党的十九届五中全会通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》(以下简称《建议》),明确提出要“加快数字化发展”,并对此作出了系统部署。2022年2月,国家发展改革委等部门联合印发文件,同意启动建设8个国家算力枢纽节点和10个国家数据中心集群,“东数西算”工程正式全面启动。“东数西算”作为国家加快“数字化”脚步,努力构建数据时代“经济新版图”的核心,其本质就是通过构建数据中心、云计算、大数据一体化的新型算力网络体系,将东部算力需求有序引导到西部,优化数据中心建设布局,促进东西部协同联动。要实现算力需求有序引导,关键是数据的安全有序流动、加工、处理和应用。
云计算作为算力网络体系的重要组成部分,是承载数据的基础。云计算的安全性也就必然成为“东数西算”的基础需求,成为确保数字化健康发展,保证充分发挥数据价值的关键。因此,亟需站在数据安全的高度重新审视云计算安全的战略意义、面临的形势挑战、解决的重点难点,有针对性的提出数据安全视角下的云安全解决思路。
网御星云作为“可信赖的网络安全专家”在大数据、云计算等方面深耕多年。在《护航“东数西算”,以数据为核心再造云安全体系》系列专题中,我们将从云计算安全重要意义、面临挑战、应对思路、解决方案、安全能力等方面全面分享网御星云云安全领域研究成果。
云计算安全对国家数字化战略推进意义重大
1.云计算安全是加快数字化发展的根本需要
过去的二十年是网络化、信息化的二十年,也可以说是实体业务数字化改造的二十年。这一阶段的主要工作就是将传统业务中的流程和数据通过信息系统处理,利用信息技术来提高效率。这一过程本质上是“业务数据化”,用数据将整个业务过程记录下来。其结果是企业构建了一个个针对业务环境支撑的系统,如OA、HR、财务系统、采购系统、知识管理系统、ERP等,形成了竖井式“烟囱”。由于系统异构或数据标准不一致,数据进行整体的汇总时,总存在数据片面失真的情况。这一阶段的特点是,流程为核心,软件系统为工具,而数据是软件系统运行过程中的副产品。这一过程中数据都分散在不同的系统里,没有打通也没有真正发挥出数据的价值。
随着《建议》的发布,“数字化”进入了“加快发展”的新阶段,这一阶段的关键则是利用数字技术,对企业、政府等各类组织的业务模式、运营方式,进行系统化、整体性的变革,更关注数字技术对组织整个体系的赋能和重塑。在这一阶段,随着数据的共享汇集,传统软硬件资源和应用绑定的资源独占方式将无法满足海量数据存储、传输、加工、处理和应用。云计算通过将任务分布在大量计算机构成的共享资源池上,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。云计算资源虚拟化、规模化整合、动态可扩展、按需分配资源的特点在提升所需资源分配的弹性、提高性价比、提升业务的可靠性方面有着必然优势。
然而正如任何事物的两面性,云计算的上述特点,也意味着业务上云、数据集中后,由于云服务滥用、监管不足、共享技术漏洞、拒绝服务攻击、不安全接口/应用程序接口、账号劫持/服务流量劫持等云计算安全问题造成的数据泄露、数据丢失将带来更大损失。因此,加快数字化发展比以往更加需要强大的云计算安全能力。
2.云计算安全是推进数据要素化的安全保证
随着数字经济时代的到来,数据已成为新型生产要素。数据对提高生产率及资源配置的效率、优化经济结构的作用凸显,已成为新型生产要素和重要资源。在数据要素市场化配置过程中,安全可靠的基础资源配置环境是确保数据互联互通的前提。
大数据时代背景下,数据要素对数据安全和隐私保护的要求远远高于其他传统要素,数据安全问题不仅危害个人隐私和商业利益,还会扰乱市场资源配置,甚至会造成公共危机。作为数据要素市场的基础平台,云计算安全将成为安全保障体系的重要组成部分。做好云计算安全将成为数据要素化安全的重要保证。
3.云计算安全是促进数字政府建设的基本要求
在6月23日国务院发布的《关于加强数字政府建设的指导意见》(以下简称《意见》)指出,加强数字政府建设是适应新一轮科技革命和产业变革趋势、引领驱动数字经济发展和数字社会建设、营造良好数字生态、加快数字化发展的必然要求,是建设网络强国、数字中国的基础性和先导性工程,是创新政府治理理念和方式、形成数字治理新格局、推进国家治理体系和治理能力现代化的重要举措,对加快转变政府职能,建设法治政府、廉洁政府和服务型政府意义重大。
《意见》在构建数字政府全方位安全保障体系中明确要提升安全保障能力:建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系。充分运用主动监测、智能感知、威胁预测等安全技术,强化日常监测、通报预警、应急处置,拓展网络安全态势感知监测范围,加强大规模网络安全事件、网络泄密事件预警和发现能力。这些要求无疑对云计算安全提出了更高的要求。