一、云计算发展概况
随着我国深入实施网络强国、国家大数据战略,先后发布数字经济发展战略、“十四五”数字经济发展规划,加快推进数字产业化和产业数字化,数字经济总体规模连续多年位居世界第二。根据《中国数字经济发展研究报告(2023年)》,2022年,我国数字经济规模达到50.2万亿元,同比名义增长10.3%,数字经济占GDP比重相当于第二产业占国民经济的比重,达到41.5%。
云计算通过互联网计算方式共享软硬件资源并提供服务,作为信息技术发展和服务模式创新的集中体现,传统IT结构逐渐向云构架转变,云计算服务已经成为企业及产业数字化转型的重要基础。数字经济时代,云计算为“新基建”为经济发展提供了新势能,远程办公、在线教育等SaaS服务的进程不断加速,SaaS服务的产业渗透率持续增长,云计算产业的发展趋势得到巩固加强。
数字经济时代,算力正成为一种新的生产力,作为算力服务中枢,数据中心是数字化转型的基础设施,面对业务数字化、互联网化、智能化对企业数据中心在性能、敏捷性、总拥有成本等方面提出更高要求,传统数据中心无法满足新的发展需求,数据中心“云化”成为企业数字化转型的必经之路。
二、我国云计算产业发展现状
世界各国高度重视云计算技术,纷纷出台政策举措支持产业发展。我国高度重视云计算产业的发展,从战略规划到标准规范,地方实践与企业探索也在加速推进。
1.积极出台战略规划加强产业指引
我国积极出台培育云计算产业的政策举措,结合全球云计算发展的趋势,从云计算到数据中心建设,出台战略规划加强产业指引。“十二五”期间,我国把云计算列为新一代信息技术产业重点发展方向。“十三五”期间,我国重点突破云计算关键技术,把云计算产业作为夯实互联网应用基础来推进。“十四五”期间,加强云计算系统的一体化研发,把云计算作为新兴数字产业加快推动。
从产业发展来看,国家持续出台培育产业发展、深化行业应用政策举措。2015年1月,国务院印发《关于促进云计算创新发展培育信息产业新业态的意见》,指出云计算是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的全新业态。
2016年7月,中共中央、国务院印发《国家信息化发展战略纲要》,加强大数据、云计算等协同发展。
2017年4月,工信部印发《云计算发展三年行动计划(2017-2019年)》,着力培育一批基于云计算的平台经济新兴业态。
2018年8月,工信部印发《推动企业上云实施指南(2018-2020年)》,来优化企业的生产经营管理。
2019年10月,国家发改委、国家市场监管总局发布《关于新时代服务业高质量发展的指导意见》,推动云计算技术在服务领域深度应用,提升服务业数字化水平。
同时,国家持续出台行动计划、启动工程建设、布局实施方案,加速提升云计算数据中心成为新型基础设施。
2020年3月,中央政治局常委会召开会议,明确指出“要加快5G网络、数据中心等新型基础设施建设进度”。2020年4月,国家发展改革委、中央网信办印发《关于推进“上云用数赋智”行动 培育新经济发展实施方案》,大力培育数字经济新业态,深入推进企业数字化转型。
2021年3月,国家“十四五”规划纲要中明确提出要“加快构建全国一体化大数据中心体系”,同时从现代化、数字化、绿色化方面对新型基础设施建设提出了方针指引。2021年5月,国家发展改革委、中央网信办等联合印发《全国一体化大数据中心协同创新体系算力枢纽实施方案》,启动实施“东数西算”工程,加强全国一体化大数据中心顶层设计。2021年7月,工业和信息化部印发《新型数据中心发展三年行动计划(2021-2023年)》,提出构建以新型数据中心为核心的智能算力生态体系,发挥对数字经济的赋能和驱动作用。
2022年1月,《“十四五”数字经济发展规划》提出加快实施“东数西算”工程,持续推进绿色数字中心建设。
2.持续制定标准规范加强行业指导
国家有关部门持续制定云计算的标准规范,加强行业指导,同时云计算相关国家标准、行业标准和团体标准的分类分级建设有序推动了企业高质量上云用云。
2014年,国标委发布的《信息安全技术云计算服务安全指南》与《信息安全技术 云计算服务安全能力要求》提出了政府部门采用云计算服务的安全管理基本要求,以及云计算服务的生命周期各阶段的安全管理和技术要求。
2015年10月,工信部印发《云计算综合标准化体系建设指南》,以云基础、云资源、云服务和云安全组成的云计算综合标准化体系框架为基础,提出信息安全和隐私保护等问题的29个标准研制方向。
2016年11月,工信部印发《关于规范云服务市场经营行为的通知(公开征求意见稿)》,明确云服务经营相关法律法规,在经验资质、技术合作、质量保障、境外联网、管理责任、数据保护等方面对云服务经营者提出要求。
云计算服务的标准体系分类分级不断完善,涵盖了云计算框架和术语、技术和架构等多个领域,政务、金融、工业等行业应用标准数量显著增加,推动云计算向行业深度应用落地。
2018年10月,国家质检总局发布《基于云计算的电子政务公共平台安全规范》从服务分类、应用部署、数据迁移、应用开发设计、运行保障管理等方面为政务云制定了标准。
2019年10月,国家网信办、国家发改委、工信部、财政部等四部门发布了《云计算服务安全评估办法》,提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。
3.地方积极探索实践助力企业转型
为全面贯彻落实国家云计算发展战略,各省市纷纷出台一系列云计算发展的产业规划和支持政策,以建设云计算创新服务试点城市为契机,加强云计算产业布局和助力企业转型升级。
2020年4月,上海市发布了《上海市促进在线新经济发展行动方案(2020-2022年)》,优化政务云资源配置,依托电子政务云,推动新兴技术先试先用等。2020年4月,河北省印发《河北省数字经济发展规划(2020-2025年)》,提出建设大数据云计算产业集聚区,推动云计算数据中心、绿色智能服务器、软件与信息服务等产业集聚。2020年6月,重庆市发布《重庆建设国家数字经济创新发展试验区工作方案》,提出要用好“云联数算用”要素集群,打造千亿级数字经济产业集群。
2021年3月,福建省发布《国家数字经济创新发展试验区(福建)实施方案》,提出深入实施“上云用数赋智”行动,促进中小微企业“上云上平台”。2021年3月,江苏省发布了《江苏省星级上云企业评定工作指南(2021年版)》,提出大力推动“企业上云”工作。《江苏省加快推进工业互联网创新发展三年行动计划(2021-2023年)》提出到2023年,重点面向中小企业创建2000家星级上云企业。《大连市企业上云三年行动计划(2019-2021年)》,提出到2021年,打造5-10家云平台服务商,推进6000家中小企业上云。
根据《中国云计算产业发展白皮书》预测,2023年中国云计算产业规模将超过3000亿元,其中政府和企业上云率将超过60%,全站自主可控计算平台将成为政府和大型企业的主流IT基础设施。我国各地区数字化转型深入推进,2020年12月,河南省发布《河南省数字政府建设总体规划(2020-2022年)》,提出通过省政务“一朵云”聚合全省各级各类政务数据和应用。2020年11月,安徽省发布《“数字政府”建设规划(2020-2025年)》,提出推进“云网”基础设施建设。
三、云计算产业面临安全挑战
随着数字化转型升级的深化,数据中心的规模也在不断增加,上云成为企业优化流程、数字驱动业务的重要手段,传统的云安全体系无法适应新型的网络安全态势变化,面临严峻的安全挑战。
1.从传统网络攻击到数据资产泄露频发
数据作为新型生产要素和重要数字资产,是数字经济深入发展的重要基础。随着人工智能产业、数据要素市场等新场景、新需求的快速发展,数据中心的发展成为加速云计算的重要驱动,行业级、企业级的数据中心规模不断扩大,云上数据资产保护逐渐成为网络安全防护的薄弱环节。
数据资产保护面临的问题日趋复杂。一方面是数据资产价值大,尤其是企业数据涉及商业信息等,成为不法分子关注的焦点。企业类型多、规模大,数据中心治理效能较弱。另一方面,企业在上云过程之中,生产流程多、业务种类多、设备类型多,治理效能比较弱,数据安全防护处于分散状态。
2021年7月,IBM Security发布了“2021年数据泄露成本报告”,指出每次数据泄露事件平均为公司带来424万美元的损失。《金融行业网络安全白皮书(2020)》研究显示,金融隐私泄露事件大约以每年35%的数据在增长。《2023年泰雷兹云安全研究》报告显示,有超过三分之一(39%)的企业在其云环境中经历了数据泄露,和2022年报告的35%相比有所增加。
2.从数字转型升级到业务驱动融合难题
随着相关云服务支持政策的不断出台,数字化升级、企业上云、业务迁移等也随之展开,我国云服务市场与数据中心规模快速增长。以企业为主体的数字化转型升级,也逐渐从信息技术化到运营技术化转变,也进一步加速了传统网络环境下的攻击手段向工业制造等运营技术环境进行渗透,对于相对封闭的企业运营技术环境而言,企业运营运维环境的暴露面增大,容易导致安全流程复杂、运营管理脱节、安全防护缺位等现实难题,对云化环境下的网络安全带来了全新的挑战。
2021年3月,欧洲云计算巨头OVH位于法国斯特拉斯堡的机房发生严重火灾,导致350万家网站下线,部分客户数据丢失无法恢复。网络安全机构Fortinet发布《2022年全球运营技术和网络安全态势报告》,认为运营技术环境仍然是网络犯罪分子重要的攻击目标,93%的运营技术组织在过去一年中曾遭遇威胁入侵。《2022中小微企业数字安全报告》指出,中小微企业成为数字供应链中最薄弱的环节,数字安全正成为中小微企业数字化发展的关键挑战。2023年6月发布的《2022工业互联网安全态势报告》显示,在工业领域,供应链攻击、勒索软件攻击、地缘政治相关黑客攻击等网络威胁持续上升,以僵尸网络感染、非法外联通信、木马后门感染等为主的网络攻击,是当前工业互联网面临的主要安全威胁。
3.从云化虚拟场景到安全边界难以界定
随着数据中心IT架构的不断变化,传统物理边界的网络安全设备防护已经无法适应网络安全的新需求,算力设施资源从传统物理设备向虚拟化、容器化演进,传统安全边界在逐步消失。一方面,数据中心的需求加速了云计算的纵深式发展,公有云、私有云、混合云等部署模式面临的漏洞和威胁也日益增多,云数字资产面临的网络攻击频度也日益增大;另一方面,云计算的弹性部署、虚拟化特性,也成为网络攻击的热点,传统的云安全体系无法适应新型的网络安全态势变化。
腾讯安全发布的《2021年度公有云安全报告》显示,漏洞利用成为可以攻击云主机的主要通道,且云上资产安全基线管理存在风险隐患。云基础设施安全公司Ermetic的调查显示,几乎100%的上云企业在过去18个月中至少经历了一次云数据泄露事件。根据网络安全研究机构SANS发布《2022年顶级新攻击和威胁分析报告》,云存储数据外泄已成为2022年最常见的攻击路径之一。国际数据公司(IDC)2023年1月份发布的一份报告显示,98%的组织在过去18个月中至少遭受过一次云安全漏洞被利用的情况。
四、持续加强云计算安全防护的有关建议
面对企业上云转型升级面临的网络安全挑战,宜推进安全评估工作、健全网络安全体系、安全数字基础设施建设等,持续加强云计算安全防护。
1.持续开展安全评估工作,提升风险防控能力
第一,探索推进数据中心安全等级评估,突出数据中心的绿色、智能、弹性的建设运营理念,研究制定数据中心安全等级评估标准规范,优化安全等级评估流程,探索实施安全等级分类管理。
第二,全面落实数据中心安全风险评估。健全数据中心安全风险评估机制,定期围绕数据资产识别、威胁识别和脆弱性识别等形成安全风险评估报告制定安全风险清单和隐患排查标准,源头治理、过程管控、应急响应、检测预警的协同效应。
第三,持续完善数据中心安全合规评估。严格按照《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法规条例进行合规评估,根据经营管理活动领域、部门法领域、业务领域、法律责任分类等健全合规评估指标体系,积极探索引入第三方合规评估机制。
2.持续健全网络安全体系,提升安全防护能力
第一,积极推进网络安全主动防护理念。构建以数据为中心的安全技术主动防护体系,加快云管平台、云组件、分布式存储系统等关键环节的技术研发,拓展主动安全防护技术的产业链。
第二,探索云数据中心的新型网络安全架构。研究策略化、自动化、虚拟化等管理架构,围绕安全服务实现按需编排、平滑迁移等多能力融合的弹性解决方案。
第三,规范建设统一安全管理中心。采用“网络准入”“身份验证”“终端控制”等方式加强安全管理的可溯性,持续打通云内安全与整体安全的协同性,加强构建监控检测、威胁情报、响应处置、能力提升的一体化闭环安全管理体系。
3.持续推进数字安全基础设施建设,提升安全底座能力
第一,加强网络安全基础设施建设。拓展网络化、共享化、服务化、数字化为特征的新型公钥基础设施,围绕资产测绘、漏洞管理、态势感知、运营监管、实战靶场、绿色节能等重点领域强化网络安全基础设施建设,持续提升网络安全基础设施的一体化安全运营能力。
第二,筑牢云安全产业共性技术。统筹龙头企业、研发机构、高校研所等联合攻关云计算关键技术,加强核心专利布局,掌握云计算发展制高点;着力突破核心电子器件、高端通用芯片、开源计算平台等科技专项成果与云计算产业需求对接,积极推动安全可靠的云计算产品和解决方案在数据中心的应用。
第三,拓展新场景的云数据中心安全产业生态。以市场需求为导向,围绕云平台的兼容适配性、云安全的智能化技术等,鼓励龙头企业和科研机构、中小企业等搭建资源协同、开放共享的云计算安全平台,大力培育场景需求的云安全产品。