國家密碼局霍煒：政務(wù)云很多數(shù)據(jù)在“裸奔”，有很大安全隱患

　　云計算行業(yè)的安全問題備受關(guān)注

　　11月22日，國家密碼管理局商用密碼管理辦公室副主任霍煒在2017云棲大會·廣東分會上表示，中共中央辦公廳、國務(wù)院辦公廳督查發(fā)現(xiàn)，國內(nèi)一些政務(wù)云很多數(shù)據(jù)在“裸奔”，具有很大的安全隱患。

　　云安全

　　霍煒表示，從國際上來看，國際的網(wǎng)絡(luò)對抗、網(wǎng)絡(luò)攻擊愈演愈烈。從國內(nèi)來看，我們的核心技術(shù)和關(guān)鍵產(chǎn)品從國外進口的局面還沒有改善，可以說我們面臨著很嚴峻的網(wǎng)絡(luò)安全形勢，可以說敵人就在眼前，威脅就在身邊。

　　“密碼是系統(tǒng)解決云安全和信任的唯一的有效手段，推進密碼和云計算的融合發(fā)展，構(gòu)建以中國的商用密碼為核心支撐的云的安全防護體系，是解決我們云計算安全和信任的必由之路。”霍煒表示。

　　當天，阿里云聯(lián)合國家密碼管理局、貴州省密碼管理局、數(shù)據(jù)通信科學技術(shù)研究所、云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司共同宣布：“云上貴州”成為國內(nèi)首個國家商用密碼算法應(yīng)用試點項目。

　　據(jù)介紹，通過落實國家商用密碼及密鑰管理體系搭建，“云上貴州”系統(tǒng)平臺可對數(shù)據(jù)進行更安全的管理，保證數(shù)據(jù)不丟失，不被盜用。

　　云計算行業(yè)人士告訴澎湃新聞記者，目前大部分政務(wù)云搭建在私有云上(私有云是為一個客戶單獨使用而構(gòu)建的云計算資源，相對公有云的概念)，一些政府部門認為私有云更加安全。然而像之前的勒索病毒W(wǎng)annaCry等大型的安全事件，都與私有云的安全性有很大關(guān)聯(lián)。

　　“打個比方來說，物理上帶來的安全感是虛幻的。再嚴密，也會有其他渠道進入。”上述人士稱。

　　有觀點認為，未來采購公有云服務(wù)可能稱為一個選項，因為成本可以得到明顯降低。目前，三大運營商、阿里、騰訊等都是政務(wù)云市場的參與者。

　　IDC數(shù)據(jù)顯示，中國政務(wù)云市場近幾年發(fā)展迅速且商機巨大。尤其是2014年以來，中國政務(wù)云市場保持了連續(xù)高速增長，2016年中國政務(wù)云市場基礎(chǔ)設(shè)施投資規(guī)模已經(jīng)接近百億元，并將在未來5年繼續(xù)保持快速增長態(tài)勢，年復合增長率預計將達到20%.

　　政務(wù)云的安全性是個“國際問題”

　　就在前天，美國國防部被爆數(shù)據(jù)收集丑聞，起因就是一名安全研究人員發(fā)現(xiàn)了三臺配置錯誤“可公開下載”的亞馬遜S3服務(wù)器，其中一臺服務(wù)器數(shù)據(jù)庫中包含了近18億條來自社交媒體和論壇的帖子，這些帖子來自世界各地居民的個人信息。亞馬遜AWS是全球最大云計算服務(wù)商。

　　對于這起事件，亞馬遜尚無官方調(diào)查報告。關(guān)于這期時間所反映的云計算安全問題，亞馬遜回復澎湃新聞稱，AWS跟所有客戶都特別強調(diào)安全責任共擔模式，把客戶的主動能動性調(diào)動起來，一起做好安全。如果簡單告訴客戶，云是安全的，可能有更多因為客戶的疏忽帶來安全問題。AWS所謂安全責任共擔模型，是指AWS負責云基礎(chǔ)設(shè)施相關(guān)的安全，并提供多種安全監(jiān)控工具，客戶做好應(yīng)用部分。

　　“亞馬遜的這次事件對所有云計算同行都是教訓。”阿里云機器智能首席科學家閔萬里告訴澎湃新聞，“沒有絕對安全的系統(tǒng)，我想沒有任何一家云計算公司趕夸下?？谧霰ＷC。但不能因噎廢食，必須盡可能做好防范措施。”