1.云計算信息資源管理模式

    1.1 云計算的起源、定義和特征

    “云計算”的思想由來已久，早在1961年美國麻省理工學院的計算機專家約翰·麥卡錫（John Mccathy）就曾預言計算機最終將成為一種全球公共資源。2006年，谷歌公司正式提出了“云計算”（Cloud Computing）術語，并向美國華盛頓大學提供40臺PC組成一個小型的云，開啟了云計算研究和實踐的序幕。隨后，亞馬遜、雅虎、微軟、國際商用機器公司等國際知名IT企業相繼加入了云計算的研究和推廣，云計算迅速從一個技術概念演變成技術革命，開啟了一片全新的IT商業“藍海”。目前，關于云計算比較權威的定義出自美國國家標及技術研究所（NIST），即云計算是一種模型，用戶可以方便地通過網絡按需訪問一個可配置的計算資源(如網絡、服務器、存儲、應用和服務)的共享池，同時實現管理成本或服務供應商干預的最小化。根據上述定義，云計算將包括以下五大特征：

    (1)按需自助服務(on-demand self-service。用戶能夠直接根據需要獲取所需計算、存儲或應用能力，而不必和服務提供商進行復雜的交互。

    (2)廣泛的網絡訪問(broad network access)。客戶端可以通過各種類型的終端平臺訪問網絡，如筆記本電腦、移動電話、PDA等。

    (3)資源共享(resource pooling)。計算機資源被集中起來為多客戶提供服務，根據客戶需要，動態分配或再分配不同的物理和虛擬資源。

    (4)可伸縮性(rapid elasticity)。云計算提供的服務具有自動、快速的拓展和收縮的特點。對客戶來說，這種服務是無限的、靈活的和動態的。從而改變傳統模式下固定的資源配置模式，最大程度提高資源配置效率。

    (5)可度量性(measured service)。可度量性是公共資源服務的基本要求之一。云計算所提供的服務可度量，有明確的價格與收費政策，可自動控制并通過服務報告，實現資源使用的透明化。

    1.2 云計算下的國家信息資源管理模式的擅變

    作為一種嶄新的互聯網應用模式，云計算正改變傳統的互聯網應用模式，從一個以桌面系統為中心的模式向以網絡為中心的模式轉變。它不僅將改變人們信息生產、交流和開發的方式，更將逐步改變國家的信息控制的方式，進而推動全球權力資源的重構和流動。具體表現為:

    云計算環境下的國家信息資源管理的全新特征:

    (1)信息內容的豐富化。云計算最大限度地降低了網絡信息資源的使用成本和應用門檻，釋放了用戶進行信息內容創造和傳播的潛能，推動了全社會范圍內信息資源內容的不斷豐富，信息資源管理對象的不斷擴展。

    (2)信息組織的集聚化。云計算使得原本分散在國家不同地域、系統和平臺中的異構信息資源不斷向少數云計算服務提供商集聚，為海量信息資源的整合應用和深度開發提供了可能。

    (3)信息環境的模糊化。云計算的網絡化和虛擬化技術突破了以國家、組織、地域為管理邊界的傳統模式，用戶無需也無法了解信息資源的存儲位置和運行環境，云計算下的信息資源管理環境呈現“黑箱化”和“模糊化”的趨勢。

    (4)信息開發的個性化。云計算“按需提供服務”的特性使得信息開發必須以用戶為中心，通過深度挖掘用戶需求和特性，提供用戶各類信息服務產品，云計算環境下的信息開發更具個性化和互動性。

    (5)信息傳播的無縫化。云計算以定制和推送為主要特征的信息傳播模式，減少了信息傳播的中介環節，實現了信息與用戶的無縫對接，極大地提高了全社會信息傳播的精確性和實時性，充分發揮信息傳播的效率和效力。

    綜上所述，云計算的普及應用將顯著提高各國信息生產和交流的能力，全面促進全球信息空間的拓展和交融，由此也將產生全新的信息安全問題。

    2.云計算信息安全的發展趨勢

    2.1 云計算信息安全的正向效應

    信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，保證信息的機密性，完整性、可用性等安全屬性。云計算技術的出現對信息安全帶來的機遇與挑戰并存。其中，云計算對信息安全正向作用的效應和機理表現為：

    (1)云計算可以提供低成本安全保障

    對于個人或中小企業來說，信息安全的水平往往受制于信息安全的投人成本。云計算服務提供商采用專業化的安全策略和產品保障海量用戶的信息資源，可以充分發揮規模化優勢，大幅度降低用戶的安全成本，節約全社會信息安全保障成本。

    (2)云計算推動客戶端安全管理的標準化

    云計算提供商可以根據不同的業務需求和信息資產重要性制定各類信息安全標準化服務，其中也包括了安全管理的標準化。客戶端功能的弱化，可以更有針對性的制定實施客戶端的安全管理標準，提升客戶端安全控制效果。

    (3)云計算信息集中存儲提升安全監測水平

    通過存儲在一個或者若干個數據中心，數據中心的管理者可以對數據進行統一管理，深人挖掘信息內容的變異過程、精準定義信息內容傾向性。例如可以極大的提升安全公司對新病毒的響應速度，同時第一時間將補丁或安全策略分發到各個分支節點。

    2.2 云計算信息安全的負面效應

    任何事物都有正反兩個方面，在認識到云計算為信息安全帶來正向效應的同時，更應該關注其對信息安全造成的威脅，尤其是由于信息資源的高度集中所帶來安全雙刃劍效應，具體表現為：

    (1)信息安全的風險效應空前放大。由于信息資源、基礎設施、服務軟件等計算資源整體向云計算服務商集聚，信息安全呈現威脅目標少但風險集聚的趨勢，系統性故障將帶來信息安全的極化效應，對云計算服務商的安全保障提出更高要求。

    (2)信息安全的威脅呈現日趨隱性。云計算使得信息所有權和控制權出現分離，云計算使得人們逐步喪失了對自身信息的控制權和知情權，用戶信息機密性等面臨云計算的“黑箱效應”，對將法律應用到廣泛的信息管理場景中提出了新的挑戰。

    (3)信息安全的國家控制力被削弱。信息源的普遍化和多樣化，弱化了國家對信息和公民個人行為的控制力。此外，跨境的云計算服務商支持信息的跨境流動，支持用戶在任意位置使用多元化終端獲取應用服務，加大了國家整體的信息安全風險。

    (4)行政法律管轄邊界受到挑戰。云計算中的信息流動是全球性的，而每個國家都擁有自己的法律以及管理要求，云計算服務提供者顯然無法做到與所涉及的所有國家的規制相符，由此帶來信息安全的價值導向和目標定位的沖突將進一步衍生出新的安全風險。

    2.3 云計算信息安全與國家安全

    信息是維持社會活動、經濟活動和生產活動的重要資源和安全要素，信息時代國家安全的內涵已發生重大變化。正因如此，在十六屆四中全會的《關于加強黨的執政能力的決議》中，信息安全已經與政治、經濟、文化安全并列為四大主題之一，在此層面看，云計算信息安全不僅涉及個人與企業，更將全面拓展到國家安全層面。

    (1)云計算信息安全對國家政治安全的影響。

    網絡時代，國家主權行使范圍由陸地、海洋、太空擴展到了網絡空間，“信息主權”成為國家主權概念中的一項重要內容，其行使能力是一個國家主權獨立完整的重要體現。“信息主權”也是國家主權斗爭的重要領域，特別是云計算技術和組織模式的興起，給“信息主權”的全球博弈和平衡管理方面帶來了巨大的機遇和挑戰。目前以美國為首的發達國家對云計算平臺建設力度不斷加大，在云計算人才、技術、標準和信息資源等方面的控制力越來越強，“技術位勢差”以及由此產生的“信息位勢差”可能進一步加劇。這種發展趨勢可能導致新型國際公共政治關系，居于信息低位勢國家的政治安全將面臨來自云計算信息強國的現實威脅。

    (2)云計算信息安全對國家經濟安全的影響。

    在經濟的全球化的背景下，信息流已不再是簡單的傳播，它引導著資本，左右著市場，決定著交易。云計算環境下，隨著海量、離散的信息進人云計算資源共享池中，信息因為聚合而產生巨大的商業價值，當達到一定規模勢必成為國家經濟安全的重要保障對象。重要的經濟信息若出現泄露或失控，將極大地威脅企業和國家經濟的正常運作。云計算的發展將帶來全球新一輪產業競爭和整合，對我國信息技術及相關產業的安全產生嚴峻挑戰。

    (3)云計算信息安全對國家文化安全的影響。

    網絡信息傳播對民眾的心理和意志影響正日益重大。正如胡錦濤總書記指出的，“互聯網已成為思想文化信息的集散地和社會輿論的放大器，我們要充分認識以互聯網為代表的新興媒體的社會影響力”。隨著云計算的發展，進一步模糊了國家、組織、領域及虛擬社區的邊界，傳統封閉和限制的措施在云環境下難以進行有效的信息流動控制，放大了全球思想的跨界滲透力和影響力，加速了國家間文化的傳播和融合。信息強國制定信息的管理規則，操縱信息的流向和分布，可能使思想文化交流失去對等性和交互性，從而形成單向的文化產品的灌輸和文化意識滲透，將從深層次影響和改變多元化的思想文化和價值導向格局，處于技術和傳播弱勢的國家文化安全陣線面臨沖擊。

    3.國外云計算產業布局與信息安全規劃

    3.1 美國云計算產業布局和信息安全規劃

    美國是“云計算”技術和應用的主要推動者，其云計算環境下的信息安全是通過產業控制和安全保障等得以實現，并具有顯著的擴張性特征。具體來說，首先，在政府、企業和科研組織的共同推動下，美國全力引導和推進云計算產業布局。早在2003年，美國國家科學基金就投資830萬美元，支持由七所頂尖院校提出的“網格虛擬化和云計算”項目，其后又陸續將云計算技術運用到美國航空航天局等國家重要機構和尖端行業。2006年，美國亞馬遜公司推出了簡單存儲服務(S3)和彈性計算云(EC2)，云計算服務的產業化開始走向成熟。2008年，IBM公司又正式提出“藍云”計劃，推出公有云和私有云的概念，隨后發布了基于云端的協作平臺。與此同時，IBM等企業開始大舉進軍海外市場，僅在中國市場就已投資建立了無錫云計算中心、黃河三角洲云計算中心、鐵路創新中心等云計算平臺。

    另一方面，在加強云計算全球布局的同時，美國也在不斷提升網絡信息資源保障的戰略層級。2010年5月29日，奧巴馬公布了名為《網絡空間政策評估—保障可信和強健的信息和通信基礎設施》的報告，強調美國21世紀經濟繁榮將依賴于網絡空間安全。2011年5月16日，美國司法部、國土安全部等六大部門在白宮發布《網絡空間國際戰略》。確保云計算信息資源的控制和保障是上述信息安全戰略的核心利益，其中甚至指出如果網絡空間遭到嚴重威脅，美國將動用包括軍事手段予以反擊。

    3.2 歐盟國家的云計算產業布局和信息安全規劃

    在認識到云計算對全球產業發展和信息安全的重大影響，歐盟國家對云計算產業和安全的布局正在加快。保持獨立發展和強化安全規范是歐盟國家的主要特征。例如，德國投人巨資保持在4G/ LTE和云計算研究的前沿地位，并于2011年1月在德國馬格德堡建立了目前歐洲最大的云計算中心，啟動了經由衛星實施云計算的技術方案。

    同時，歐洲網絡及信息安全局(ENISA)積極制定了“云計算風險評估”規范，該機構發布的《云計算:好處、風險以及信息安全建議》報告中明確指出在公共云的數據安全會面臨巨大的挑戰，提出并不建議用戶將最敏感或者核心的數據置于云端。此外，由于歐盟國家對用戶隱私保護的嚴格標準，歐盟提出了云計算環境下保護信息安全的《數字議程計劃》，對進人云資源池中的經濟信息規定了刪除時間。德國更嚴格規定:所有人云數據，必須保存在德國境內。為了制約云計算公司的不道德行為和竊取企業商業秘密的做法，歐盟成員國通過立法程序確保企業的經濟信息安全。此外，針對美國擴張性的云計算戰略，歐盟開始研究封殺歐洲市場上由美國公司提供的云服務，原因是歐盟發現美國可能將其《愛國法案》應用到所有在歐洲的云計算服務。根據公愛國法案》法案，提供云計算服務的美國公司在特定情況下需要將歐洲用戶的數據提交給美國相關部門。歐盟已經在討論禁止美國公司在歐洲提供云計算服務事宜，旨在迫使美國調整其相關法規。

    3.3 日、韓、印等國的云計算產業布局

    日本的云計算產業發展強調經濟效果與社會效果的共贏。2010年8月16日，日本經濟產業省發布了《云計算與日本競爭力研究》報告，提出將從完善基礎設施建設、改善制度和鼓勵創新等三個方面推進云計算發展，積極鼓勵在醫療、教育、電力等各個領域全面利用云計算技術，同時強調須在充分考慮個人信息匿名化與信息安全的基礎上，完善信息使用與傳播的規章制度。

    韓國于2009年12月制定了《云計算全面振興計劃》，提出在2014年前成為世界最高水準的云計算強國，計劃提出通過政府公共部門先行投資及政企合作等方式，將韓國云計算市場規模擴大到現有水平的四倍，并要將在世界市場的占有率提高到10%。

    印度已將云計算產業列為其未來五年重要的發展戰略之一。印度政府于2010年3月宣布，將打造全球首個向市民提供使用云計算技術的電子政府服務系統。此外，印度政府積極通過“政府云計算論壇”來推進云計算產業的發展。由于印度的基礎設施不完備，其云計算市場尚處于發展的初級階段，但云計算在印度的發展已經呈現了良好的發展態勢，個人、家庭用戶以中小企業將正成為云計算市場增長的主要動力。但是受安全性、可靠性等因素影響，大多數大型企業在短時間內仍對云計算持保守態度。

    綜上所述，全球各國圍繞云計算發展與安全的規劃布局。美國的“擴張型”信息安全戰略，強調通過向全世界進行“信息疆域擴張”來保障和維護本國的安全和利益；歐盟的“集聚型”信息安全戰略，強調“各成員協調一致，共同保障整體及各成員的信息安全”，日、韓、印等信息技術強國全力培育本國云計算產業，并積極向國外拓展。

    4.我國云計算產業發展與信息安全對策

    4.1 我國云計算產業的產業發展現況

    2008年伊始，我國加快了云計算發展的步伐。國內部分省市和大型企業紛紛投人云計算產業發展。2008年，我國首個“商用云計算中心”落戶無錫，2010年北京啟動了云計算的“祥云工程”。2010年10月，發改委和工信部研究確定:北京、上海、深圳、杭州、無錫為云計算試點省市，指出發展試點示范工作要與區域產業發展優勢相結合，與國家創新型城市建設相結合，與現有數據中心等資源整合利用相結合，立足全國規劃布局，推進云計算中心(平臺)建設，進一步明確了國家發展云計算的總體思路和戰略布局。2010年底，上海發布了《上海推進云計算產業發展行動方案(2010年一2012年)》，確定重點發展六項重大工程，力爭三年內實現云產業基地產值50億元，初步形成有影響力的云計算產業雛形。但是，總體來看國內云計算產業仍主要停留在基礎架構平臺的建設上，在公共云計算運營方面(包括應用軟件部署、按需定價收費模式等)方面處于探索階段，而圍繞云計算安全的國家戰略、法律法規、技術標準等方面的研究和實踐仍十分匱乏，從長遠看將制約我國云計算產業的健康發展。

    4.2 我國云計算信息安全的對策初探

    當前我國云計算產業發展和普及應用正面臨全面布局階段，為了在新一輪的競爭中占領制高點并保障國家安全，我國云計算安全總體目標應定位為積極參與全球云計算標準、技術和平臺的建設，獲取云計算產業鏈各個環節的控制權，培育國內規模化、專業化的信息服務提供商，建立自主可控國家信息安全體系。具體路徑包括:

    (1)研究和制定國家層面的云計算安全戰略，指導各地政府規劃和產業發展，制定符合國際通行規則又具有中國特色的云計算信息安全規劃，不斷建立和完善信息安全風險預警、防范和應急的綜合保障體系。

    (2)盡快推進云計算信息安全法律規范的建設。一是研究制定國家、商業機構和個人的核心數據云端管理規范，解決云計算模式下的知識產權、用戶隱私保護、商業保密信息等一系列法律歸位；二是盡快建立云計算服務平臺的建設規范、運營服務軟件的驗收規范，建立云服務資格許可證制度，建立云計算產品技術準人制度；三是對于涉及國家政治、經濟、國防、社會公共安全的云計算信息系統的引進和建設，應建立行政審核機制，引導采用自主品牌的產品和技術。

    (3)提高技術核心競爭力，支持和培育自主知識產權的云計算關鍵技術、裝備的研發和推廣應用。目前由于國外企業對核心技術的壟斷，很少有國內企業進行操作系統、芯片以及底層硬件等基礎技術的開發，而側重于云計算的建設和應用。因此要努力把云計算整個產業鏈上的技術自主性，爭取云計算平臺的控制權，否則我國的信息安全乃至國家安全就可能長期受制于人。

    (4)加強和完善我國云計算信息安全標準體系建設。一是要主動研究梳理國內云計算應用及標準化的需求，解決云計算的規劃設計、系統建設、服務運營和質量保障等各個環節的問題；二是標準化工作需要產業鏈上各方的共同參與，包括政府、行業協會、專家學者、第三方研究機構、云計算相關軟硬件和服務提供商，以及最終用戶;三是要應積極參與包括國際組織ISO/IEC JTC1 SC38及SC7等的標準化工作，在與國際標準的交流和產業發展的實踐中不斷修改完善標準，用標準指導產業的有序建設和運行。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：信息管理(ERP) 我國云計算信息安全的理論與對策研究

本文網址：http://www.guhuozai8.cn/html/consultation/10839712631.html