第四届中国CIO年会在北京国家会议中心召开,本届中国CIO年会是一场“云”的盛宴!以云计算应用为着眼点,引来着众多知名CIO、行业信息化专家和相关云计算厂商的广泛关注。
数据库安全专家刘志斌
在第四届中国CIO年会下午的信息安全分论坛中,数据库安全专家刘志斌给我们带来的以“未来云计算应用安全与挑战”为题的精彩演讲:云计算万一没有安全的话,那也是不得了的事情,说老实话我对云计算的理解不是特别深,让我讲一些跟云有关的,我讲的不是特别好,我就从我这么多年实际工作经验跟大家交流一下。
云计算、云服务离不开云存储,我个人理解,今天有了互联网,网络互相连接了,能上网浏览东西,那网络的高速化必然走到云计算这一步。有了网络高速化,个人都可以光纤入户,企业可以把他的数据,把他的服务给移到全世界的各个地方。不管今天你接触到了还是没有接触到,这以后都是一个方向,这一点是毫显然问的,这中间也有好多问题需要解决。
云服务离不开云存储,云存储刚才已经介绍的很清楚了,我们从用户的角度讲,你是提供云服务?还是想用云服务?也许是二者皆有。我们最能够提供到的公共云,比如我们提供了网络存储空间,现在有的厂商,一般都是多少个GB,有的最大是1个TB,这个量是相当的大,那么这么大量的数据,它的安全是一个很大的问题,我意思就是说万一做公共云,要给它提供服务。
除了数据量大以外,还有一个什么特点?我们做数据库,数据库划分有敏感数据,有重要数据,有日常业务每天离不开的数据,还有一些历史数据,还有参考数据,我们对这个数据的划分是非常清楚的。网络提速以后,要保存这么多的数据,就要承担义务,即便没有法律义务,也有一定的公司形象和信誉的问题,以前我们管理数据是划分的,我们常用的重要数据,比如说每天处理最重要的数据在最快服务器上,最敏感服务器我们用最强的安全措施,那哪个是敏感的?哪个是重要的?你根本不知道,根本搞不清楚是怎么回事。
这个图让我们想到,我们有一出很著名的京剧叫《三叉口》,这个背景是在7月的一个晚上,两个人在这儿厮打,这在某种程度上要考虑一个问题,我们在提供云服务的时候要充分考虑到区分不同性质的东西。
我们一直担心云,有一些数据,对于内部可以说这是几年前的数据,有报告,写了报告以后可以交给信息部门,他们可以两天以后把数据给倒过来。但是今天的数据哪个是可以是必须要的,哪个数据万一没有马上拿到的话,那就觉得你这个服务不可取。比如突然中断服务30分钟,万一是大型企业的话,那就要上媒体了。再有就是应该多样,不知道提供什么样的数据,以前传统的数据库管理,有格式化数据,专门文件系统之下支持大容量的文件,但是现在是什么?还是不知道,这都是我们很现实面临的问题。
碰到这样一些问题怎么做呢?现在有各种各样的群体结构,说句实在话,对这本身了解不熟。云应用什么样的技术,能不能满足我的要求,这是我们要做的一件事情,另外一件事情,万一你试图去提供,那你也有好多事情要解决。万一把数据给你,你怎么能够保证安全,我们这里讲的安全是一个广义的概念,万一你的数据损坏了,这也是安全性,或者说你的数据不可用了,那有一天的时间,系统恢复不了,那这个在安全上,从广义上讲也是安全出了问题。