作为新一代信息技术革命的代表,云计算的影响力从互联网领域迅速扩展到了涉密网络领域。对于涉密网络而言,核心问题是保护其中存储处理的国家秘密信息的安全,追求新技术并不是目的。但是,如果一些新技术的应用,能够为涉密网络带来安全保密能力的提升,那么这些新技术在涉密网络中就一定会引发使用需求,这符合信息化不断发展的趋势,也符合需求驱动的市场规律。考虑到新技术的应用在创造价值的同时,也会带来潜在的不可预知的风险,对于涉密网络使用云计算技术,我们的态度既不能武断禁止,也不能盲目推崇;而是要看清本质、评估价值,取舍有度、规范引导,既充分发挥新技术的积极作用,又最大限度地控制风险,确保涉密网络安全保密。
云计算概念由谷歌在2006年正式提出,目的是把硬件、平台、软件、存储等IT资源集中起来统一进行调度,通过互联网动态分配到需要的应用上,从而快速提高计算能力。谷歌利用云计算迅速提升了查询响应速度,数据的查询数量级由TB级上升到PB级,查询的平均时间降到毫秒级。与此同时,为充分利用自己拥有的数量居全球第一的服务器资源,让物理资源永不闲置,谷歌还部署了大量的云计算应用提供给企业和个人使用。企业和个人只要按需购买相应的云资源,就可快速构建自己的IT系统。据报道,《纽约时报》曾经使用云计算服务,在不到24小时的时间里处理了1100万篇文章,累计花费240美元,如果使用自己的服务器,则需要花费数月时间和更高的费用。有专家指出,如果使用云计算来构建我国铁路订票系统,根据访问量来动态配置计算资源,那么铁路部门就可以避免发生自身IT部署不足而导致订票系统瘫痪的问题。
总之,云计算的本质是为了解决资源利用率不高、计算能力不足和计算成本不断增加的问题。它的最大特点在于将IT资源的提供方和使用方分离开来,IT资源由专业的运营商和服务商提供,企业可以更加专注于自身业务,而不必再花费精力和成本去做非专业的IT建设。因此,云计算取得了商业化的巨大成功。
涉密网络与互联网物理隔离,核心是安全保密,云计算以互联网为根基,面向应用而非安全而生,核心技术也不属于信息安全技术,能够在涉密网络中得到应用,必然有其特殊价值。
1.云计算为强化安全保密管理提供了新方法
对于涉密网络的保护,一个普遍共识就是“三分靠技术、七分靠管理”。除了依靠安全保密技术进行防护之外,管理要求的有效落实是关键。然而,用户终端分散、所处环境多样、管理要求难于落实和监管的问题是涉密网络管理的长期困扰。“维基揭秘”事件就是因涉密终端使用管理不善所造成的灾难性后果。按照云计算资源集中的理念,原先分散在各实体终端的软硬件资源和数据,全部集中到中心机房,终端无硬盘、不留密,提供了一种管理上的新思路和技术实现方法,体现了核心价值。
首先,桌面虚拟化技术能够降低用户终端失泄密风险。从近年来发生的失泄密事件看,问题往往出在终端计算机。由于终端本地磁盘存储大量涉密文件,一旦发生违规连接互联网、交叉使用移动存储介质、随意输入输出文件数据,都可能导致失泄密事件发生。有的涉密网络规模庞大,终端计算机多达数千台,而且每台终端都存有涉密文件。几千台终端就意味着几千块硬盘和几千个数据丢失的渠道。不仅需要现场为每台终端上手段、配策略,还要进行物理上的安全看护,管理成本巨大,效率却很低下。一旦违规操作、机器故障、策略失灵、现场技术支持不及时等,都会造成安全盲点。桌面虚拟化作为云计算核心技术之一,把用户终端的硬盘和操作系统“收回”到中心机房的服务器里,用服务器虚拟出来的计算机来代替实体计算机。用户终端本地无数据、不留密,即使丢失被盗也不会造成数据泄露。同时,在ICA等虚拟化协议的控制下,用户在终端上看到的只是自己操作后台虚拟机的“现场直播”视频,终端与信息中心之间的网络线路传输的是视频流信息,不是真实文件的数据包,通过网络侦听不能直接窃取真实文档的数据包,增加了网络窃密的难度。
其次,集中模式为统一规范高效的安全保密管理提供了平台。管理员在后台通过统一的管理平台就能完成对所有用户计算机的安全策略配置、异常行为监控和终端故障处理。用户个人对终端的控制权可被完全回收,安装软件和导入导出数据都须经由管理人员才能完成。网络整体安全防护实现了统一和同步,全网安全基线水平得到提高。管理员赴现场进行技术支持的工作量大幅下降,也意味着管理的效率和有效性将大大提高。
2.云计算精简了IT,提高了效率
剥离了本地计算和存储功能的“瘦”计算机,不需要配备高性能硬件,更新换代需求减少,从长远来看节省了成本。
服务器虚拟化缓解了中心机房的压力。一个单位上一个新系统往往就会增加一个服务器。随着业务应用的增加,服务器会越来越多,中心机房会变得“机”满为患。利用服务器虚拟化技术,单台物理服务器被逻辑地划分为若干台虚拟的服务器,每一个虚拟服务器上独立运行一个业务应用系统。原来运行在不同物理服务器上的多个应用系统,能够部署在同一台高性能物理服务器上运行,既满足了应用需求,又提高了单台服务器的利用率。实体服务器数量得到控制,为中心机房节省了空间,减少了能耗,节约了资源。
应用程序虚拟化节省了软件成本。通常应用软件需要安装在操作系统中才能使用,按照在多少个用户操作系统中安装来计算费用。一些价格昂贵的工程设计类软件,往往花费巨大。通过应用程序虚拟化技术,把诸如AutoCAD等应用软件部署在服务器上,做成链接集成到门户网站或者推送到用户终端界面,用户直接点击链接就能使用。这样,通过网络化访问的方式,应用软件不需要在终端进行安装就可被多个用户在线共享使用,大大降低了软件成本。
此外,云计算还有其他一些技术,包括编程模型、海量数据分布式存储、计费管理等等,是一个适应互联网环境的庞大技术体系。与互联网规模相比,作为信息孤岛的涉密网络,量级要小得多,目前真正引入涉密网络的,并不是完全意义上的“云计算”,而是云计算资源集中理念及其实现技术,是一种经过选择和取舍的去互联网化的“类似云”。目前来看,桌面虚拟化和服务器虚拟化在涉密网络中用得较多,应用程序虚拟化尚不多见,这与实际需求相关联,也与相关技术的实现难度和市场成熟度有一定关系。