云计算时代对中国在用户数据和信息保护方面产生了的两个新问题,一个是数据和信息可能存在被跨境备份的风险,一个就是外国人在国内数据中心现场进行维护运营。
“工信部关于云计算服务的标准已经在制定中了,预计未来两三个月就会对社会正式公布进入征求意见阶段了。”近日,一位参与标准制定的专家对《中国产经新闻》记者透露。
作为计算技术体系演进的新阶段,云计算时代的到来正在打破以往形成的产业格局甚至是政府监管的传统方式。近日,在一家云计算服务运营商的数据中心,企业负责人指着一群正在忙碌的外国人对《中国产经新闻》记者说道:“看看这场面,你觉得有什么不对劲的地方吗?”
“坦率地说,虽然国内云计算概念热了两年,但论技术实力,能够向用户提供商业级的云计算软硬件产品和解决方案的也就那几家美国公司,硬件企业不超过3家,软件平台也就5家左右。你看到的那群外国人就是软件平台供应商在印度的外包合作伙伴。这还真不同于以前的系统软和硬件厂商售后服务,那只是在用户需要时请来上门服务,而现在的云计算服务是7X24运营,美国公司的印度合作伙伴也得全天候地待在我们公司的数据中心现场,更重要的云平台是直接涉及用户信息和存储内容的。让一群外国人天天在中国的数据中心看中国用户的数据和信息,这合适吗?”在该企业负责人的解释下,记者迅速明白了云计算运营服务由于缺少相应的国家标准,以往为保障国家信息安全针对外国企业和外国人的一些法规条款正在被规避和突破。
上世纪末,互联网在全球掀起一阵普及热,与网络相关的信息安全问题也日益突出。IT产品尤其是软件产品的安全等级也就成了计算机产业的新问题,而美国政府更是立法严禁高安全等级(B2以上)的IT产品出口,并将信息安全产品列为武器进行管制。1999年10月,中国国务院正式发布了《商用密码管理条例》,对境外生产的密码产品进行严格管制。该《条例》颁布的第二年,也就是中国正式加入WTO的第一年就发生了一起针对外国进口软件产品的管制,该产品仅在传统上对国产IT产品质量并不信任的银行业卖了一单就被禁止再销售。
除含密码技术的产品外,中国的公安部门还依据《计算机信息系统安全保护条例》对列为计算机信息系统安全专用产品的IT产品实行检测和销售的许可证制度。孔志印,一位国内经营信息安全产品类企业的技术人士对记者解释道:“许可证制和相关的企业资质规定其实主要还是针对外国资本和外国人的,比如外资不能是公司的单一最大股东,公司董事会中不能有外籍人士。”
对于信息系统的信息安全监管,国内目前实行的是于2006年起生效的安全等级保护制度,对服务器、终端、操作系统和数据库管理系统等关键类IT产品制定了相应的安全技术要求。不过对于国内来说,硬件产品还有国产品牌的心理安全效应,而操作系统和数据库管理系统的盗版式普及推广让外国企业对中国异常恼火。李剑坡,一位前太阳微计算机系统(中国)公司的员工对记者表示:“在中国大陆,也就微软还多年坚持下来打盗版,数据库软件的老大甲骨文一开始也打,后来也就放弃了,毕竟企业级的软件还能收上些服务费。”
2011年7月,为加强政府部门信息技术外包服务的安全管理,保证政府信息和信息系统安全,工信部颁布了外包服务机构申请信息安全管理体系认证的安全审查程序,由国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构进行认证。随着近年云计算的崛起,欧美国家开始认识到“数据主权”的意义,本国用户的数据和信息不应该被云计算服务商轻易转移到国外。
2012年6月,国务院在下发的《大力推进信息化发展和切实保障信息安全的若干意见》中明确提出,严格政府信息技术服务外包的安全管理,为政府机关提供服务的数据中心、云计算服务平台等要设在境内,禁止办公用计算机安装使用与工作无关的软件。
“云计算时代对中国在用户数据和信息保护方面产生了的两个新问题,一个是数据和信息可能存在被跨境备份的风险,一个就是外国人在国内数据中心现场进行维护运营。”前述云计算服务商的负责人对记者分析到。