卿斯汉：部署云要先考虑安全问题

在云计算的模式中，应用和数据的安全性到底是提高了，还是降低了？微软负责可信赖计算的副总裁Scott Charney的答案是：云计算增加了安全的可能性，云计算也降低了安全的可能性。看似矛盾的答案却道出了业界在云计算安全问题上的窘况。

那么，在解决云计算安全问题的过程中，是应该先安全后应用，还是先应用后安全？

北京大学软件与微电子学院信息安全系主任卿斯汉教授认为，在目前部署云计算的企业中，解决云计算安全问题的类型主要有三种：一是先推进云应用，再解决安全问题;二是先全面考虑安全问题并制定应对措施，然后再推进云应用;三是应用和安全问题齐头并进。

“从我们搞信息安全的专业人士的角度看，我们当然希望先要对安全问题有大约的风险评估，知道系统在受到什么样的攻击下还能保障安全，这当然是最好的。但是，这么做往往有点过于理想了，有很多东西，尤其是商业模式的发展非常快，这个东西用起来非常方便，很好用的东西就是挡不住。”在工业和信息化部软件与集成电路促进中心(CSIP) 举办的基于安全可控软硬件产品的云计算解决方案推介大会上，卿斯汉教授在接受记者采访时说。

在安全还没搞清楚的情况下，应用先上去了。有时候不是主观可以控制的，像云计算，如果先把安全问题解决了再搞云计算，这是很不现实的。现在有很多像亚马逊、IBM这样的公司都在做云计算。看来是很好的商机就必然要做，不做也会有其他类型的安全风险。卿斯汉认为：“只要商业模式好，就会上云计算，有的公司重视安全，有的公司不重视安全。当然了，重视安全的公司往往得到的回报比较高，不重视安全肯定就会得到一些教训。”

如果一家公司想要部署云计算，其首先要考虑的就是安全问题。云计算对公司到底有没有利益，没有利益不要去往云计算上套。不要认为工信部支持云计算，就硬往云计算上套。如果是这样的话，就有炒作的嫌疑，这是非常不对的。如果确实是因为商业模式需要，有些应用，像游戏云，就可以做大量中小型游戏企业。很多游戏进入公测阶段的非常少，经常死掉，游戏云平台建立起来之后可以避免这些没有进入公测的游戏死掉。卿斯汉说：“这就是云计算带来的实在的好处，这样的云计算就可以做。做的过程当中要很好地重视云安全，一定要做出来，但是可以保证它万无一失。我的意思就是他要进行失败的设计，要考虑万一出了问题，怎么规避风险，比如冗余、备份等，这些东西都要考虑到。”

目前全世界对云安全都没有完全明晰的界定，像美国标准局这种比较权威的机构对云安全的概念也很模糊。

卿斯汉说：“云计算比较虚。在解决云安全问题时，第一传统安全措施要跟上，但不是像有些信息安全公司把现有产品放上去，这就太过于简单了。原来那些产品在云计算的特定环境下，应该怎么放，还有针对云计算的新威胁，要做好风险评估，然后做好安全模型和安全架构。从顶层设计来考虑，这么做一般来说不是特别容易做。在目前的云计算环境下，虚拟化方面多做工作。其他方面都要有一些措施，包括防火墙等和手机监控等。这些产品在云上怎么用？怎么样很好地把这些产品集成到云安全框架内，这需要部署云计算的企业进一步考虑。根据云的特定商业模式下新的体系也要马上研究，如何是虚拟化的安全如何做到真正的领域。某些在虚拟化的过程中，它的虚拟机之间存储有些是需要隔离，怎么隔离，关键设备跟虚拟机如何保护。”