上世紀80 年代起的桌面電腦、互聯網革命，以技術進步為前導激發人民的潛在需求，創造出來更多的市場和商業模式，成就了微軟、甲骨文、Sun和雅虎等公司。如今物聯網、云計算、三網融合已經成為最常被提及的三個關鍵詞，這三個熱門領域從技術層面和業務層面給產業帶來了全新的變革。

繼個人計算機、互聯網變革之后，2010年，云計算被看作第三次IT浪潮，它成為了中國戰略性新興產業的重要組成部分。它將帶來生活、生產方式和商業模式的根本性改變，是當前全社會關注的熱點。

隨著Google、亞馬遜、Salesforce的巨大成功，人們對云計算的質疑聲越來越少、越來越弱，云計算作為IT發展的下一個關鍵方向已經基本得到了確認。云計算如此高效，正讓整個IT行業發生變革，然而相應的安全性問題也隨之進入了用戶的視角。

云計算的商業價值

云計算的商業價值正在被迅速證明，Amazon早在2006年就開始提供無合同的即用即付計算服務，所有用戶需要的僅僅是一張信用卡和點幾下鼠標，就可以隨心所欲地選擇需要的軟件。

有分析師稱，云計算意味著企業計算模式的巨變。Gartner預測，到2013年，云計算的產值將達1501億美元。

IDC報告顯示，全球2009年第三季度的服務器銷售量上升了13.2%。2009至2014年的虛擬服務器年復合成長率(CAGR)達到14%。在一些成熟市場，數據中心采用虛擬化技術已經成為主流趨勢;此外，新興市場的中企業在迅速增加服務器投資的同時也日益關注數據中心效率的提升。由此，IDC預測服務器虛擬化的強勁增長趨勢將持續至2014年。同時，隨著越來越多的企業采用虛擬服務器，企業將尋求能夠保護虛擬化主機、虛擬化監管程序 (hypervisor) 并且能有效防御惡意軟件與黑客攻擊的虛擬服務器安全解決方案。

Qualys的首席執行官和云安全聯盟的創始成員Philippe Courtot，不但了解云計算的潛力，也了解實施工作帶來的挑戰。他說：今天，云計算憑借各種供應商提供更高的服務水平和提供給關鍵業務應用的平臺，已經在企業中獲得了巨大的動力。云計算的概念很簡單，這意味著大量的計算資源，包括硬件、關鍵業務數據和應用，駐留在企業以外的地方，在云端，可以很容易地通過一個網頁瀏覽器訪問。這提供了很多好處，從較低的硬件、軟件和服務成本開支，到節約電費成本，以使員工廣泛地通過多種設備從遠程獲得應用。

云計算所帶來的另一個趨勢變化莫過于云所帶來的信息安全企業本身的業務模式改變。業界普遍的看法是，云計算不僅僅是受保護的對象，亦是新型安全服務的承載者，基于云計算的安全服務必將徹底顛覆固有的安全防護思維。

安全是云計算的核心問題

隨著數據中心不斷整合，以及虛擬化、VDI、云端運算應用程序的興起，越來越多的運算效能與數據都集中到數據中心和服務器上。不論企業選擇的是物理或虛擬服務器，將數據存儲在企業數據中心內部或存放在云端，用于存放核心商業數據的服務器及數據本身，都需要安全保護。

在IDC的一次關于“您認為云計算模式的挑戰和問題是什么”的調查中，安全以74.6%的比率位居榜首，可見安全問題是人們對云計算最大的擔心。

趨勢科技首席執行官陳怡樺認為：“云計算的日益普及已經使越來越多的云計算服務商進入市場。隨著在云計算環境中存儲數據的公司越來越多，信息安全問題成為大多數的IT專業人士最頭疼的事情。事實上，數據安全已經是考慮采用云基礎設施的機構主要關注的問題之一。”

在云計算產業發展中，政府用戶關注的核心聚焦在數據安全、云計算的標準建設及產業生態系統打造等方面;企業在部署云計算服務時，更注重云的安全性、云服務提供商的運營經驗及現有的成功案例等要素;消費者在選購云服務時，對云提供商的口碑、用戶數量和一致性體驗表現出了特別的關注。

賽迪顧問認為，中國云計算的產業化快速發展尚存在如用戶認知不足、標準缺失、數據主權爭議、可用性穩定性擔憂、用戶鎖定、服務質量難以規范等諸多障礙。其中，標準和安全這一對“翅膀”以及相關法律法規的完善是最為核心，也是最迫切需要解決的核心問題。

安全問題能否解決是關系到云服務能否得到用戶認可的關鍵要素。除了可能發生的大規模計算資源的系統故障外，云計算安全隱患還包括缺乏統一的安全標準、適用法規以及在用戶的隱私保護、數據主權、遷移、傳輸安全、災備等方面存在問題。中國的云計算產業發展必須在數據加密、遷移、備份以及位置控制方面進行深入的研究，保證云服務的易用性、可用性、穩定性、安全性。安全問題的解決還包括云計算相關法律法規的不斷完善，比如在數據隱私保護、數據主權歸屬、服務協議保障、服務商資質認定等方面規范的制定都將為云計算產業的發展奠定堅實的基礎，增強用戶使用云計算的信心，讓他們愿意為云計算付費。也唯有如此，才會有更多的云應用服務商實現云上的盈利，從而開發更多的應用，實現產業的良性循環和可持續發展。

SuccessFactors公司云計算服務部門副總裁Tom Fisher表示：“SuccessFactors數據中心儲存了3000多名客戶和超過600萬用戶的重要業務執行信息，這使得安全性已成為關系運營成功的核心問題。”

投資到云計算安全領域

2009年2月，Google Gmail 郵箱中斷服務長達4小時。這次故障可能是由于位于歐洲的數據中心進行例行維護，使得歐洲另一個數據中心過載，并波及到其他的數據中心，最終使Google Gmail 郵箱發生全球性的服務中斷。2009年3月中旬，微軟的Azure停止運行約22個小時。2008年亞馬遜公司S3服務曾斷網6小時。

云計算服務自身的安全隱患隨著應用的不斷深入逐漸暴露出來。盡管云計算可以使商業用戶和個人用戶獲得很多好處，但當用戶開始使用云計算服務時，就會出現很多安全問題。

在使用云計算的時候，最先考慮的是如何解決云計算的安全性問題，這些問題已經被逐漸具體化，同時在VMware虛擬機保護、遠程接入及終端數據防護方面已經出現了有針對性的解決方案，同時通過大型企業來運行專業的云計算服務，實現云計算服務的可靠性、可用性和安全性。

云計算的安全性主要通過依靠安全策略以及服務提供商的更高級別的技術手段和政府的法制法規來實現。對于分散部署IT系統的中小企業來說，由于數據信息防護手段不健全，安全成為其最大的隱患。通過把數據和系統部署在具有更多安全技術手段的云中，將最小成本實現IT的安全性。

信息安全已經成為整個IT市場的亮點，各廠家或為了完善產品線獲取新的市場，或者為了促進現有業務的協同發展逐步進入該領域。

微軟、思科、Oracle、EMC、Novell 都已經開發了自己的產品并開始進入這個市場。而一些傳統的安全廠商，像IBM、CA、賽門鐵克、McAfee、趨勢科技也取得了進一步的發展，安全廠商寡頭壟斷趨勢加劇信息安全產業進入了新的時代。

用戶的困惑與選擇

隨著信息技術發展，近幾年各種類型的云計算和云服務平臺越來越多地出現在人們的視野中，比如郵件、搜索、地圖、在線交易、社交網站等等。由于它們本身所具備的便利性、可擴充性、節省成本等各種優點，這些云計算和云服務正在越來越廣泛地被人們所采用。

但與此同時，這些“云”也開始成為黑客或各種惡意組織和個人為某種利益而攻擊的目標。比如利用大規模僵尸網絡進行的拒絕服務攻擊(DDoS)，利用操作系統或者應用服務協議漏洞進行的漏洞攻擊，或者針對存放在“云”中的用戶隱私信息的惡意攻擊、竊取、非法利用等，手段繁多。除此以外，組成“云”的各種系統和應用依然要面對在傳統的單機或者內網環境中所面臨的各種病毒、木馬和其他惡意軟件的威脅。

用戶在試圖選擇云安全產品時，卻找不到任何可以依據的標準。雖然即使在國內市場上，“云安全”的標簽也隨處可見，包括瑞星、趨勢科技、卡巴斯基、McAfee、Symantec、熊貓、金山、360安全衛士等國內外安全廠商都推出了云安全解決方案，但是，對什么樣的方案才能保護云浪潮下的企業安全，真正的答案卻始終讓人如墜霧中。

具有諷刺意味的是，在如何理解“云安全”這一概念上，黑客似乎有著更為清晰的邏輯，并且很快付諸行動。我們可以看到，黑客利用“云”中的分布式計算能力，可以更快地破解用戶密碼，可以更高效地通過控制“僵尸網絡”實現惡意攻擊，近年來幾次大規模的斷網事件，以及高達十幾倍的分布式拒絕服務攻擊流量的增長，都很好地印證了這一點—— “云安全”所追求的防護理念，正成為黑客肆虐的“兇器”。

雖然我們不能武斷地認定，在運用技術方面，黑客比技術人員進步更快。但是我們不得不承認這樣一個現實：安全問題正成為企業用戶邁向“云”時代最重要的一個障礙和挑戰。因此，云安全的技術和理念都迫切需要全面的提升與改變。

云安全能否跳出簡單工具論

“云安全面臨的困惑，實際上也是安全產業走向下一個轉折點的契機。”陳怡樺對記者表示，“新一代的云安全應跳出簡單‘工具論’，采用新的技術和新的模式，實現真正的云安全。”

陳怡樺所指的“工具論”，簡單來說，就是目前眾多殺毒廠商炒作與關注的焦點：怎樣充分利用云架構，更快更敏銳地獲取病毒與惡意程序的信息，從而對用戶端實現保護。這一防護模式的重點，更多的是將“云”作為一種工具，借其加強企業的防護能力。

雖然這種“云安全”依然重要，但必須看到那些新的挑戰和主要矛盾，即很多網絡犯罪者不再去攻擊用戶的電腦，而是直接攻擊數據中心與云端本身。這使得傳統的基于單機版或基于局域網的信息安全保護方式無法勝任云安全計算環境的保護，用戶的擔憂和困惑也由此而來。

比如在“云”時代，企業IT資源的虛擬化日漸普及，而在虛擬服務器混合的環境，安全及加固標準不同的情況下，一臺標準較低的虛擬機將變成所有分享虛擬器資源的安全漏洞。隨著數據中心的不斷擴大，黑客通過攻入這樣一臺低防護的虛擬機，所造成的擴散率和危害性都會大大增加。

此外，像“云”中企業數據的丟失和泄漏，虛擬化所造成的技術漏洞“共享”，用戶賬戶、服務和身份的冒用等等，都是現階段“云安全”的真正“痛點”。

換句話說，“云”本身才是最大的安全隱患。面對這一問題，趨勢科技2010年在原有的基于云計算技術架構的安全服務下，提出全新的云安全3.0的概念，提供新的面向云計算的安全服務。也就是從Security From CloudComputing(來自云計算的防護)到Security For CloudComputing(給云計算提供防護)。

當然，若想解決“云安全”的問題，僅僅依靠一個廠商的力量顯然是不夠的。由于安全的本質是一種對抗，而尋找一塊“短板”，比加長所有的木板要容易得多。因此，這需要業界聯合起來，組成一個完整的防護系統，共同保護云計算的安全。要知道，“云”不僅是我們的工具，同時也可能成為黑客的“利器”。正視我們在“云安全”上的弱勢，不斷提升新的防護技術，而不是以簡單的標簽和概念炒作市場，才是“云安全”進一步發展的根本之道。

過去一段時間中我們曾聽到多次這樣的話：“我們企業的那些敏感數據將永遠不會放到云中。”當然，這種言論主要針對公有云而非私有云。按照《薩班斯法案》和《健康保險攜帶和責任法案》等相關法律規定，企業提交到云中的數據必須滿足審計需求。

加州大學伯克利分校電子工程和計算機科學系的Michael Armbrust說：“我們相信建立同現有的各類內部IT環境同樣安全的云計算環境是不存在任何問題的，靈活地運用加密存儲、虛擬局域網、網絡中間件(例如防火墻、包過濾)等技術就能迅速解決當前已經碰到的一些問題。”

其實，全球的網絡安全公司都在關注云計算的安全問題，其中趨勢科技是最早提出云安全概念的企業，作為一個倡導技術領先的公司，它早在幾年前就開始利用云計算的先進技術和資源來保護用戶，并且在近兩年推出了云安全1.0和2.0的內容。

一直以來，VMWare是最大的云服務解決方案企業，不僅在硬件配置、開發框架和應用類型上保持了相對開放性，而且，通過和趨勢科技的合作，為用戶提供最安全的虛擬化架構、接口和認證程序。這得益于趨勢科技云安全3.0解決方案為用戶提供的雙重防護方案：云的防護盾和云中保險箱。

趨勢科技全球執行副總裁暨大中華區總經理張偉欽認為：“云安全3.0的出現，不僅是一次技術升級，更是對云計算環境的一次顛覆，以更完整的方案保護云計算基礎架構。”

而國內技術型安全廠商的代表綠盟科技，則在自己的云安全計劃中還囊括了適用于異常流量清洗的安全云，這種模式已經在多個運營商骨干網和城域網得到了廣泛的部署。此次它推出的檢測惡意網站的安全云將會與異常流量清洗安全云相結合，從應用及內容安全層面提升用戶的安全體驗。

與以往專注于傳統分治網絡安全不同，綠盟科技云安全計劃基于綠盟科技在入侵防御、漏洞掃描、掛馬防范、流量清洗等方面的多年的研究能力，結合強有力的計算能力，提供了在大范圍網絡環境下根治安全問題的全新思路，用戶將獲得全新的安全體驗。

鏈 接

抵擋虛擬化過程中的風險

同傳統的IT架構不同，在云計算當中以對機器的控制和權限為主的權力結構慢慢從企業下移到服務商。從傳統架構走向虛擬的架構的云化過程可以分為三個階段：

第一個階段是服務器整合。傳統的方式需要先蓋機房，這要花很長的時間。將服務器合并，這是虛擬化的第一步。服務器的整合可以減小一些空間，實現節能減排，讓企業更“綠色”。但是服務器整合的增加可能會影響到業務的連續性，不一定可以馬上開展業務，因此第二階段桌面的虛擬化就出現了。第三階段是云的轉移，這是在更高一個層次上考慮到成本與競爭力。

在整個虛擬化的過程中會存在一些風險。第一個是系統和資料不可控制。傳統機器是有固定時空的，云化以后系統和資料的時空轉移變成不可控的，這是云化同傳統的最大區別。第二個風險是虛擬機之間會相互攻擊。在虛擬化的那一層，虛擬機本身是一個操作系統，只要是操作系統就有漏洞。第三個風險是多臺虛擬機共存時很難控制。過去為一臺機器做防火墻、打補丁都挺容易。而多臺虛擬機中有的會睡覺，這就給安全控制帶來了很大的麻煩和風險。

在做安全防范時，傳統的做法是一臺虛擬機里面放一個殺毒軟件，結果多臺虛擬機定時進行掃描會將系統資源全部“吃掉”，這是傳統的堡壘式的防御。而在同公有云連接之后，這個堡壘就消失了。如何重新設計這個安全架構，是一個很大的挑戰。而且數據銷毀很難。由于服務商都會幫助備份，一張放到互聯網上圖片被刪掉之后還是可以被查到，隱私得不到很好的保證。這樣的情況下，公有云的服務商是否要承擔一定的責任呢?

如何防范上面各個階段的風險?這就需要在云設計時就要考慮充分。

第一， 一個好的云要有充分的靈活性，最好的方法是從物理機到云計算都可以保護。防護系統的整合，事實上是一種新的安全概念。一般虛擬的安全系統本身是一臺虛擬機，當其進入到物理機時和系統整合得好，所有的流量先透過虛擬機再“喂”給其他人，裝一臺安全系統就可以達到和裝十套一樣的效果。

第二， 要有全面性，通過加密解鎖的方式保護資料。對于很多人來說，資料的保密是很重要的，資料的保存者和鑰匙的擁有者一定要分開，這樣問題就不大了。

第三， 實行模塊化，許可和應用一個或多個防護模塊。

第四，具有開放性，能夠整合和利用VMware的程序接口、產品和技術。虛擬平臺做整合，所用的資源會比較少。