方滨兴,1960年生于哈尔滨市,中共党员,第十一届全国人大代表。现为信息网络与信息安全专家,中国工程院院士,北京邮电大学校长,国家信息化专家咨询委员会网络与信息安全专委会副主任,国家应急管理专家组成员,国家计算机网络与信息安全管理中心科技委主任,国家973计划信息安全理论及若干关键技术首席科学家,中国互联网协会副理事长兼网络与信息安全工作委员会主任,中国计算机学会副理事长兼计算机安全专业委员会主任,北京市信息化咨询专业委员会委员。
云计算是最新的一个热点,将对IT产业的发展产生深刻的影响。近日,就云计算与云安全等问题,本刊记者采访了方滨兴院士。
云计算是一种商业模式
记者:方院士您好。据说,对于云计算有多种不同的定义。请您谈一下,如何更好地理解云计算这一概念?
方滨兴:过去搞大规模分布式集中计算主要是靠网格计算,网格计算已经很长时间没有动静了。通过关键词搜索可以看到,到了2007年末2008年初,对网格搜索已经被对云计算搜索的蜂拥而至取代了,而且网格计算基本不在媒体出现了。2009年1月份国际上云计算组织专门开了一个会,大概推出了22种定义,这完全是一种不集中、不确定的定义,我也想给它做一个简单的陈述。
记者:云计算这一概念是如何被提出来的?它有哪些组成要素?
方滨兴:最早提出这个概念的是一位副教授,他在经济和管理会议上提出来云计算的概念,从经济学的角度讨论认为云计算是一种计算模式,是由经济原理决定的。到现在为止这个概念还是非常符合实际情况的。什么是云计算呢?就是把一个计算延伸到互联网桌面的无限扩展,可以越扩越大,整个都可以覆盖住,关键在于它是一种商业模式,网格的一个问题就在于它的商业模式比较差。
云计算核心有三个要素,一个是集中,一个是发布,一个是服务。所谓集中就是“云”,就是所有的系统,我们所管理的系统,通常都是同步的,为什么?因为它是由一个企业来支撑,一个企业没必要搞一些杂七杂八的系统,必然要搞同步的系统,聚集起来形成能量就能形成“云”。服务软件也一样,我们有大量的服务在“云”上,只要它聚集在“云”上就叫“云服务”。现在这个社会到处都在被监控,一个城市有几十万、几百万的摄像头,摄像头归属不同的部门,能不能所有的摄像头都归属在一个“云”上,这就相当于一个“云市场”,所有的音频、视频找什么东西都能找到看到。
我们还可以“云认证”,它们之间还可以互联互通。托管也是一样,可以把博客看成是一种软托管的模式,机器都不用看,看到的是个人的内容。总之它的核心是集中。
第二是理论发布。“云”能做什么?必须把你的能力发布出来供别人使用。我在上世纪90年代专门研究计算能力发布,怎么把我的空间发布出去让别人可以存储,把我的空间发布出去别人可以做计算,把我的算法提供出去别人可以提高计算能力,发布是一个核心,不能发布堆在一起也没有用。所以说计算能力发布、计算资源发展是“云”的理论核心。
外线行为就是服务,总之什么东西只要给我看到的是一个过程、是一个外线行为、是一个服务就行了。只要说我需要50个G的东西存储,你给我就行了,让他帮我查病毒就查了,不用看他的软件是怎么编的。只要是给用户提供服务就是“云化”,类似这样的概念有很多,现在很多人都说把我所提供的东西变成一种服务交给你,这就是核心。
云安全:多个云联动互相备份
记者:在云计算的新环境下,云安全有什么新特点?
方滨兴:云安全指的是什么?云安全有三个含义。一个是云安全怎么去服务?云的计算能力是一个终端,我们说木马变化很快,靠简单的匹配量太大了,靠一个终端的机器做不成,那么你靠云来做是不是很好,很多部门都会替你去查哪个网页上面被挂马了,你到Google搜索,他说这上面有一个网页你不要访问,因为它事先已经为你扫描了。这都是云可以去做的事情,告诉你哪些文件是安全的,可以下载的。
基本思路是建立在我的内容和防御的地点在同一个地方,你的内容从哪儿来?一定是从网上来,既然是从网上来,就会把你的内容拦截一刀。在云和防护系统之间不能有任何的信息插进来,你说我的U盘想插进来怎么样,但U盘肯定涉及你的隐私,你愿意把它插进来吗?比如说邮件也是一种隐私,这我就会觉得心里很不放心,从这个角度来说,云不能包打天下。
记者:云安全有什么致命的地方?
方滨兴:首先我们的信息是交给云来处理。你把它变成国家安全站,所有东西都要通过这里转一圈,通道是什么样的?通道是非常可怕的,很多人不太注意。比如说在北京,只要一个超级商场就行,说不要那么多商场,超级商场有多大?能够容纳20万人,够不够?北京现在是1000万人,假定5%的人需买东西,差不多20万人。有多少人开车去?10万人开车去,若前后距离相对是10米的话,那就是100万米,也就是1000公里,你设想一下我的车要走1000公里的路有可能吗?这个问题就很大。另外大家都是加密传输,加密传输的内容你能不能去检查,这是我们下一步要面临的问题。
云的思路很好,但需要和运营商配合,在运营商里做检查,云那边检查所有的操作有没有问题,然后做二次验证,就不会出现现在的问题了,等于他一出家门口就告诉他不要去那个地方。
云自身会不会被伤害?只要云开放,开放就等于不安全,需要做什么呢?需要用云的人得证明你没有害他,我怎么检查你没有害我,这就是一个需要做研究的问题,我们需要保证云不会被攻击,而且保证它能够提供服务。我们来看看亚马逊的当机,他的当机导致了Twitter等都中断了,这种中断会不会使历史数据都被毁掉?这件事情是有的,出问题是必然的,不出问题倒是偶然的,当初这个问题怎么解决,这就面临着我们怎么保证自身的安全,不是说它不出问题,而是出了问题怎么解决。我们应该用多个云联动在一起,互相可以做一个备份。
记者:如果云出了问题,怎么解决呢?
方滨兴:最基本的解法就是通过虚拟机。怎么为云设置防火墙,这都是需要认真研究的问题。
第三个安全就是云会不会伤害我。这个问题就存在防人之心不可无,你拿什么声明告诉我你的云是安全的,现在没有声明,等于使用者自担风险,我相信你,有什么问题我也没脾气。需要做的是怎么保证我在云中的程序不被抄袭。云中的程序不被分析,我这个可能是一个商业秘密,分析完之后对我是一个侵害,怎么保证不分析我。另外我的数据要保证不能被你拿走,这都是具有巨大商业价值的。所以我们需要一个可信的云。
说云可信,凭什么它可信?怎么知道它可信?我在买大型设备的时候,我一定要到厂家参观参观你有没有实力,可是当你用云的时候,你用一万个节点的时候,你说到厂家去看看,你不知道,厂家也不知道。我的东西放进去怎么保证不被你偷窥,怎么保证你不会看,这就得靠我自己加密,运行中不断解密会导致我的运行效率很低。
再有就是我们的数据,谁愿意把数据托给云,基本上是两类,一个是数据本身没有秘密,或者是很小的企业,不见经传的企业没有人想攻击它,所以无所谓,我就放在那,当然神州数码这么大的企业肯定有竞争对手盯着,把数据放在那里,不知道会不会放心。在云计算中加密你是放心还是不放心,这就是程序本身的分析带来的问题。即我们怎么能保证云是让你放心的。
云的经济模型理念—弹性理论
记者:请您谈一下云的经济模型。
方滨兴:云的经济模型理念是什么?叫做弹性理论。比方说神州数码在一年中总有那么一段时间需要满负荷的运转,可能是10000台节点构成的,可是平常顶多用到10000个节点的5%到20%,这产生了巨大的浪费,怎么办?我到云那里申请,平常的申请可能是200个节点,或者是1000个节点,关键时候申请到10000个节点。云把很多设备放在一起供你们资源互相利用。如果独有资产和你在云上找独有资产成本没有差别,我为什么还要找你,所以这种解决方案显然是违反了云自身的经济规律。
记者:为什么说云的开放性可能会让云变成作恶的源头?
方滨兴:云的开放性,可能让云变成了作恶工具,在网上作恶必须要有控制端,调用网站你得有假网站,木马得有控制端,都跑哪儿去了?都跑云上去了,云就成了作恶的源泉。
云还能管理吗?我们国家的等级保护制度到云里怎么推行,你不知道什么时候哪个部分给谁用,这个问题就变得很大。你对云进行安全监控,很多系统,包括内容都是隐藏着的,只有在应用层运转的时候才弹出来,这就带来了问题。这样安全管理就具有巨大的挑战性。
由此我总结出云的三个形态,一个是拿云做服务,二是云自身的安全,三是云对用户来说是否安全。
云计算是一种计算模式,可以实现计算的边界由经济原理决定而不是由技术限定决定。这就要求在云中的用户把数据集中、处理再发布,在这个过程中,数据存在着安全问题。
记者:云计算与网格计算有什么区别?
方滨兴:部分专家认为,云计算概念与以前的网格计算概念,虽然两者技术上的概念一致,但网格计算可以实现实名制,它把所有入网的人都假定为“坏人”,而云计算的架构中,先假定所有人都是“好人”,这就存在着信誉的风险。
同时,推动目前这个安全隐患的另一个原因就是行业中的企业。网格计算被称为学术界热、商界不热,而云计算被称为商界热、学术界不热。
目前云安全更大的问题来自于网络之外的威胁,如U盘、私人邮件等,而用户是不会把自己所有隐私公开的,这就决定了用户端不止需要一个连接点,还需要一个完整的防威胁运算架构,这反过来让云计算失去了自己的特点。