云计算模式下信息安全风险管控与法规制定探讨
2014-06-26李洋张阳陶锐
李洋+张阳+陶锐
摘 要 云计算模式下的信息风险不但是技术问题,更是社会性综合的问题的表现形式之一。在云计算应用越来越广的现代信息体系下,信息安全风险的评估是极为必要的,并且对制度层面的构建,显得更为重要。因此,通过文献资料法与逻辑分析法进行云计算背景下的信息安全风险评估的解析,并进行风险管控与法规制定相关问题的研究,以期为云安全问题的研究提供一定的参与。
关键词 云计算;信息;安全风险;法规
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)10-0160-02
对于大多数互联网用户来说,“云计算”的认知可以说并不陌生。如果说个人计算机变革的出现是IT界革命的里程碑式的起点,那么互联网的出现则被人们肯定为第二技术革命。然而,“云计算”的出现给IT界带来第三次革命性的技术变革,也给整个社会带来前所未有的冲击,尤其是信息的相关产业表现更为明显。正如现实生活中我们所见到的,互联网的应用在我国已经进行快行化时期,对互联网的依赖可以说贯穿于社会中各个行业。“云计算”作为21世纪的新兴信息技术,各类行业已经关注并且尝试“云计算”的应用,并且,获得巨大的经济效应和社会效应,然而,在“云计算”模式下信息安全问题也成为困扰着“云计算”健康发展的重要因素。如何来看待云计算现象中的信息安全问题以及如何应对云计算应用过程中所带来的一系列的问题,尤其是云计算模式下的信息安全问题。
1 云计算模式下安全管控的社会因素解析
信息科技给社会带来的影响一直是持续的,并且与社会的需求紧密相关的。从某种意义上来说,信息科技影响着或者说左右着社会的发展,进而改变着人们的生活方式与思维观念。信息技术所体现的特征常常是因社会个体需求,但是,这种特征也同时满足大多数个体的需求,才能获得更大程度的发展。云计算则可以说信息技术革命重要产物,可以说使人类进入信息技术的新时代。
众所周知,云计算的运行模式分为公共云、私有云、社区云与混和云四种。从应用形式来看,云计算的个性化服务的满足表现更为突出,通过私有云的运行,借助云服务商所提供的相关软件来进行梳理与整合个性化用户所提供的数据,其梳理数据原则与个体的兴趣、爱好、思想或者专业、学科等不同出发点进行,通过云计算服务商的软件管理,使得用户的大量信息得到整合,以方便更多的不同需求的用户能够获得更多的相关自己需求的资源。
从信息存储的优势来看,与物理信息存储的表现相比,云计算的存储对数据的整合与应用更大程度上的突破了“物质上的空间概念”实现了强大的数据存储能力与网络互动式交换的能力,给信息资源的整合与信息数据资源的构建提供良好的平台。使大量的计算机与个体用户集中于特定的虚拟化数据中心池,使信息资源的整合程度更高,给信息资源的使用提供更加便捷的交互式使用,提高网络利用率的同时,减少了多个服务商与运营商的权限的管控所带来的繁杂的程序,为网络信息资源的应用与维护成本的减少提供基础。通过一个中心进行资源的传递与获得,对于资源有限的个体用户或者小型企事业单位来说,是一种经济、有效地方式。
诚然,信息技术的发展是双向的,给社会带来效应的同时,必然会带来一系列的消极影响。其中云计算也难以摆脱这一规律,当人们关注云计算技术的优势给企事业单位和个体用户所带来的便利的同时,云计算也给人们一系列风险的提醒。由于云计算的“共享”给多个网络租户带来利益的同时,也给租户埋下了风险的危机。这种社会性成因也是促进技术发展的重要推动力,正如哲学家黑格尔所说,从不完美的事物中见到完美则是进步,而从不完美的事物中寻求到转向完美的方法也是进步。云计算作为社会发展过程中,信息技术与社会因素交互的一个动态性因子,对云安全的认知与关注则成为社会需求的必然选择。
2 云计算现行信息安全风险评估
对于现代社会,随着公共空间的扩大,人们的信息通信工具以及交通工具的发达,使得个体信息隐私权在急剧的缩减,以至于部分个体整体性暴露在公共视野下。云计算的出现则更加加速了这种风险的存在感,通过云计算个性化服务可以给不同的终端用户带来一系列的实用性个体化服务。然而,这一信息服务提供以个人的需求进行供给,其用户的身份认证难以做到完全确定其安全性,问题则表现为更加突出。个体用户通过对云计算虚拟系统进行需求式要求,以爱好、专业类别、兴趣等方向进行相应资源的获得,服务商则根据个体用户的具体要求进行一系列资源的调动与供给。这种交互式应用则体现了服务商与用户二者都可能会出于故意或者过失使得部分关于个人信息的相关资料出现流失,使得个人隐私受到非法的侵犯。
同时,对于企业来说,大量的商业信息存在于“云计算”终端,失去了绝对性占有的能力,可能对部分资源与商业机密相关的信息置于可控范围之外。对监控与管理实施远程操控有一定的时间空当,容易给其他不良用户以获取的空间,一旦出现恶意的破坏行为或者程序相关的问题,企业本身则无法进行直接的管理与干预。可以说增加了数据管控的难度,从数据隔离、数据存储分析与数据恢复等方面,云计算突破了原有的进出口式的防火墙的管理方式,增加了数据管理与保护难度。
从技术本身上来讲,云计算的出现并没有脱离原有的IT界的基本原理,仅仅是一次整合与升华,使原本单一的技术分支,进行统一网络服务式的处理,使客户端进行集中的信息处理。然而,从技术风险的角度上来说,所有的安全问题也有集约化的表现存在于这一技术体系中,对于云计算本身来说,其技术的要求则需要一定的规范的提出,才能使云计算系统日益应用范围扩大今天,进行一定风险能力的自我提升。因此,技术标准与安全信息风险评估显得异常重要。
3 云计算信息安全防范标准构建与法规制定思考
正如上文所提到的云计算信息安全风险影响着云计算的实施,同时,云计算的信息安全风险也使得社会所关注。因此,云计算的安全问题并非仅仅是技术性的问题,同时,也是社会性问题,与社会习惯、社会思维与大众的心理有着直接的关系。因此,构建云计算背景下的安全防范体系与法律法规的制定是极为必要的。endprint
从社会发展的层面上来说,一个良好的社会规范制度与一个良好的法规的出台,可以为相关利益关系进行合理配置,对意外事件的发生具有良好的扼制性作用。对云计算背景下的云安全的技术完善有着多种层面,但协调各种安全问题的解决原则是需要进行网络立法层面的出现,合理的应用云计算相关的知识,对涉及云计算问题的云安全进行更为深入的掌握,才能进行云计算安全风险的评估与法规的构建。
1)进行客户权利保障的立法。对客户使用云计算系统所应该承担的社会责任进行详细叙述,使云用户具备知情权,了解与掌握客户中所享受的相关权利,如隐私权、选择权、控诉权等,在进行云系统使用的过程中,获得与抽取或者交换处于可控范围内,同时,服务商与用户进行相应的协议,双方对权利的维护与支持进行相互合作。云服务商对用户数据具备控制权,但也要对客户的权利有着不可或缺的保护权利,如果客户权利出现相关问题,服务商则有着重要的关系。一旦出现服务商恶意对终端用户的权利给予侵害,则要承担一定的法律处罚,并且,要给用户以合理的解释。
2)进行相关云计算安全防范犯罪的立法。从国内云计算的相关立法上来看,目前尚处于空白期。这一网络的新型事物在原有基础上的法律体系内显得不相适应。因此,云计算相关的立法应单一提出,并且对网络立法提出更高的要求。由于云计算的虚拟化特征与无地域化的特征,给网络立法的规范与要求提出更高的要求。传统的区域性管豁存在感消失,司法机关的区域性存在,二者必然出现冲突,因此,从云计算的实际情况出发,对于网络方式的犯罪也应进行相应的调整,对超越空间的传统意义上的区域性控制进行摆脱,实现区域与犯罪结果相互关联,在云计算空间的归属上制定新的标准。同时,进行电子档案的建立,对个体用户所实施的具体犯罪行为进行跟踪记录,使个体用户的非正常使用受到一定时期的审查,利用电子证据的方式对不良风险行为进行判断,对相关电子相关的纠纷进行裁决。当然,电子证据的获得相对物理上证据有一定的难度,给犯罪行为的认定与归档带有一系列的难度,但是,可以推测的是电子证据在未来云计算信息安全处理的过程中,必然成为重要砝码性工具,对公司与个体用户的行为能够实现监管。
3)强化云服务监管的意识。监管与法规是双向保障的两个分支,对于云计算来说,其用户来自不同的类型与层次,其行业组织显得更为关键。从用户到服务商,都需要一系列的监管体系的存在。使终端用户与服务商在监管体系下,进一步实现其权利与价值的发挥,对于监管行为,现行国际上通用第三方管理,尤其是在现阶段,云计算尚处于发展阶段。部分功用与用户的使用尚不明了,甚至部分服务商对承担的责任与义务也存在着一系列的未知。云计算服务商更加需要第三方的监管来实现服务协议中所应体现的价值,同时,第三方的监管也给数据的保护与保持提供一系列的合法的法律依靠。对于云计算这种公共空间的产物,单一靠供需双方的协议维系是不能够满足需求的,因此,行业组织或行业相关的体系对尚处于起步阶段的云服务体系进行监管显得更为重要,尤其是使云计算体系下的服务商对自我行为的规范有着更为重要的意义。
4 结束语
云计算时代的到来,给依赖于信息发展现代社会带来一系列的社会福利,同时,云安全信息的风险也给社会带来一系列的压力与困难。从客观的角度上来看,这一技术性的问题,同时,也是社会性问题。从技术方面入手,也要从制度层上来进行规范,才能实现云计算背景下的云信息安全风险的规避与应对,更好发挥云计算优势,使云计算体系更好地更健康为社会发展而服务。从终端用户的实际需要而进行更好的个体化服务,实现计算机即网络的虚拟化交互式使用。
注:本文受内蒙古自治区高等学校科学技术研究一般项目“云背景下的数据库安全性研究”(NJZY14308)资助。
参考文献
[1]史志才,夏永祥.高速网络环境下的入侵检测技术研究综述[J].计算机应用研究,2010(05).
[2]陈丹伟,黄秀丽,任勋益.云计算及安全分析[J].计算机技术与发展,2010(02).
[3]陈全,邓倩妮.云计算及其关键技术[J].计算机应用,2009(09).
[4]陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009(05).
[5]宋纯梁,黄威,吴灏.物理隔离网络的安全风险研究[J].计算机工程与设计,2008(23).endprint