北大卿斯汉：云计算安全模式要跟上商业模式

　　ZDNET至顶网安全频道 11月3日 北京报道（文/Grant）：2011年11月2日RSA Conference 2011信息安全国际论坛在北京中国大饭店举行。中国科学院首席研究员、北京大学教授卿斯汉在第二天的演讲中介绍了走访的全国的18个云计算项目，并从商业模式，云计算特点，云安全部署，虚拟化等方面分享了自己的观点和心得。他强调云计算部署要注意衡量商业模式与安全模式，在面对云计算企业不要保守，但也不要冒险。

中国科学院首席研究员、北京大学教授卿斯汉

　　衡量云计算商业模式与安全模式

　　目前有很多比较成熟的云计算，比如Google的，亚马逊，微软的等等。微软前期提出来的云宣言，很多大公司参加了，也有很多公司没有参加，这表明大家对云计算的看法没有统一，但是对云计算批评的声音是越来越小了。

　　卿斯汉介绍了在4月份到7月份走访的12各城市，18个云计算项目，并从商业模式，云计算特点，云安全部署，虚拟化等方面分享了自己的观点和心得。

　　中国云计算是多种多样的，比如有电子政务云，有中小企业云，有语音云，有翻译云，有游戏云等等，形势多种多样，有一些商业模式是明显的盈利模式。卿斯汉认为商业模式是非常重要的，到底先做商业模式，还是先搞安全模式，要具体情况具体分析。从安全角度来说，当然希望安全先起步，跟云计算同步，但是从企业发展生存来讲是不允许的，但不管怎么说，商业模式非常重要，如果商业模式不好的话，云安全再好也没有用。

　　从云特点方面，我们国家大部分应用和NIST定义是比较吻合的，但是也有一些项目，比如有些项目特别强调云存储，我觉得这是不够的，云存储肯定是云计算的一方面，但是如果只做云存储没有做云计算那就没有什么意思了。从我们国家目前情况来看，大部分是把传统安全措施都增加上了，网络安全，主机安全，如果用到IC卡之后，卡片安全，机器安全，备份恢复。

　　在虚拟化方面，我们国家目前还有一定差距，应该很多大公司，跨国公司学习，比如VMware，微软，英特尔，我们都需要向他们学习，当然我们国内也有做的比较不错的。

　　云安全面临的挑战和机遇

　　要解决安全性，互操作性，集成，管理，监管等等。云安全有一些共性问题，常规的我们都做的比较好，但是有一些新问题需要加强，比如虚拟机的安全，隐私性的保护等等。

　　卿斯汉介绍了NIST提出的安全模型，云计算面临一个大的挑战，需要好的安全模型，一个好的安全架构。

　　针对云安全的威胁，可以分成两大类，一个就是过去传统威胁，对云计算也是同样存在。另外就是针对云计算本身的新的威胁，比如云服务的滥用，另外就是针对云计算的特殊攻击。

　　卿斯汉详细介绍了风险管理与兼容性，身份认证与访问管理，服务于终端的完整问题等云安全的主要课题。

　　云安全的影响是多方面的，一个会对服务商有影响，对广大用户有影响，对监管者有影响，但是他说对攻击者也有影响，就是网络犯罪有可能也变成一种服务。另外针对云计算的特殊攻击，利用虚拟机，对VM1，主机2，管辖地3发动攻击，这是不好控制的攻击。

　　另外，广大用户普遍采用了云计算，安全性是提高了还是降低了?微软公司的scott曾经说到有两个，有些用户只需要用，不需要知道别的东西，如果你托管了你信赖的公司，安全性应该比原来提高，但是也有可能降低安全性，因为云安全有很多我们未知的技术，这个时候有可能降低，这是有双重意义的。

　　从2011年4月以来，有很多云安全的事故，亚马逊的事件，有100个公司中断服务两三天，还有office365的事件等等，现在大家提出一个新的观点，强调服务不能中段，服务的连续性，这是云计算给云安全带来的新课题。