【文/观察者网专栏作者 余鹏鲲】
近期,天津市国资委推出《关于加快推进国企上云工作完善国资云体系建设的实施方案》,引发了舆论的热议。该方案争议点在于,要求天津市各国企今后不再租用公有云资源,逐步将服务和数据转移到国资系统云平台,并由国资云公司提供技术支持。
“国资云”消息一出,无疑会使人思考以行政命令设立市场准入门槛,成立企业提供相关的服务,是否会改变行业竞争的形式,或者改善国有企业的信息安全呢?
信息安全的核心在于系统开发队伍
公有云与自建机房相比具备使用和开发成本低、容易拓展和扩容、体系稳定成熟等许多优点,对中小企业很有吸引力。信息安全公司McAfee的一项调查显示,大多数组织将部分或全部敏感数据存储在公有云中,只有16%的组织没有在云中存储任何敏感数据。由于管理链条长、定制化安全能力弱,公有云的信息安全治理一直饱受诟病和怀疑。
今年8月,央广网报道了发生在2019年的一次信息泄露:阿里云在未经用户同意的情况下,擅自将用户留存的注册信息泄露给第三方合作公司。阿里云表示,该事件系公司一位电销员工私下获取客户联系方式,并透露给分销商员工,已对事件严肃处理。
该事件中最令人担心的是,无论是媒体的报导,还是阿里云方面的解释,这样的信息泄露似乎并不需要什么技术门槛,也没有发生想象中紧张刺激的信息攻防。
真实的网络泄密大部分没有技术含量
正因为公有云中管理链条较长,且管理权限混乱,如果国有企业严重依赖公有云存储敏感信息,可能会引发严重的信息泄露问题。此次天津市国资委的方案中将国企数据资源明确定义为国有资产。从这样的高度看,国有企业继续大规模的使用公有云,确实存在着风险,“国资云”的出世拥有相当的合理性。
天津市国资委文件截图
不过信息安全有自己的特点,并非沾上“国资”就安全了。信息安全企业卡巴斯基曾就“云安全”在2019年末发布了一份报告。报告指出:“约90%的云端企业数据泄露是由于客户员工遭受社交工程攻击(通俗地说就是被“套磁”或被窃听)造成的”。因此“国资云”的信息安全性,在很大程度上取决于系统开发队伍。不幸地是,这恰好正是国有企业的短板和弱点。
由于目前大部分国有企业的信息产品方案构想能力要大大超过其所拥有的开发能力,大部分的信息业务都外包给信息服务公司去解决,甚至层层转包。从以开发团队为核心的信息安全观念来看,这是非常不利的。
纸质办公的时代,国企员工的涉密等级和职级成正比,进而和泄密代价成正比。而程序的世界里,负责开发的程序员恰恰是最了解程序的构造,一旦有意破坏不仅很难发现,而且追责链条极长。
我们可以想象一个场景,某国有企业因云平台的漏洞发生了信息泄露,假设该企业能知道谁写了这个漏洞,而且可以证明没有被他人假冒。如果要想进一步追究相关的责任,还要证明该漏洞系恶意引入,并要分辨是公司行为还是个人行为,以及是否是社交攻击。这个环节上的每一层级都有充分的动机隐匿可能的事实,现实中要做到这些并不容易。
以虾米音乐曾经引发争议的客户端代码为例,2018年有网民发现,虾米MAC客户端以源代码形式传送的网页前端代码的注释中,将活动赠送的VIP会员账号称之为穷逼VIP,存储主键更是被用英文称呼为乞丐VIP。
引发争议的代码