安全0-Day：围绕云的数据保护策略

    李钧：各位网友大家好，欢迎收看这次安全频道的视频节目，我是在RSA大会2010信息安全国际论坛的现场，这也是RSA大会20年来第一次进入中国，我们今天很荣幸邀请到普渡大学计算机科学系教授、信息与研究中心信息验证与安全部研究主管Elisa Bertino女士来到我们的现场做一个简单的视频采访，首先我们想请问一下，我们进入到云计算之后，在数据安全的网站上，您认为最重要的情况是什么？

    Elisa Bertino：云计算之后我们面临很多的挑战，其中之一就是要确保这些数据不受到内部的危险，在很多情况下，这些拥有数据或者管理数据的组织并不知道云计算，云的这些职员是否安全，这样他们会担心数据内部可能有一些威胁，这是一个可能性。另外还有一个问题，我们必须面对这样的现实，也就是不同组织的很多种不同的应用，要在同一个云下共同存在，或者同时存在。

    李钧：从技术角度来看，您是否认为现在已有的一些技术手段已经能够确保云安全呢？

    Elisa Bertino：那么现在实际上存在着很多安全技术，比如说虚拟化、加密，这些都有助于保护云的安全，今天上午有一场讲座，它谈到了对各种保护云计算安全的技术的调查，这个讲座非常有趣，值得大家听一听。实际上安全在我看来是一个非常普遍而棘手的问题，即使在非云计算的环境下也是如此，所以我们需要做的就是把所有的这些安全技术都应用起来，并且将他们运用到云计算的环境中去。

    李钧：我们可以通过非常多的技术手段确保云计算的数据安全，但是对于人为的泄露和破坏这些问题我们有没有什么办法防御？将数据存储在云端，这种制度从原理上来说是不是合理？

    Elisa Bertino：正如我前面所说，现在有很多保障数据安全的技术，但是我们要依赖那些提供云计算服务的公司来应用这些技术。所以，如果他们在技术的应用上不太好或者没有适当的应用相关技术，那么可能就会存在安全上的风险。另外，我觉得这还取决于您要存储的数据有多重要，或者对你的企业有多关键，在我看来，如果是我的话，我可能会在云上存那些不是非常关键的数据，如果是特别致命的数据我可能会更谨慎一些。

    李钧：那现在很多企业都在由于是否采用云计算，最重要的考虑其实就是刚才提到的数据安全问题。那么您认为有什么要点能够让他们不再犹豫而投入到云计算当中呢？

    Elisa Bertino：我认为这方面一个非常重要的因素就是使客户也就是云计算和云服务的使用公司，他们能够审查云计算提供公司的安全机制。因为现在很多公司感到犹豫的原因之一就是那些云服务提供公司的安全机制缺乏透明度，最终客户需要先信任云服务的提供公司，然后才可以决定使用这个服务。

    李钧：实际上云计算分公有云和私有云两种，公有云可以让企业运营的成本降低，但是私有云在安全性方面更加可靠，您认为不久将来这两种模式哪一种发展的更好一些？

    Elisa Bertino：这个问题非常好，我认为最终实际上是会出现一种混合云，也就是企业既使用公共云也使用私有云，私有云可以存储一些敏感数据，而公有云存储不是很敏感的数据，当然这样的模式需要进一步的创新和发展，在使用两个云的情况下，应用会变得更复杂。

    李钧：现在安全厂商关于云计算的产品解决方案的研发上面，您认为还面临哪些困难？他们需要哪些帮助？比如说RSA大会这样的让各个不同安全厂商齐聚一堂的会议是否有助于各个不同的厂商共同开发一种产品保障云计算的安全？

    Elisa Bertino：是这样的，安全的厂商他们需要进一步加强安全获得更好的解决方案。在这方面做了大量的学术研究，这种对于云以及云安全的研究对于安全厂商来说是非常有好处的，像RSA大会这样的论坛其实可以带来很多新的商业上的解决方案，而要保证云的安全很多时候要结合多种不同的商业解决方案才可以。从我们研究者的角度来说，我们在数据安全、虚拟化、管理加密数据方面所做出的一些研究应该对厂商来说是有好处的。

    李钧：非常感谢Elisa Bertino教授给我们带来非常精彩的关于云计算安全保障的一些见解，也感谢网友收看本期的节目，如果您想更多的了解RSA信息安全国际论坛的一些报道，可以关注我们的专题，感谢您的收看！

    谢谢！