些隐患在市场状态下存在,与权威行政力量宣布存在,其意义有着根本的不同。“国资云”的排他性意味着行政力量肯定公有云是不符合国有企业安全标准的。人们不禁会想,难道这样的云就一定符合私人企业的安全标准么?

如果今后“国资云”也面向大众提供服务,这等于凭空增加了“国资云”的商誉,制造了不对等的竞争。退一步说,这也给了其他国家和组织拒绝考虑使用中国公有云的借口,对中国云服务走出去是不利的。

此外“国资云”提倡数据挖掘,既然国企数据资源属于国有资产,那么就不是所有部门都有开发这种资产的权利。目前为止,还没有相关规范说明谁有资格组织挖掘整个地区跨行业的所有国有企业的数据。更何况部分数据的挖掘工作还可能侵犯个人隐私,甚至涉及国家安全。

前文也说到,大量体制内的服务、系统、软件是由私人企业开发的,其中还有不可忽视的部分最终是由外包的第三方开发的,这其中就存在着安全风险。中国软件评测中心发布的2014年中国政府网站绩效评估结果显示,在评估范围内的900余家大型政府网站中,超过93%存在各种危险等级的安全漏洞

然而这种潜在的安全风险并没有转化为大规模的安全问题,依靠的就是法律。黑客敢于黑掉漏洞较少的企业网站,但不敢攻击漏洞更多的政府网站。事实说明,依法治理具有突出的成本优势,合规性问题和成本问题最终交汇到一起:国有企业的数据安全问题真的必须要靠自建云平台解决了么?

通过立法规定国有企业的云服务提供商资质,不会造成采购云服务的成本大幅提高,数据泄露产生的损失也不难估计,但目前各地的“国资云”建设方案中,没有这些经济账。

总而言之,建设“国资云”无疑是一件好事情,同时也存在很多的问题。如何让良好的愿望变成现实,关键就在于建成的“国资云”要集约安全,要扬长避短。