国家信息中心专家委员会主任宁家骏

宁家骏主任在开始讲到，今天主要想跟大家交流三个问题。第一个是云计算正走进我们，走进了我们的生活，走进了我们的时代；第二个是正确看待新时期信息安全的新形势；最后结合大会的主题，有一些不成熟的想法跟大家交换一下。

大家都知道，现在信息化已经成为生活、生产和整个经济社会发展都不能离开的，因为各种网络应用日趋丰富，大家不能想象，如果没有信息化我们的生活会是怎么样一个情况。所以云计算的时代已经到来，但是我们是不是准备好了呢？应该说我们可能还有些问题，因为当前大家知道，云计算代表着当前这种互联网高速的发展，移动通讯时代高速的发展，通过互联网来向用户提供按需即取的计算资源成为当前云计算一个重要的特征，将来我们不讲我们到底买谁家的服务器，我们买谁家的软件，我们只要享受自来水跟享受电一样来享受云计算的服务。

当前我们必须看到互联网的发展正在不断向移动化发展，中国在5亿多网民中间，通过手机上网的网民已经超过3个亿，所以用户对互联网接入的需求正无所不在，而移动的通信的主体也正才从设备向个人转移。

信息化发展孕育了对云计算的巨大需求，美国的一组数据，联邦政府的数据中心数量1998年是432个，2009年到1100个。2006年610亿KW占美国用电消耗1.5%，到去年是1000亿KW，时候占美国消耗电2.5%。

镇江是江苏省一个城市，但是并不发达，镇江市年来财政资金用于信息化项目建设已经花了2.8亿，每年设备运维费达1300万元，这个也反映了当前信息化的发展和巨大的资金的消耗。

在最近国家的有关文件之中，也特别强调要对信息化的建设进一步的加强资源的节约，加强集约化的建设。正因为这样，大家看到，在今年国家发布的“十二五”规划中间，把加强云计算服务平台的建设纳入到国家最大的规划，这就是适应了当前云计算是新的产业技术革命这样一个要求。

所以，我们当前就进一步明确在国家制定的规划中，明确了我国发展云计算的历史使命，就是要通过统筹的规划，来把握好产业驱动与政府主导的关系，把它作为我们信息化建设、资源配置优化和实现可持续发展，以及信息化转型升级的一个重大机遇。

正因为这样，我们云计算必须要服务于“十二五”期间的重点建设任务，特别是“两化”深度的融合和“感知中国”的建设，利用云理念解决我们国家信息化存在的面前。前面大家说了我们面临着基础设施的整合与复用的问题，我们面临建设统一安全体系的问题，也面临着降低建设和运行成本的问题。所以大家都明确，发展云计算的核心是能不能够提高高质量的云服务，而发展云计算也必须解决三个方面的关键问题，第一个是应用模式，第二是服务模式，第三个我们有没有一个很好的安全方案。

正因为这样，我们看到，云计算的时代给我们带来了新的安全，我们个人的信息和组织的信息都面临着新的挑战。首先我们未知的信息很可能泄漏，身份的信息也可能泄漏，大量用户相关的信息都存储在云的网络之中，泄漏的数据可以用来实现身份的伪造。而且在当前这种云环境下，物理的保护也需要加强，前面讲了我们怎么样来销毁涉密的存储介质也是问题，如果在个人的设备上部署大量的安全软件，对个人设备的性能也产生很大的影响，也变得不太现实。而且现在这种恶意代码的攻击也进一步的在增强，所以使我们移动设备的安全性也受到巨大挑战，包括苹果的，大家看到也发现了苹果Store这种东西普遍缺乏安全的保护。另外在云计算的模式下，任何一个单点的故障都可能使我们的设备、使我们的信息内容遭到更大的损害。

所以现在这种新的安全隐患包括基于位置的安全性也很难再适用，云中的数据怎么样保障它的安全和隐私也给我们带来很大的隐忧。

云计算当前一个热点问题就是云安全问题，特别是我们考虑到云计算的虚拟化基础，它的服务模式，所以影响发展云计算的最重要的问题之一就是云安全的问题。怎么样更好的把云计算这种抽象的安全问题解决好是关系到我们能不能把云计算发展下去的重要关键。所以我们说云计算它的难点就是云安全。大家知道最近PC杂志的主编撰文指出，说现在人们采用云计算之前都需要云提供的服务商，要回答这样的问题，我的数据到底存储在哪？无法访问时怎么办？安不安全？云安全是云存储最大的顾虑。安全包括这样的属性，身份问题、授权问题、访问控制问题和审计的问题。过去我们的安全往往是针对周边进行设计，比如通过网络非授权用户的访问，但是虚拟化的过程中间这些都发生了计划。所以没有安全的计算我们就称之为“云计算”。

云计算是一种新兴的信息服务模式，可以有效的提供服务质量，降低建设与运维成本。但是由于业务流隔离与用户隐私数据安全是云计算服务推广中的两大障碍。安全资源虚拟化与“双云策略”保障用户得到的是安全的云计算而不是成为一种“云计算”。正因为这样，我们看到，云计算的安全性是关系到很多的核心问题，包括虚拟化、Web、身份认证，特别是安全服务。但是从另一个角度说，我们又必须看到云计算的安全实际上是传统的，现在网络安全、信息安全这些问题的延伸和拓展。

看到安全的时候，必须看到我们国家面临的新的形势和新的问题，因为信息安全形势的变化是国际安全形势的一种表现。这里头我们看到，发达国家，比如说美国、俄罗斯、北约和日本，都在调整他们国家的安全战略，美国发布了一系列的文件比如说今年发布的《网络空间国际战略》，全面反映了美国政府对国家安全环境的评估。同时在他们的战略中间，极力鼓吹“先发制人”，包括采用信息战。所以在美国调整的国家安全战略中，更加强调了信息对美国国家安全的作用。所以美国政府也高度重视云计算的发展战略以及相关安全的战略。

美国为首的西方他们主要是通过在网络空间继续争霸，加速制定网络空间的标准和法规，同时加强协调，建立网络队伍，进行东方演习，这样给我们造成很大的隐忧和威胁。

特别值得提出的是，今年5月16号美国发布了《网络空间战略》，很多专家和网民都有很多的议论，但是可以看到它对我们是一个很大的威胁，他以网络自由作为他的核心，把我们国家作为他的主要竞争对手这种意图十分明显。

现在在东亚、东南亚地区的争霸不断的变热，而我们国家作为一个发展中的信息化大国，对网络依赖的程度日益增加，我们拥有自己的主权和巨大的国家利益，而美国的网络战略这种冷战的思维对我们是一种严重的威胁。

俄罗斯也是一样，也是把维护经济安全和信息安全提高到保障国家安全的重要位置，他们的安全观也更加关注信息战的威胁，同时加大了与北约的合作与竞争。北约更是这样，他们着力推进国际上共同安全的防务建设，积极介入全球的信息安全。

日本也强调跟美国在信息安全领域的合作，再加上当前互联网舆情在网上的激荡，到现在为止，西亚、北非仍然在震动和动荡之中。这些巨大的不稳定状态应该说给我们的国情、给我们的经济安全，包括我们周边的像朝鲜半岛问题，都给我们带来了巨大的威胁。所以国际上认为，现在实体空间的战争正在向网络空间大规模的瘫痪战争逐渐的转移，再加上各种自然灾害，比如说日本的灾害、海啸和他的核辐射的灾难，这些恐怖事件和意外事件给我们重要信息系统的安全防护水平敲响警钟。再加上众所周知的新的恶意代码，安全所增加的损失不可小视。现在有的介绍说全世界黑客造成的网络犯罪已经超过了整个贩毒界的收入。再加上我们国家处在转型时期，我们社会面临新的形势，也使我们的网络安全面临新的挑战。

再加上信息系统固有的特性，要求我们必须进一步提升系统的安全保障水平。大家知道互联网分域自治、规模庞大、协议开放、应用逻辑复杂等特性，使得我们信息安全的问题纷纷出现，包括安全漏洞难以避免，安全事件层出不穷，这些都给我们的安全需求提出了更高的要求。

重大事件给我们的启示是什么？在当前我们要重视发展云计算，提高我们重要信息系统的保障能力的时候，更要提升信息安全保障的水平。如果我们对重要的信息系统没有足够的和充分的加以保护，就会造成难以挽回的巨大损失。

总的来说，我们国家的重要信息系统安全防护还面临新的复杂的形势，除了前面提到的国际的形势，中国是一个发展中的大国，面对着国际日益竞争的复杂背景，我们的安全问题更加错综复杂。所以对重要信息系统的安全保障建设提出更加间紧迫的要求。

在云时代，我们对重要信息系统安全防护有哪些必须要考虑的问题？首先我们看到重要信息系统是国家正常运转不可缺少的部分，我们的金融、我们的电力、我们的水利、我们的国防、我们的交通，哪一点都离不开信息化的支撑。所以信息系统能不能够安全可靠的运行，直接关系到国家的安全。同时以金融信息系统为例，当前的金融信息系统已经成为国际上用户量最大的重大系统，任何系统的不稳定都会产生重大的影响。

前不久，国家对于电信运营商是不是存在着接入竞争的问题，实际它的起因就是因为在我们一些城市，特别是一些二、三线城市，存在着电信运营商为了维持他们的市场地位，对这些证券交易的门市部发生过若干断网的事件，以至于证监会正式向国家有关部门提出倾诉。这就是前不久央视报道的说两大运营商最初的起因，因为直接影响到广大的投资股民的利益，以至于在一些个别城市发生了股民因为断网，因为不能够交易，跟门市发生了暴力冲突，甚至砸了门市的事件。这种问题也可以看得出来，重要信息的稳定运行直接关系到国家安全。

重要信息系统的地位、功能，要求它的安全保障水平必须大幅度的提高，从信息资源保护的角度看，我们必须要做好这些系统的安全保障能力。

上个礼拜，国务院互联网信息办公室、国务院新闻办、工业和信息化部以及商务部联合召开加强我国金融信息管理的重要会议，要求进一步加强我们国家对金融信息的管理。实际上大家知道，我们在华有若干的外企公开的收集我们的金融信息，而且这个东西也变成了他们的一个重要业务，当然这里头有的确实属于公开的信息，但是有的时候也采用一些非法的手段涉及到内部的信息。像今年查处的泄漏国家的重要宏观经济信息问题，都是反映了这些问题，使得我们重要信息系统的信息防护问题变得日趋重要。

但是我们又必须看到，我们的重要信息系统的脆弱性造成了安全保障的困难，现在已经建设的重要信息系统规模大，技术复杂，而且往往这些系统都不是一天建设的，有很多是通过历史的东西转换叠加起来的，带有很大自身的脆弱性，需要更多的协同。所以这些问题使得我们重要信息系统的信息防护水平提高也带来了很大的难度。正因为这样，基础设施的相互依赖性容易导致灾难的多米诺骨牌效应。

正因为这样，进入云的计算时代之后，很多单位都提出用云计算的方式支持重要信息系统，更要加强重要信息系统安全保障系统的建设。所以当前要进一步提高认识，落实组织，同时要把重要信息系统安全保障建设、管理和运行贯穿到整个系统信息化建设的全过程，要从规划开始，到我们的实施，始终把我们的安全放到非常重要的位置。

当前重要信息系统在安全保障中间存在着不少问题，第一是统一安全策略的研究上存在着欠缺，对存在的风险评估分析不够，难以应对重大事件等特殊情况，也没有能够体现要求的“平战结合”的基本原则。

当前，特别是在进入云计算之后，我们要从云服务的供应链来考虑云计算的安全。因为云计算提供的是一种服务，它涉及到一个服务的供应链，它涉及到众多云计算服务的运营商和众多服务的供应商，包括产品的供应商，它是一个不同利益主体构成的合作型系统，所以它具有服务产品多样化，服务产品的技术性比较复杂，而且各个服务商之间自身都在追求本身利益的最大化，容易与整个服务链的整体利益和目标发生冲突，同时也比传统的供应链更加不稳定。正因为这样，必须认真研究云计算服务供应链来力求建服务链的协调策略，首先要制定统一的安全策略，促进服务整个供应链整体安全的收益最大化。

同时，我们要进一步提升云计算服务供应链的安全保障，所以要通过统一的安全策略，协调供应链成员的行为，使每个服务链的成员在考虑自身行为的时候，要考虑对整个供应链的影响，这一点要共同的承担安全的风险，要能够有效的追查责任，从而提高整个云服务供应链的稳定性和协调性，落实法律责任。

云计算服务的特性和运作结构与传统的产品供应链不同，这个过程中不存在中间产品的递交，这个问题上使得云服务供应商面临一个新的课题，就是怎么样衡量和兼顾云服务这个供应链各个产品供应商的责任、服务的质量，所以必须要明确相关方的法律责任。

重要信息系统在安全保障中间还存在缺乏国家层面的统筹规划，安全保障一方面存在着低水平的重复，造成严重的投资浪费。这些问题，特别是我们说在安全防护中重要的基础设施建设的自建比例过高，这种情况容易造成小而不全，所以这个是国际上目前要避免的。怎么样合理的利用专业化的服务，通过服务外包等模式来避免各单位小而不全，这是我们必须要研究的一个问题。过高的自建比例加大整个国家用于安全保障建设的整体投资规模，对于每一个具体单位可能你分担到的就不够也不能够满足要求，同时由于建设单位不具备相应的专业能力，难以保障系统的有效性，也容易造成投资浪费，更重要的是在特殊事件发生时，你业务的连续运营无法得到切实的保障。

缺少可操作性的行政管理办法和标准规范。目前国家就信息安全保障建设的一些文件很重要，但是往往缺乏可操作性和缺乏真正工程化的可以实施的标准规范。

在运维管理和预案演练中存在着明显的不足，所以我们往往注重建设而忽视了整个系统的建设和运行，包括应急的演练。

应对的措施，我们要如何保护好云中的数据安全与隐私？首先用户提供商要保障好数据的安全，要保障好数据存储的转移，要严格控制权限。同时要提供完善的认证机制，确保接入云的用户，确保只有授权的用户才能获得相应的资源和服务。要进一步改进互联网基于地制的机制。接受云计算服务前要做好相关的咨询工作，要把安全评估常态化。

总的来说，加强我们国家在云计算环境下重要信息系统的安全保障，关键是要制定好相关的政策和法规，加强标准化的建设，加强行业的管理。同时，要对云服务有关的专项工作进行监管。我们建议采用分类、分级的办法加强对云行业的监管，根据服务的能力、人员的组成、安全保障、服务经验和服务品质保障等，对云服务商进行分级管理。要对重要信息系统云服务的技术安全进行检查，加强信息安全的检查和风险评估工作，切实降低安全风险。

在当前，我们很高兴的看到，包括今天会上有很多国内的企业，我们一定要充分利用国家鼓励发展云计算这样一个政策的机遇，鼓励发展自主创新的云安全产品和服务，积极推动具有自主知识产权的产品和服务进入政府采购目录，通过我们这样的东西，通过国家重点科技计划，大力支持对云安全核心技术的研发。所以要把专业的咨询和项目的评估纳入建设的管理制度，要从需求分析到规划建设、运维管理等过程，这些专业性非常强的工作通过专业化的咨询服务，把我们前期的工作和后期绩效的考评，加强管理，确保提供云服务的安全性、可靠性和有效性。

在当前，今年还是规划之年，应该首先要做好规划，要把我们每个系统和整个国家层面做好重要信息系统安全保障建设的总体规划，特别是要考虑到当前在纷纷采用云计算、云服务、云存储这样一个新的时代特征下，怎么样把它搞好。

正因为这样，我们在当前要打好基础，要明确需求，同时要把结合我们自己的国情，结合我们自己系统的实情，一定要求真务实，不能够完全照抄照搬，通过这样的东西来探索我们国家在云计算环境下加强重要信息系统安全保障的新的方式。

在当前，这个会开得非常成功，体现了有关部门高度重视重要信息系统、云安全服务和相关的信息安全服务产业的重要地位。一定要通过我们自己的产业，包括我们产品的研发和服务的发展，要加强政府的引导，发挥市场机制，要有核心、自主的技术为支撑，以应用促进发展，来推进我们国家重要信息系统在云计算环境下信息安全保障能力的提高。

当前大家都知道，国家高度重视云计算，在国家发改委正在制定的《国家重大信息化工程建设规划》中和由工业和信息化部牵头制定的《国家信息化专项规划》中都高度重视云计算，都提出了要应用示范，突破核心技术来完善云产业链这样重大的战略部署，这给我们到会的企业、给我们重要信息系统的领导者提供了很重要的发展机遇。

在当前，随着又一个发展，我们要进一步的探索在我们中国特殊的国情下，怎么样来构建我们的专用云，因为我们的专用云是面向专有应用，能够更聚焦关键业务。专业云或者私有云有我们特定的需求，有我们特定的边界，所以要尽快研究和构建服务于特定的专用云的安全架构和服务体系，要剖析专用云的特点，包括我们所处理得特定内容的信息，包括特定的边界，怎么样来做好网络的安全和边界安全，这个是国家正在推进的一系列重大项目，给我们发展云计算带来了良好的发展机遇。

要解决好以需求为主导，要做好统筹规划，要更加关注信息安全，来进一步明确云计算发展的目标，特别要关注云计算给我们社会经济，包括政治带来的影响，要更加关注怎么样衡量云计算所提供的服务质量的度量，包括管理能力的度量，包括要加强云计算的管理，特别是安全管理和安全服务水平、安全性能的度量。

总的来说，发展面临的最大挑战主要不是技术，而是观念。在当前发展云计算的时候，首先要有一个“促进派”的态度，我们要抱着积极支持、要用科学发展观，明确“发展是硬道理”这样一个关键思路，但是同时我们头脑要避免仓促上马，更重要的是我们在树立云服务的信息，包括云安全服务信息的时候，要确立服务模式的创新和服务发展的新思路。

最后我还想提几点倡议，我们大家要做云计算的“促进派”，包括通过云计算、云安全、云服务来推进重要信息，加强信息安全防护的工作，只要通过大家的努力，我们相信在国家主管部门的正确领导下，包括协会这样第三方组织的大力推动下，依靠今天在座的各位领导、各位同行的共同努力，我们一定能够有信心解决好在云时代，我们重要信息系统的信息安全防护问题，把我们国家的重要信息系统和重要信息内容管理好，防护好，建设好，为我们国家在新时期的更大发展做出更大的贡献。

(责任编辑：aqxh)