成人免费午夜在线观看,伊人久久精品,一区二区三区精品

【文/觀察者網專欄作者 余鵬鯤】

近期，天津市國資委推出《關于加快推進國企上云工作完善國資云體系建設的實施方案》，引發(fā)了輿論的熱議。該方案爭議點在于，要求天津市各國企今后不再租用公有云資源，逐步將服務和數據轉移到國資系統(tǒng)云平臺，并由國資云公司提供技術支持。

“國資云”消息一出，無疑會使人思考以行政命令設立市場準入門檻，成立企業(yè)提供相關的服務，是否會改變行業(yè)競爭的形式，或者改善國有企業(yè)的信息安全呢？

信息安全的核心在于系統(tǒng)開發(fā)隊伍

公有云與自建機房相比具備使用和開發(fā)成本低、容易拓展和擴容、體系穩(wěn)定成熟等許多優(yōu)點，對中小企業(yè)很有吸引力。信息安全公司McAfee的一項調查顯示，大多數組織將部分或全部敏感數據存儲在公有云中，只有16%的組織沒有在云中存儲任何敏感數據。由于管理鏈條長、定制化安全能力弱，公有云的信息安全治理一直飽受詬病和懷疑。

今年8月，央廣網報道了發(fā)生在2019年的一次信息泄露：阿里云在未經用戶同意的情況下，擅自將用戶留存的注冊信息泄露給第三方合作公司。阿里云表示，該事件系公司一位電銷員工私下獲取客戶聯(lián)系方式，并透露給分銷商員工，已對事件嚴肅處理。

該事件中最令人擔心的是，無論是媒體的報導，還是阿里云方面的解釋，這樣的信息泄露似乎并不需要什么技術門檻，也沒有發(fā)生想象中緊張刺激的信息攻防。

真實的網絡泄密大部分沒有技術含量

正因為公有云中管理鏈條較長，且管理權限混亂，如果國有企業(yè)嚴重依賴公有云存儲敏感信息，可能會引發(fā)嚴重的信息泄露問題。此次天津市國資委的方案中將國企數據資源明確定義為國有資產。從這樣的高度看，國有企業(yè)繼續(xù)大規(guī)模的使用公有云，確實存在著風險，“國資云”的出世擁有相當的合理性。

天津市國資委文件截圖

不過信息安全有自己的特點，并非沾上“國資”就安全了。信息安全企業(yè)卡巴斯基曾就“云安全”在2019年末發(fā)布了一份報告。報告指出：“約90%的云端企業(yè)數據泄露是由于客戶員工遭受社交工程攻擊（通俗地說就是被“套磁”或被竊聽）造成的”。因此“國資云”的信息安全性，在很大程度上取決于系統(tǒng)開發(fā)隊伍。不幸地是，這恰好正是國有企業(yè)的短板和弱點。

由于目前大部分國有企業(yè)的信息產品方案構想能力要大大超過其所擁有的開發(fā)能力，大部分的信息業(yè)務都外包給信息服務公司去解決，甚至層層轉包。從以開發(fā)團隊為核心的信息安全觀念來看，這是非常不利的。

紙質辦公的時代，國企員工的涉密等級和職級成正比，進而和泄密代價成正比。而程序的世界里，負責開發(fā)的程序員恰恰是最了解程序的構造，一旦有意破壞不僅很難發(fā)現，而且追責鏈條極長。

我們可以想象一個場景，某國有企業(yè)因云平臺的漏洞發(fā)生了信息泄露，假設該企業(yè)能知道誰寫了這個漏洞，而且可以證明沒有被他人假冒。如果要想進一步追究相關的責任，還要證明該漏洞系惡意引入，并要分辨是公司行為還是個人行為，以及是否是社交攻擊。這個環(huán)節(jié)上的每一層級都有充分的動機隱匿可能的事實，現實中要做到這些并不容易。

以蝦米音樂曾經引發(fā)爭議的客戶端代碼為例，2018年有網民發(fā)現，蝦米MAC客戶端以源代碼形式傳送的網頁前端代碼的注釋中，將活動贈送的VIP會員賬號稱之為窮逼VIP，存儲主鍵更是被用英文稱呼為乞丐VIP。

引發(fā)爭議的代碼