云計(jì)算，不容置疑是當(dāng)今IT界討論最熱的話題之一。有人說，云計(jì)算的核心思想，是將大量用網(wǎng)絡(luò)連接的計(jì)算資源統(tǒng)一管理和調(diào)度，構(gòu)成一個(gè)計(jì)算資源池向用戶提供服務(wù)。提供資源的網(wǎng)絡(luò)被稱為“云”，所以“云”只是一種特殊“網(wǎng)”的叫法。而在用戶看來，云就是一種服務(wù)，一種按需獲取、按需付費(fèi)的服務(wù)，類似于現(xiàn)在的用水用電。

上面這種說法在概念上基本達(dá)成了共識(shí)，可在實(shí)際架構(gòu)和應(yīng)用中，廠商們都將自己的產(chǎn)品貼上云計(jì)算的標(biāo)簽且定義不統(tǒng)一，使得企業(yè)和用戶一頭霧水，不知從何下手。其中，對(duì)云計(jì)算持觀望態(tài)度的一個(gè)重要原因還有安全性。

一些殺毒軟件廠商已經(jīng)推出了云安全服務(wù)，他們依靠云計(jì)算這種巨大的資源平臺(tái)收集、分析病毒代碼，然后為終端用戶殺毒。也有廠商稱其到處收集病毒代碼，然后在云端搭建自己的“云安全”系統(tǒng)。但這兩種都不是我們所說的安全問題，他們更像是借助云計(jì)算平臺(tái)而提供的安全服務(wù)，且這種服務(wù)的有效性還有待考證。我們關(guān)心的是云計(jì)算本身的安全，或者說是云的安全，即將來我們?cè)谑褂迷茣r(shí)，如何保證它是安全可靠的。

很多人認(rèn)為有了云計(jì)算后，終端就像是一個(gè)只發(fā)送和接收東西的設(shè)備，那么對(duì)終端的安全要求是否就降低了？在近日的RSA大會(huì)上，本站記者采訪了RSA（EMC安全事業(yè)部）首席安全架構(gòu)官Rashmi Knowles，她表示，如果你在虛擬桌面上，你只會(huì)看到跟你相關(guān)的圖像出現(xiàn)。這些數(shù)據(jù)沒有存儲(chǔ)在終端中，它是存儲(chǔ)在云中的，在終端只是需要進(jìn)行認(rèn)證，不需要額外的加密。我們?cè)诮K端需要做的就是，確保正在使用的數(shù)據(jù)安全并進(jìn)行防止數(shù)據(jù)丟失的管理。如果我們使用敏感數(shù)據(jù)，就要確保這個(gè)數(shù)據(jù)不會(huì)被拷貝到U盤中或者是打印下來，我們要對(duì)數(shù)據(jù)進(jìn)行保護(hù)和控制。

圖為RSA（EMC安全事業(yè)部）首席安全架構(gòu)官Rashmi Knowles在采訪現(xiàn)場(chǎng)

當(dāng)你覺得通過云端存儲(chǔ)信息或進(jìn)行各種操作與在本地進(jìn)行是一樣的時(shí)候，或許就是云的安全基本實(shí)現(xiàn)。但是如何使你信任云呢？沒有無緣無故的信任，這種信任必須通過一系列規(guī)則來實(shí)現(xiàn)。Rashmi Knowles談到，要想應(yīng)用云，企業(yè)必須學(xué)習(xí)新的方式來實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)、威脅和合規(guī)表現(xiàn)的可預(yù)見性。在云中建立信任的規(guī)則，就是實(shí)現(xiàn)對(duì)云環(huán)境下的基礎(chǔ)設(shè)施、身份和信息的控制和可見性。

這種控制和可見性要通過具體的安全技術(shù)來實(shí)現(xiàn)。可以對(duì)數(shù)據(jù)進(jìn)行加密，部署數(shù)據(jù)防泄漏；可以對(duì)用戶身份進(jìn)行強(qiáng)認(rèn)證和管理；可以對(duì)基礎(chǔ)設(shè)施部署虛擬化技術(shù)。但這些都是應(yīng)用傳統(tǒng)的技術(shù)確保局部安全的方法，且用在云計(jì)算環(huán)境下有很多困難，比如加密和解密的困難。一套針對(duì)云的安全的完整防護(hù)體系有待建立。Rashmi Knowles也表示，關(guān)于云的安全，還沒有真正的行業(yè)云安全標(biāo)準(zhǔn)，目前只有云安全聯(lián)盟發(fā)布了一系列的標(biāo)準(zhǔn)。

前段時(shí)間，Google和Facebook在說服美國(guó)議員修改《電子通訊隱私法》（簡(jiǎn)稱ECPA法案）。原因之一就是他們覺得如果用戶把數(shù)據(jù)存在本地，會(huì)擁有更多的隱私權(quán)，這阻礙了向云的過渡。對(duì)此，Rashmi Knowles說道，“像Facebook的很多基礎(chǔ)設(shè)施都是基于云端的。如果ECPA法案不進(jìn)行修改，他們是無法從中獲益的。雖然現(xiàn)在在議會(huì)當(dāng)中，這方面的討論非常多，但具體形勢(shì)，我們還是要拭目以待。這個(gè)方案是1986年的，已經(jīng)不符合時(shí)代潮流了。但除非是對(duì)基于技術(shù)的考慮修改它，否則我們的工作會(huì)很難推進(jìn)下去。”

在這種技術(shù)模型尚未清晰，法案規(guī)則尚不健全的情況下，整個(gè)IT界都需要冷靜下來腳踏實(shí)地地考慮如何實(shí)現(xiàn)云計(jì)算的最優(yōu)模式，包括它運(yùn)行后的商業(yè)模式，而不是大肆的炒作和宣傳。