餘鵬鯤:國有企業的數據安全問題,真的得靠自建雲平台解決了麼?
【文/觀察者網專欄作者 餘鵬鯤】
近期,天津市國資委推出《關於加快推進國企上雲工作完善國資雲體系建設的實施方案》,引發了輿論的熱議。該方案爭議點在於,要求天津市各國企今後不再租用公有云資源,逐步將服務和數據轉移到國資系統雲平台,並由國資雲公司提供技術支持。
“國資雲”消息一出,無疑會使人思考以行政命令設立市場準入門檻,成立企業提供相關的服務,是否會改變行業競爭的形式,或者改善國有企業的信息安全呢?
信息安全的核心在於系統開發隊伍
公有云與自建機房相比具備使用和開發成本低、容易拓展和擴容、體系穩定成熟等許多優點,對中小企業很有吸引力。信息安全公司McAfee的一項調查顯示,大多數組織將部分或全部敏感數據存儲在公有云中,只有16%的組織沒有在雲中存儲任何敏感數據。由於管理鏈條長、定製化安全能力弱,公有云的信息安全治理一直飽受詬病和懷疑。
今年8月,央廣網報道了發生在2019年的一次信息泄露:阿里雲在未經用户同意的情況下,擅自將用户留存的註冊信息泄露給第三方合作公司。阿里雲表示,該事件系公司一位電銷員工私下獲取客户聯繫方式,並透露給分銷商員工,已對事件嚴肅處理。
該事件中最令人擔心的是,無論是媒體的報導,還是阿里雲方面的解釋,這樣的信息泄露似乎並不需要什麼技術門檻,也沒有發生想象中緊張刺激的信息攻防。
真實的網絡泄密大部分沒有技術含量
正因為公有云中管理鏈條較長,且管理權限混亂,如果國有企業嚴重依賴公有云存儲敏感信息,可能會引發嚴重的信息泄露問題。此次天津市國資委的方案中將國企數據資源明確定義為國有資產。從這樣的高度看,國有企業繼續大規模的使用公有云,確實存在着風險,“國資雲”的出世擁有相當的合理性。
天津市國資委文件截圖
不過信息安全有自己的特點,並非沾上“國資”就安全了。信息安全企業卡巴斯基曾就“雲安全”在2019年末發佈了一份報告。報告指出:“約90%的雲端企業數據泄露是由於客户員工遭受社交工程攻擊(通俗地説就是被“套磁”或被竊聽)造成的”。因此“國資雲”的信息安全性,在很大程度上取決於系統開發隊伍。不幸地是,這恰好正是國有企業的短板和弱點。
由於目前大部分國有企業的信息產品方案構想能力要大大超過其所擁有的開發能力,大部分的信息業務都外包給信息服務公司去解決,甚至層層轉包。從以開發團隊為核心的信息安全觀念來看,這是非常不利的。
紙質辦公的時代,國企員工的涉密等級和職級成正比,進而和泄密代價成正比。而程序的世界裏,負責開發的程序員恰恰是最瞭解程序的構造,一旦有意破壞不僅很難發現,而且追責鏈條極長。
我們可以想象一個場景,某國有企業因雲平台的漏洞發生了信息泄露,假設該企業能知道誰寫了這個漏洞,而且可以證明沒有被他人假冒。如果要想進一步追究相關的責任,還要證明該漏洞系惡意引入,並要分辨是公司行為還是個人行為,以及是否是社交攻擊。這個環節上的每一層級都有充分的動機隱匿可能的事實,現實中要做到這些並不容易。
以蝦米音樂曾經引發爭議的客户端代碼為例,2018年有網民發現,蝦米MAC客户端以源代碼形式傳送的網頁前端代碼的註釋中,將活動贈送的VIP會員賬號稱之為窮逼VIP,存儲主鍵更是被用英文稱呼為乞丐VIP。
引發爭議的代碼
這一事件説明,即使強調免費也要提供服務的文化,開發資源和人員穩定性都佔優的互聯網行業,也不能保證充分的代碼審查。外部人員參與度更高的“國資雲”就會擺脱這些問題?筆者實在難以樂觀。
將一個區域的國有企業資產都放到同一個雲上,尤其是這個雲的總量還不大時,無疑是放大了開發隊伍引入的風險,因為這樣的舉措放大了利用漏洞的收益,又縮小了引入漏洞的成本。
自建雲的優勢在於管理鏈條短、權限清晰,而體制內企業熟悉的條塊分割的管理體系,並不利於信息安全。以天津的“國資雲”為例,實際上由“三朵雲”組成:業務雲、監管雲和安全雲,三種雲成分的安全要求和承載業務並不相同。那麼一個疑問就產生了,三種雲的開發者存在人員交流麼?或者是否乾脆就是一個開發團隊?
“國資雲”依然存在平台開發部門與業務開發部門關係不清的問題
如果是的話,如何嚴格保證一個人可以同時寫出符合兩種甚至更多安全需求的代碼呢?如何保證三種雲成分依託的資源不出現混交呢?
“國資雲”應大區化管理並重視立法
前面説到“國資雲”或類似的雲平台有存在的合理性,但要顯著提升國有企業信息資產的安全性,仍然需要組建可控的系統開發和審查的隊伍,並縮小平台開發部門與業務開發部門的認知差距。
基於這樣的認知,“國資雲”顯然不宜一地一策,甚至一地一公司一平台。“國資雲”與公有云最大的區別在於服務國有企業安全性高,而不在於地點不同,同時和郵政、電力事業等也不能簡單類比。
目前重慶、四川、浙江、蘇州、深圳等省市都開始嘗試建設國資雲項目,這些項目在雲的層面區別不大,主要還是具體的業務不同,這麼多“國資雲”確實有重複建設之嫌。是否“國資雲”落地可以統一安排實現全國一盤棋,或者像電網一樣,按區域集中提供服務呢?
以騰訊云為例,作為中國雲服務的前三強,騰訊雲只在廣州、上海、南京、北京、成都、重慶和香港等地域重點部署,就實現了對一般中國用户雲服務器的全覆蓋。“國資雲”的用户更少,由業務造成的服務器壓力也更小,如果每個省甚至每個市都搞一套自己的雲平台,無疑是不經濟的。
騰訊雲面向普通用户的機房區域選擇
實現“國資雲”的障礙顯然不只是技術,市場對“國資雲”的存在也提出了質疑和挑戰。目前所有的質疑都可歸納為兩點,一是合規性問題,二是成本問題。其中後者被反覆強調,而前者儘管不受重視,實則關係到“國資雲”的成敗。
眾所周知,公有云存在着種種安全隱患,這些隱患在市場狀態下存在,與權威行政力量宣佈存在,其意義有着根本的不同。“國資雲”的排他性意味着行政力量肯定公有云是不符合國有企業安全標準的。人們不禁會想,難道這樣的雲就一定符合私人企業的安全標準麼?
如果今後“國資雲”也面向大眾提供服務,這等於憑空增加了“國資雲”的商譽,製造了不對等的競爭。退一步説,這也給了其他國家和組織拒絕考慮使用中國公有云的藉口,對中國雲服務走出去是不利的。
此外“國資雲”提倡數據挖掘,既然國企數據資源屬於國有資產,那麼就不是所有部門都有開發這種資產的權利。目前為止,還沒有相關規範説明誰有資格組織挖掘整個地區跨行業的所有國有企業的數據。更何況部分數據的挖掘工作還可能侵犯個人隱私,甚至涉及國家安全。
前文也説到,大量體制內的服務、系統、軟件是由私人企業開發的,其中還有不可忽視的部分最終是由外包的第三方開發的,這其中就存在着安全風險。中國軟件評測中心發佈的2014年中國政府網站績效評估結果顯示,在評估範圍內的900餘家大型政府網站中,超過93%存在各種危險等級的安全漏洞。
然而這種潛在的安全風險並沒有轉化為大規模的安全問題,依靠的就是法律。黑客敢於黑掉漏洞較少的企業網站,但不敢攻擊漏洞更多的政府網站。事實説明,依法治理具有突出的成本優勢,合規性問題和成本問題最終交匯到一起:國有企業的數據安全問題真的必須要靠自建雲平台解決了麼?
通過立法規定國有企業的雲服務提供商資質,不會造成採購雲服務的成本大幅提高,數據泄露產生的損失也不難估計,但目前各地的“國資雲”建設方案中,沒有這些經濟賬。
總而言之,建設“國資雲”無疑是一件好事情,同時也存在很多的問題。如何讓良好的願望變成現實,關鍵就在於建成的“國資雲”要集約安全,要揚長避短。
本文系觀察者網獨家稿件,文章內容純屬作者個人觀點,不代表平台觀點,未經授權,不得轉載,否則將追究法律責任。關注觀察者網微信guanchacn,每日閲讀趣味文章。