在云計(jì)算的模式中，應(yīng)用和數(shù)據(jù)的安全性到底是提高了，還是降低了？微軟負(fù)責(zé)可信賴計(jì)算的副總裁Scott Charney的答案是：云計(jì)算增加了安全的可能性，云計(jì)算也降低了安全的可能性。看似矛盾的答案卻道出了業(yè)界在云計(jì)算安全問題上的窘?jīng)r。

那么，在解決云計(jì)算安全問題的過程中，是應(yīng)該先安全后應(yīng)用，還是先應(yīng)用后安全？

北京大學(xué)軟件與微電子學(xué)院信息安全系主任卿斯?jié)h教授認(rèn)為，在目前部署云計(jì)算的企業(yè)中，解決云計(jì)算安全問題的類型主要有三種：一是先推進(jìn)云應(yīng)用，再解決安全問題;二是先全面考慮安全問題并制定應(yīng)對措施，然后再推進(jìn)云應(yīng)用;三是應(yīng)用和安全問題齊頭并進(jìn)。

“從我們搞信息安全的專業(yè)人士的角度看，我們當(dāng)然希望先要對安全問題有大約的風(fēng)險(xiǎn)評估，知道系統(tǒng)在受到什么樣的攻擊下還能保障安全，這當(dāng)然是最好的。但是，這么做往往有點(diǎn)過于理想了，有很多東西，尤其是商業(yè)模式的發(fā)展非�？�，這個東西用起來非常方便，很好用的東西就是擋不住。”在工業(yè)和信息化部軟件與集成電路促進(jìn)中心(CSIP) 舉辦的基于安全可控軟硬件產(chǎn)品的云計(jì)算解決方案推介大會上，卿斯?jié)h教授在接受記者采訪時說。

在安全還沒搞清楚的情況下，應(yīng)用先上去了。有時候不是主觀可以控制的，像云計(jì)算，如果先把安全問題解決了再搞云計(jì)算，這是很不現(xiàn)實(shí)的�，F(xiàn)在有很多像亞馬遜、IBM這樣的公司都在做云計(jì)算�？磥硎呛芎玫纳虣C(jī)就必然要做，不做也會有其他類型的安全風(fēng)險(xiǎn)。卿斯?jié)h認(rèn)為：“只要商業(yè)模式好，就會上云計(jì)算，有的公司重視安全，有的公司不重視安全。當(dāng)然了，重視安全的公司往往得到的回報(bào)比較高，不重視安全肯定就會得到一些教訓(xùn)。”

如果一家公司想要部署云計(jì)算，其首先要考慮的就是安全問題。云計(jì)算對公司到底有沒有利益，沒有利益不要去往云計(jì)算上套。不要認(rèn)為工信部支持云計(jì)算，就硬往云計(jì)算上套。如果是這樣的話，就有炒作的嫌疑，這是非常不對的。如果確實(shí)是因?yàn)樯虡I(yè)模式需要，有些應(yīng)用，像游戲云，就可以做大量中小型游戲企業(yè)。很多游戲進(jìn)入公測階段的非常少，經(jīng)常死掉，游戲云平臺建立起來之后可以避免這些沒有進(jìn)入公測的游戲死掉。卿斯?jié)h說：“這就是云計(jì)算帶來的實(shí)在的好處，這樣的云計(jì)算就可以做。做的過程當(dāng)中要很好地重視云安全，一定要做出來，但是可以保證它萬無一失。我的意思就是他要進(jìn)行失敗的設(shè)計(jì)，要考慮萬一出了問題，怎么規(guī)避風(fēng)險(xiǎn)，比如冗余、備份等，這些東西都要考慮到。”

目前全世界對云安全都沒有完全明晰的界定，像美國標(biāo)準(zhǔn)局這種比較權(quán)威的機(jī)構(gòu)對云安全的概念也很模糊。

卿斯?jié)h說：“云計(jì)算比較虛。在解決云安全問題時，第一傳統(tǒng)安全措施要跟上，但不是像有些信息安全公司把現(xiàn)有產(chǎn)品放上去，這就太過于簡單了。原來那些產(chǎn)品在云計(jì)算的特定環(huán)境下，應(yīng)該怎么放，還有針對云計(jì)算的新威脅，要做好風(fēng)險(xiǎn)評估，然后做好安全模型和安全架構(gòu)。從頂層設(shè)計(jì)來考慮，這么做一般來說不是特別容易做。在目前的云計(jì)算環(huán)境下，虛擬化方面多做工作。其他方面都要有一些措施，包括防火墻等和手機(jī)監(jiān)控等。這些產(chǎn)品在云上怎么用？怎么樣很好地把這些產(chǎn)品集成到云安全框架內(nèi)，這需要部署云計(jì)算的企業(yè)進(jìn)一步考慮。根據(jù)云的特定商業(yè)模式下新的體系也要馬上研究，如何是虛擬化的安全如何做到真正的領(lǐng)域。某些在虛擬化的過程中，它的虛擬機(jī)之間存儲有些是需要隔離，怎么隔離，關(guān)鍵設(shè)備跟虛擬機(jī)如何保護(hù)。”