姜廣智：歡迎大家來參加云世界大會，云安全的論壇。這次的云世界大會今天上午非常熱烈的召開了，上午來的人超過我們的想象，據(jù)說來了3000多人，預(yù)計來2000多人。確實體現(xiàn)了云計算的一個熱潮。安全問題是云計算最核心的一個問題，今天非常高興業(yè)界的專家、學(xué)者來到這里。首先請李健教授給我們做一個主題演講。

李?。捍蠹蚁挛绾?，我們是高校，高校是關(guān)注各種正在發(fā)生的熱點事件，也關(guān)心國家的一些非常重要的行業(yè)領(lǐng)域的關(guān)鍵問題。我們這個實驗室由沈院士建立的，從前年開始對云計算的問題開始關(guān)注，今天我講的類似也是關(guān)于我們國家幕墻建設(shè)領(lǐng)域云的建設(shè)。一類企業(yè)是他們需要快速建立起來一套系統(tǒng)能夠快速的投入工作，一類是政府級的國家重要的行業(yè)，這些行業(yè)他們對信息安全的需求是非常的強烈。今天我想在這個地方跟大家分享這樣幾個問題，一是云計算的安全風(fēng)險，二是重要部門云計算設(shè)施的建設(shè)要求，三是可信云計算體系的安全架構(gòu)。

這張圖是一個概要圖，表現(xiàn)了幾種云的不同模式。我們看到云應(yīng)該是把服務(wù)、計算做了一個視覺化的大的改變，所以管理的服務(wù)化以及脫離你自己原來的管理，我們能看到提供的這種動態(tài)的虛擬化的資源，通過網(wǎng)絡(luò)方式以服務(wù)的形態(tài)呈現(xiàn)給用戶。這是一個很好的事情。你們不需要東西在哪兒，也不需要資源存在的細節(jié)，這種方法也很保險。但我們碰到一個問題，管理權(quán)和服務(wù)責(zé)任這些東西都轉(zhuǎn)移到服務(wù)方了，這個時候你的數(shù)據(jù)遷移到你的視野之外了，這就比較麻煩。我們安全的很多問題都是由于這個特性引起來的。

過去很多單位如果出現(xiàn)一些情況，不管是哪個問題我可以不說別人就不知道，就沒有重大的泄密事件的發(fā)生。但現(xiàn)在你的東西已經(jīng)在你的視野之外了，你沒有一個可以信賴的自己人的概念。所以，這種信任的問題就比較嚴重，你必須去轉(zhuǎn)向依賴某些規(guī)則，這是一個很大的變革。

另外一點是資源虛擬化。資源虛擬化是很好的一件事情，它可以按需生成一些虛擬資源，動態(tài)調(diào)整一些資源，可以實現(xiàn)資源的遷移。這都是很好的特性，但這個時候我們會看到一些東西，資源虛擬化是靠軟件去定制的，它非常靈活。但有兩個問題，從名字自講的很清楚，虛擬化，它沒有一個物理邊界。這時我們可以看到過去許多由物理邊界形成的安全屏障就被弱化了，這會引起許多其他問題。虛擬化帶來很多好處，大家虛擬資源的安全邊界是比較弱的，這也是一個很大的問題。

關(guān)于云的安全有很多很多，剛才談了兩點，一個是數(shù)據(jù)在你的視野之外，失去了控制。再一個是由虛擬化引起的邊界防范能力弱化，這是值得我們關(guān)注的問題。

簡單列一下風(fēng)險來源。云的經(jīng)銷商對任何一個客戶來說他是不可估不可信的，這是風(fēng)險的一個來源。我們要應(yīng)對資源的安全，隱私保護等等，這些東西目前看是一個比較大的阻礙云發(fā)展的因素，有很多不可信、不可靠的聲音讓我們不敢大量的發(fā)展云的建設(shè)。

另外法規(guī)在這方面是缺失的。在服務(wù)方只能承擔(dān)有限責(zé)任，只在具有有限能力的條件下應(yīng)對這些難題，使上述的任務(wù)變得更為艱巨。你可能不得不依靠一個有限的服務(wù)能力服務(wù)方由他們提供服務(wù)，所以這個問題就變得更南樂。

其實我們還看到另外一點，根據(jù)統(tǒng)計資料，應(yīng)該說我們國家在云的這些關(guān)鍵的背景下趨于虛擬化。有很多東西已經(jīng)外化了，已經(jīng)不在你的手里，具體實施的時候，這些工具還不是我們掌握的，這一點不是自主的，這種現(xiàn)象已經(jīng)非常嚴重的。所以在一個重要部門，信息的管理我們應(yīng)該遵循哪些原則，這是一個非常嚴重的事情。沈院士帶著北工大其他的同事在國家要求層面做了一些方案。

第一，重要部門，政府部門、影響國家運行的重要行業(yè)、影響社會生活的重要行業(yè)都算重要部門。他們的云設(shè)施建設(shè)必須遵循我們國家的某些要求，這是一個強制性的規(guī)定。因為這些數(shù)據(jù)內(nèi)容很多是涉及到機密性信息或者其他信息的。

第二，在我們完成保護要求的時候，按照現(xiàn)有的一些標準，有這么幾項。一個是要構(gòu)造安全的需求環(huán)境，二是有安全的虛擬邊界。所有這些元素應(yīng)該在安全管理中心的統(tǒng)一管理之下去運行。一個高等級的信息系統(tǒng)，它的安全設(shè)計上必須由這些元素構(gòu)成。可信的時候我們要做的事情是構(gòu)建一個保護環(huán)境，你的硬件建成一個可信文檔。按照國家比較早的一個標準，17859的要求，我們在構(gòu)建的時候具體設(shè)定也有一些標準，構(gòu)建一些具體的細節(jié)。

可信保障要點，要在系統(tǒng)里建立一個可信的環(huán)境，對應(yīng)用系統(tǒng)的行為進行監(jiān)督。因為在云環(huán)境下，很多租戶在同一環(huán)境下，他有什么行為我們必須在里面做動態(tài)的監(jiān)控。我們強調(diào)今后不是盲目的分析行為，而是會基于一些行為聲明，去分析他的行為。

實時探索其實有一個思路，我們現(xiàn)在一直在做但沒有成熟的經(jīng)驗。要堅持正確的路線，從實際出發(fā)，這是一個基本的要求。技術(shù)平臺應(yīng)該怎么管理，方案怎么實施，盡管保持原有系統(tǒng)的功能和結(jié)構(gòu)。前面的一些東西不是缺失的，現(xiàn)在正在做，后面的東西是缺失的，我們有一些建設(shè)的規(guī)范。我們講對系統(tǒng)構(gòu)成的設(shè)備，那些系統(tǒng)，對它的要求，但是這個系統(tǒng)整體賺錢了以后，50%以上的問題會出在管理和服務(wù)層面。這些東西怎么做？現(xiàn)在是處于探索階段，沒有一個規(guī)范。所以說對用戶你要清楚自己的要求，不是說你把服務(wù)委托了以后你就沒責(zé)任了，出了問題都是你的，到底有什么要求一定要講清楚，并且能夠列舉出來，不要泛泛的講我有哪些方面的要求。并且要求這些要求是用某種手段可以驗證的，這樣你列舉的東西才可以有人給你做保障的，并且最好是能夠證明的。

再有服務(wù)商要清楚你的利用服務(wù)的邊界可以做到什么程度，要有適當(dāng)?shù)馁Y質(zhì)，這些東西都要逐漸的建立。目前來看，我們有產(chǎn)品的認定，但是整體的評估資質(zhì)我們正在做。希望各個企業(yè)在服務(wù)規(guī)范方面要積極的探索，為將來建立這種規(guī)范提供一些實際的經(jīng)驗。

架構(gòu)基本上，我們會有一個管理中心，有一個可信安全的計算環(huán)境，有一個可信的技術(shù)邊界，通過可信的網(wǎng)絡(luò)去連接到環(huán)境以外的地方。這個跟我們目前的云環(huán)境自然匹配，這就是一個課題，在云環(huán)境下有什么樣的資源是我們自己掌握的。

從一個具體結(jié)構(gòu)來講，可以這樣說，這只是一種建議。我們還是這樣一個元素，一個是在安全管理中心支撐下，有可信的計算環(huán)境，有可信的區(qū)域網(wǎng)絡(luò)，也有可信的技術(shù)邊界。首先在一個獨立的計算環(huán)境下，我們希望從啟動開始就要驗證是不是沒有被人家改過，還存不存在一種風(fēng)險。通過這種驗證以后，認為這個軟件沒有被改過，它可以引導(dǎo)起來。然后會檢查操作系統(tǒng)有沒有被破壞，如果沒有被破壞，這樣逐漸的建立一個可信的計算環(huán)境，進行可信的傳遞，最后到服務(wù)這邊。在工作的時候，應(yīng)用服務(wù)應(yīng)該首先確認自己的計算環(huán)境是不是我需要的那一個，因為在云上面你是遠程的，你不知道有誰去訪問這個東西，如果破壞的話，你要有方法驗證破壞的發(fā)生。

通過可信網(wǎng)絡(luò)來保證安全環(huán)境里所有的設(shè)備都是具有身份的，我們要進行身份的確認，通過可信驗證。然后是安全策略，安全策略包含一般安全可信的授權(quán)問題。我們要求一個是必須滿足等級保護的要求，我們國家面臨的所有的大的云的建設(shè)，都會承擔(dān)一些重要級任務(wù)。他們要去建設(shè)，必然通過這種檢查。具體實施的時候，可信、可控、可管是根本，這個根本如果不能實現(xiàn)，我們所有設(shè)施的基本檢查，雖然所有設(shè)備都是達標的，但整個系統(tǒng)可能會存在問題?；鞠到y(tǒng)要遵循T250的標準。

在整體這樣做的時候，一個重要的問題就是服務(wù)和管理，這個需要發(fā)展。有這么一個原則，從國情出發(fā)，積極實踐，逐步完善，這是一個逐漸的過程。我們想交流的東西基本就是這些內(nèi)容，謝謝大家！

姜廣智：謝謝李老師，李老師從可信網(wǎng)絡(luò)的角度對云計算的安全性，特別是對我們國家信息系統(tǒng)的云化闡述了一些見解，云計算的安全確實是一個基礎(chǔ)的問題，也是我們今天重點探討的一個問題。

下面請趙糧博士來做第二個主題演講，趙博士是海外學(xué)者，具有國際視野，請趙博士從國際化的角度來給我們談?wù)勊目捶?。他演講的主題是管窺云安全落地之旅。

趙糧：我希望能夠把一些觀察分享給大家。其實云計算想要落地不是一件容易的事情，涉及到方方面面。我的一些觀察是圍繞著美國他們最近兩到三年做的一些事情，通過他們做的事情希望給大家提供參考。

這張圖是2011年美國政府CIO昆德拉在RSA20111的報告。這個曲線非常的明顯，上升的曲線是美國政府?dāng)?shù)據(jù)中心在過去的幾年里收集的數(shù)據(jù)，他認為私營企業(yè)的IT是先進的，是更加高效率的。由此得出一個結(jié)論，政府IT需要大規(guī)模的改進，云計算就是一個機遇。

剛剛過去的美國政府2011個財年總結(jié)里歸結(jié)為叫劃時代。經(jīng)濟危機之后，政府IT的預(yù)算逐年下降。奧巴馬2009年上臺以后，正式推出了開發(fā)信息服務(wù)化的項目。我有了驅(qū)動力以后，在比較早的時候，2009年稍候沒有多長時間，先是在工作總層面征求總意見。要求各個部委制定詳細的計劃，OMB/GSA/GSO，國土安全部列了三個數(shù)據(jù)中心的服務(wù)，還有員工的認證服務(wù)。美國聯(lián)邦信息安全管理法案里規(guī)定我給你一定的時間，把框架的映射做出來。還有財務(wù)目標。

NIST做了細分，分成幾個大框。中間一個大框識別了五個利益相關(guān)方，這是一個游戲。其中包括Cloud    Provider，現(xiàn)在既做集成又做服務(wù)。一類是Cloud  Auditor。他識別了某種角色以后，規(guī)定了比較詳細的游戲規(guī)則，五個玩家各自承擔(dān)著一個責(zé)任，每一家都想從更大的幾率當(dāng)中獲取自己的利益，這是正當(dāng)?shù)?。怎么去促成這些大事，于是他推出了FedRAMP的計劃，全稱是聯(lián)邦風(fēng)險和授權(quán)管理項目。用這個計劃提綱挈領(lǐng)，第一要回答聯(lián)邦政府所謂云用戶的訴求，你的安全要求是什么。作為用戶他是有責(zé)任的，他有什么要求要講出來。同時云計算的公司把他能解決什么也要提出來。讓大家的數(shù)據(jù)和指標體系是一致的，這樣可以更好的降低成本，云用戶應(yīng)該把他的需求講出來，定義一些流程，怎么樣講清楚，怎么樣去配備，最終怎么樣去授權(quán)。作為用戶一方他很清楚他的要求是什么等級，提供的一方能夠提供什么等級，雙方的責(zé)任得到合理的分攤。

在研制機制下面，在對比層有立法，還有落地的，所有的自動化，比如說桌面、安全配置自動化，在自動化上面還有量化的指標。比如說2010年桌面自動化是58，2011年推進到80，在基礎(chǔ)管理、安全管理方面的成熟度更好。在這之上建立了FedRAMP的游戲規(guī)則，創(chuàng)造了一個小的生態(tài)環(huán)境，用戶在這里跟政府IT部門有這樣的訴求，但又有安全風(fēng)險，這時提供商想要搶占云計算藍海的商機，但他怎么能讓人相信他是安全的，并且人家用了他的云服務(wù)出了問題不至于進監(jiān)獄。所以他有一大幫安全從業(yè)人員也等著參與這個游戲，怎么去參與？包括他擁有的這些專業(yè)的資源。還有一方是民間的非盈利組織幫助建立這樣的標準，能夠形成中立客觀的標準，使各方資源能夠得到公平的配置。圍繞著這個得到了一個比較好的小的生態(tài)，繼續(xù)往前推進。

最終我們要想讓云計算在云安全中怎么落地，我們還要清楚我們面臨的危險是什么，面臨的攻擊方是什么，我們想要得到的安全是什么。這就需要用戶自己去仔細的梳理，有了這些以后，我們就可以跟云計算提供商，因為那一方同樣也有高中低分門別類的經(jīng)過了審計或者是清理。經(jīng)過大致的游戲規(guī)則，安全提供商、用戶、政府的審計機構(gòu)大家能夠各得其利，云計算就可以非常好的進展下去了。希望可以給大家提供思考，謝謝！

姜廣智：謝謝趙糧博士，他從國際化的視野，特別是從美國政府的實踐給讓我們認識到云計算云安全應(yīng)該采取的措施。以上是我們論壇的第一個階段，主要是主題演講，講了在當(dāng)前的形勢下，在國家重要的環(huán)節(jié)系統(tǒng)云系統(tǒng)應(yīng)該怎么推廣，建立一個這樣的技術(shù)體系，在這方面政府應(yīng)該如何管理。后面論壇請北工大的李健主任來主持，另外請上奧斯卡，趨勢科技全球研發(fā)的理事長。請啟明星辰的CSO潘柱廷。有請金山云副總裁楊鋼。有請?zhí)斓貐R云CEO王成江。

李?。赫埫课患钨e先有一個自己的表述，花一點時間談一談。

潘老師對于很多問題關(guān)注的非常多，請他們在這方面給我們做一個介紹。

潘柱廷：做一個簡短的介紹，這兩天在思考問題的時候，畢竟到了年末年初的階段，看看今年過去有什么事情，明年會發(fā)生什么事情。稍微思考了一下，這是個人的思考，到底在2012年有哪些事情是值得關(guān)注的。比如說華為的事情，不知道大家對24號文有沒有什么感覺，5月9號國務(wù)院常務(wù)會議發(fā)布的關(guān)于推進信息化和信息保障的意見。24號文，大數(shù)據(jù)安全、云安全、APT、自保護，包括十八大文件包括網(wǎng)絡(luò)安全的描述。在我的腦子里比較有意思的是和云安全相關(guān)的。

華為的調(diào)查報告，在整個圈內(nèi)引起了很大的反響，如果大家關(guān)注云安全一定要關(guān)注這個事情，這個事情帶來了很多的信息。一方面有可能會帶來一些現(xiàn)實的問題。兩個生態(tài)體系足夠強大，撞到一起，華為足夠挑戰(zhàn)思科在美國本土的利潤。他們挑戰(zhàn)思科在美國的銷售額不見得馬上達到效果，但只要華為進入美國本土，他具備成本優(yōu)勢，兩個公司的綜合毛利準確數(shù)字我記不太清楚，思科可能是十幾，華為是百分之幾。這樣的事情出來以后，其實引起了我們的反思，希望大家有時間一定去讀一讀，報告寫的非常的漂亮。美國政府不管什么樣的身份，國會也好，白宮也好，總之是國家的一個機構(gòu)站出來為他的一個企業(yè)，當(dāng)然思科沒站在前面來，實際是為這個企業(yè)去講話。這個報告是一個非常嚴厲的報告，比如五條建議，保持懷疑的目光，讓情報界、管投資的人和敏感部門都不要使用華為的產(chǎn)品。建立私營機構(gòu)考慮華為的風(fēng)險。

中國企業(yè)如果想跟我玩，大美國來上市，我們用法案來限制你。可以看到他們的整個思路是非常清晰的，對華為中心的質(zhì)疑也是非常有意思的。里面很重要的兩個立足點，一個是他認為電信這樣供應(yīng)鏈的漏洞是國家重要的危險。他是談到供應(yīng)鏈的安全，而且談到了整個大系統(tǒng)的安全。他現(xiàn)在關(guān)注的安全，直接關(guān)注的是關(guān)鍵基礎(chǔ)設(shè)施，他對通行的規(guī)則不是特別認可，英國跟華為的方式他們不認可。

今天為什么講這個事情？云或者做云安全，單獨做云安全其實是很難做的，云安全是跟云的基礎(chǔ)設(shè)施和云的服務(wù)是結(jié)合在一起的。這件事情讓美國對華為這樣一個企業(yè)，涉及到關(guān)鍵網(wǎng)絡(luò)設(shè)備的時候他就限制你。這說明美國對關(guān)鍵設(shè)施的敏感性非常的強。我們對此有什么反應(yīng)呢？沒有。接口關(guān)閉，就意味著要做云安全的這些人，我所擁有的接口數(shù)據(jù)跟普通用戶一樣，你怎么做安全防護？我們這樣的一個產(chǎn)業(yè)，對這樣一個具有壟斷地位的廠商，我不是說不讓你賣，你既然已經(jīng)具有壟斷地位，你就應(yīng)該承擔(dān)具有壟斷地位企業(yè)該承擔(dān)的責(zé)任。談所謂的攻防安全，最后整個的供應(yīng)鏈，整個的基礎(chǔ)設(shè)施都沒有安全可信，那你談安全其實都是沒有用的。這件事情不是一、兩個企業(yè)能夠解決的，這是整個產(chǎn)業(yè)的呼吁，再加上國家的政策如果再滯后，那我們整個的領(lǐng)域就全完蛋了。完蛋到什么程度？到時候一轉(zhuǎn)起來以后，最后系統(tǒng)全是別的系統(tǒng)了。我們一直說的芯片、操作系統(tǒng)主要是美國公司的產(chǎn)品，現(xiàn)在到了虛擬化和云的機會，你趕上這趟車沒有，沒趕上，落的越來越遠。我們需要整個產(chǎn)業(yè)有這樣一些動作去改變這種現(xiàn)狀，這是今天要談的事情，這比具體的云安全技術(shù)更值得我們關(guān)注。

這件事情在2012年在我心目中是最最值得我們警醒的事件。另外我比較關(guān)注的是大數(shù)據(jù)，大數(shù)據(jù)火的一塌糊涂，上午還在一個物聯(lián)網(wǎng)的標準會上講大數(shù)據(jù)?，F(xiàn)在大數(shù)據(jù)的會火到這樣的程度，或者再舉一個例子，在10月初的時候，北大的院士數(shù)學(xué)家召開了一個大數(shù)據(jù)會議。我是怎么被請去的？因為我們是上市公司，證券公司說啟明星辰在這個會上去講講你們對大數(shù)據(jù)的想法。我被證券分析師請上去的，可以看到大數(shù)據(jù)火到什么程度。40天的時間70位專家委員做了關(guān)于大數(shù)據(jù)的調(diào)查，云只是一個手段，云只是一個模式，不管是手段還是模式，你要用他干什么，產(chǎn)生什么價值，大數(shù)據(jù)就是一個讓云有價值的事情。

我簡單介紹一下調(diào)研。這個PPT我剛才特意在微博上又轉(zhuǎn)了一次，大家有興趣可以在我的微博上找到鏈接，找到這個PPT。在做預(yù)測的時候，70個委員里征集出來37個預(yù)測，2013年關(guān)于大數(shù)據(jù)會發(fā)生什么事情？這37個里面票選結(jié)果一個是提出了令人矚目的學(xué)科——數(shù)據(jù)挖掘，分布式計算或社會計算，是最被關(guān)注的三各學(xué)科。數(shù)據(jù)挖掘是算法的問題，分布式計算是設(shè)計的問題，其實大數(shù)據(jù)早就有，勘探早就有，為什么不被重視？是因為人文科學(xué)產(chǎn)生的大數(shù)據(jù)被我們發(fā)現(xiàn)了，開始去談?wù)撍膬r值。同時自然界產(chǎn)生的大數(shù)據(jù)繼續(xù)被我們關(guān)注，這是最關(guān)注的學(xué)科。另外，最關(guān)注的領(lǐng)域是醫(yī)療、金融、城市管理、電子商務(wù)，現(xiàn)在電商對用戶行為大規(guī)模數(shù)據(jù)的挖掘是直接產(chǎn)生價值的。37個票選項最后排名中數(shù)據(jù)安全、隱私最靠前。第三條里面的數(shù)據(jù)變化和價值提煉談的是關(guān)于大數(shù)據(jù)怎么處理成小數(shù)據(jù)的物理反應(yīng)和化學(xué)反應(yīng)問題。大數(shù)據(jù)的特性談的是大數(shù)據(jù)的三種來源，一種是從空間上、從時間上、從關(guān)系上，關(guān)系就是多樣性，這三個方式可能產(chǎn)生大數(shù)據(jù)，可以產(chǎn)生大數(shù)據(jù)的需求和你要去解決大數(shù)據(jù)處理。第五是大數(shù)據(jù)隱私問題。第六是大數(shù)據(jù)的系統(tǒng)問題。云不能把自己變得僅僅是一個概念化，要變成很具體。云缺乏明確性，我覺得這是做云應(yīng)該去努力的。第七是大數(shù)據(jù)的應(yīng)用領(lǐng)域。第八是大數(shù)據(jù)的生態(tài)環(huán)境，大數(shù)據(jù)所涉及到的政治、經(jīng)濟、環(huán)境。這八個核心問題作為任何一個企業(yè)或者研究機構(gòu)，只要在一點或者兩點上能夠研究上有所突破，就可以說在大數(shù)據(jù)上很有建樹。

可以看到這些東西分類并不是特別科學(xué)，但結(jié)果是原汁原味的體現(xiàn)了70位專家的票選結(jié)果。把這個結(jié)果分享給大家，我覺得這件事情對我們做云的來說應(yīng)該是很有啟發(fā)，很有借鑒方向的。

李健：謝謝潘總，很有意思的話題。第一個話題里面，我們看到美國人政治和經(jīng)濟的關(guān)系，有句話叫政治是經(jīng)濟的集中表現(xiàn)。再一個能看到人家的安全警覺，這方面我們是要向人家學(xué)的。后面請公安部網(wǎng)絡(luò)安全保衛(wèi)局的張?zhí)庨L來談一談。

張秀東：大家好，非常高興能參加云計算安全和保護相關(guān)一些話題。我是公安部網(wǎng)絡(luò)安全保衛(wèi)局的張秀東（音）。我們的職能是網(wǎng)絡(luò)警察，其中一項是國家保護制度的貫徹和落實，對各單位進行監(jiān)督、檢查、指導(dǎo)。這幾年等級保護工作在咱們國家取得了一些比較大的成效，各個單位，包括像李老師說的國家的重要單位、重要部門都做了很多工作，并取得了很好的典型的經(jīng)驗。

我今天想結(jié)合這張圖跟大家一塊分享一下國家等級保護工作簡單的體系框架。大家知道，等級保護其實很簡單，就是把計算機系統(tǒng)分成等級，按等級來保護，使用相應(yīng)等級的安全產(chǎn)品，對相應(yīng)等級的安全要求進行落實，分等級進行檢查指導(dǎo)。

重要信息系統(tǒng)的安全保護工作，我們認為三級以上的計算機系統(tǒng)是我們國家的重要信息系統(tǒng)。各項工作我們列了幾項，包括頂級備案等。原本從2006年開始我們開展的等級保護定級工作，現(xiàn)在已經(jīng)取得了很大的成效。頂級備案工作已經(jīng)基本做的差不多了。

以前我們說等級保護工作一共有五個環(huán)節(jié)，第一是定級。第二到公安機關(guān)備案。人出生得上戶口，這個系統(tǒng)出生以后也得的公安機關(guān)備案上戶口。第三是測評，系統(tǒng)出來以后會有安全隱患和問題，必須通過專業(yè)的技術(shù)方法來查找隱患和問題。測評之后發(fā)現(xiàn)問題怎么辦？要做一些安全建設(shè)整改，這是第四個環(huán)節(jié)。最后一個環(huán)節(jié)，公安機關(guān)要定期的對國家的重要信息系統(tǒng)進行檢查、監(jiān)督、指導(dǎo)。這是相當(dāng)于從2006年到現(xiàn)在我們公安機關(guān)一直做的等級保護五個規(guī)定的工作環(huán)節(jié)。

專家也說到23號文件，公安部也在積極的落實國家中央領(lǐng)導(dǎo)的指示要求，包括風(fēng)險評估、安全監(jiān)測、應(yīng)急演練，包括專項技術(shù)檢查，都統(tǒng)一的納入到我們的等級保護工作中來。其實之前也做了一些工作，比如安全監(jiān)測，我們在十八大期間對七、八十個部委，還有117家中央企業(yè)他們的門戶網(wǎng)站進行了安全技術(shù)檢查監(jiān)測，也發(fā)現(xiàn)了一些問題，給他們下達了安全隱患整改的通知書。包括風(fēng)險評估，大家一直說風(fēng)險評估是面對系統(tǒng)威脅的一個評估。我們的想法是結(jié)合系統(tǒng)的等級，從系統(tǒng)的脆弱性和所處的威脅結(jié)合起來，對一個系統(tǒng)的安全性進行評估。

安全事件處置，這是公安機關(guān)一直在做的工作，包括CSDN的處置，都是公安部下達命令，北京市公安局去落實，要求相關(guān)單位做整改的工作。另外，安全產(chǎn)品管理，因為我們信息安全產(chǎn)品管理銷售許可證是在我們局里面發(fā)，所以信息安全產(chǎn)品管理這塊也一直在做。僅僅是管產(chǎn)品銷售，我們覺得還不夠，管理產(chǎn)品是為了管理系統(tǒng)的安全，應(yīng)該從整個的產(chǎn)業(yè)鏈來為安全產(chǎn)品，系統(tǒng)的安全進行有力的管理。

最上面這一塊是等級保護的支撐體系，包括等級保護的新技術(shù)、新應(yīng)用的研究，包括國外對關(guān)鍵信息基礎(chǔ)設(shè)施的研究，還有等級保護的培訓(xùn)相關(guān)體系，還有等級保護檢查體系。這些都是對等級保護工作的一個有利支撐。

再上面是幾個力量。一個是等級測評隊伍。我們?yōu)榱俗龅燃墱y評，在全國推薦了115家的測評機構(gòu)，專門對系統(tǒng)的測評工作進行管理。通過培訓(xùn)、考試、拿證，培訓(xùn)出了2000多名的等級測評師。因為測評是個比較敏感的工作，它是深入到計算機系統(tǒng)內(nèi)部去發(fā)現(xiàn)系統(tǒng)的安全和隱患。所以，這些人如果不可控，最后他發(fā)現(xiàn)隱患之后去牟利或者搞一些違法的活動，本來是為了安全，最后導(dǎo)致了不安全。所以等級測評也是一支非常有利的隊伍。我們等級保護的聯(lián)絡(luò)員是由國家56個部委處級干部組成，等級保護專家隊伍有兩個院士掛帥，是我們專家組的組長和副組長。

豎的兩條分別是等級保護的標準體系和等級保護的政策體系。等級保護這項工作技術(shù)性和政策性都很強，因此我們從九幾年開始就做標準的制定工作，現(xiàn)在已經(jīng)出臺40多個標準。包括政策文件應(yīng)該有十幾個。應(yīng)該說現(xiàn)在的政策和標準體系都比較完善。

這是我給大家介紹的第一個問題，等級保護未來幾年的工作框架。第二個問題，把云計算的安全問題和等級保護工作的結(jié)合，包括我們現(xiàn)在正在研究的一些問題，說的嚴重一點，幾個挑戰(zhàn)吧，跟大家一塊分享一下。大家有更好的考慮也可以給我們提出來，我們一塊探討一下。

一個是云計算結(jié)合到等級保護體系框架里，有可能我們現(xiàn)在主要的是把它放在新技術(shù)、新應(yīng)用的研究里。因為有些國家部委也很重視云計算這個問題，也下達了一些研究任務(wù)，我們公安部也是在積極的研究，我們自己的公安工作和等級保護工作都在研究范圍內(nèi)?，F(xiàn)在研究拿不出一個很準確的很成型的一套理論，我們想過幾個問題。一個是和定級備案工作怎么結(jié)合，云到底是算一個系統(tǒng)，還是多個系統(tǒng)的集成，我們還在研究，還在探討。

在定級工作里面是按照兩個因素來定級，一個是系統(tǒng)信息的重要性，一個是系統(tǒng)服務(wù)的重要性。信息的重要性，如果是多個系統(tǒng)共用一個云的話，到底云里面承載的業(yè)務(wù)應(yīng)用有重要的有不重要的，你按照什么級別來定，確實是值得研究和探討的。定級對象不一樣，和傳統(tǒng)的系統(tǒng)不一致以后，因為我們的測評是分為管理和基礎(chǔ)十個方面，包括網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、邊界安全等等，還有物理安全以及管理方面的人員管理、制度管理，這些方面全都變化了。有可能我們要把測評的標準的再修訂一下，再更改一下。

包括安全建設(shè)整改，隨著云計算的發(fā)展，我們也是很歡迎各個單位把適合于云計算的產(chǎn)品一起探討一下。最后我想說的是云計算這個工作有可能技術(shù)應(yīng)比較強，但是它最終會落到政策和標準上，會有一套完善的標準和政策。這是我們接下來要努力的方向，就講這么多，謝謝大家！

李?。褐x謝張?zhí)?，我們看到政府為我們的網(wǎng)絡(luò)安全做了很多系統(tǒng)工作。下面請趨勢科技全球研發(fā)長奧斯卡給我們介紹一下。

奧斯卡：趨勢科技今年是第25年了，這25年我們只做一件事。安全的領(lǐng)域在國際病毒這方面的變化存在很多危險。競爭中很重要的因素是所謂IT的基礎(chǔ)架構(gòu)在改變，20年前在做PC的時候，一開始是PC病毒，那時一年找到100個病毒你就賺了。那時你還得飛到一個國家找到這個病毒。1995年開始出現(xiàn)所謂的新式病毒，它會通過網(wǎng)絡(luò)的文件來傳播。人類從1995年電子產(chǎn)品開始流行，2000年9月的時候電子的傳染途徑改成上網(wǎng)了。延伸到今年，剛才李教授講了，云最重要的東西是安全已經(jīng)慢慢脫離了。傳統(tǒng)的是我可能是把一臺機器破壞，可是當(dāng)世界上這些云形成之后，這些資料慢慢啟動的時候，破壞以后所得到的回報會比以前來的更多。為什么你要談云的架構(gòu)的時候，更重要的是未來的世界威脅會產(chǎn)生怎樣的變化。

全世界都有病毒，病毒分析難道是我們?nèi)ニ鸭《荆缓笤偃ソ鉀Q嗎？另外一個很大的變化跟五年前很不一樣，即使用者不一樣。最主要的就是智能手機的出現(xiàn)，智能手機的出現(xiàn)改變了整個病毒的繁殖方式。以前你有一個可信任邊界，用智能手機接收郵件，實際你們公司的邊界就到了這里，會有很多路徑進來。如果你今天是一個做軟件開發(fā)的，五年前你考慮的非常簡單，但看看今天的世界，整個的操作系統(tǒng)已經(jīng)跟五年前有很大的不同了。今天有iOS，有安卓，有Windows8。如果資料不在你的手上控制，加上新式威脅存在，再加上使用者的行為跟五年前有很大的差別，就是手機。每次問企業(yè)客戶，他都會跟你講到安全問題。謝謝！

李?。合旅嬲埥鹕皆频母笨偛脳钿撓壬鸀槲覀冏鲆粋€介紹。

楊鋼：很榮幸代表一個云計算最終產(chǎn)品的生產(chǎn)商參加這次會議。金山云和我們大家說的云不一樣，是最終用戶使用的一個產(chǎn)品。今天早上我剛剛輸?shù)袅撕屯碌囊粓龃蛸€，昨天凌晨我們參加了天貓的雙12活動，我們準備了1000張充值券，我們打賭說什么時候能賣完，我說今天下午2點，今天凌晨零點零4分的時候，同事打電話過來說你輸了。一方面我覺得很高興金山云確實是幫助很多人獲得了生活和工作上的便利，保存數(shù)據(jù)的量大概是50個PB。但是我們不認為自己是大數(shù)據(jù)，這些大數(shù)據(jù)我們是不會去分析它的。我們馬上會推出企業(yè)板，和用戶進行面對面的訪談和溝通。還是非常多的人問到這種產(chǎn)品確實是非常方便的，但是我個人用用也就算了，要用到我的企業(yè)里面，它的安全問題你們是怎么保證的。

目前行業(yè)的現(xiàn)狀主要還是靠企業(yè)的自律，比如說以金山為例。我們有一個研發(fā)部過了國家保密資質(zhì)的二級，當(dāng)然我不是負責(zé)這個研發(fā)部的，但作為助理副總裁參加了相關(guān)的培訓(xùn)。我們設(shè)計系統(tǒng)的時候非常注重用戶文檔隱私的保護，比如說我們?yōu)槊恳粋€文件碎片準備了不同的256位的密碼。我們有專門的安全審計小組，還有主動安全防御系統(tǒng)。甚至有一次因為主動安全防御系統(tǒng)的規(guī)則設(shè)的不是特別的合適，導(dǎo)致系統(tǒng)假報警。我們覺得應(yīng)該能夠提供穩(wěn)定的服務(wù)給用戶，但從一個側(cè)面說明我們的團隊是非常重視用戶數(shù)據(jù)安全的保護，將其放在穩(wěn)定性之上。

我知道有的創(chuàng)業(yè)團隊好一點，有一個密碼對應(yīng)所有的文件，有的是直接明文存放的用戶的文件。新的云服務(wù)，有一個很重要的問題，它很容易受到針對這個服務(wù)的定向攻擊。因為用戶的數(shù)據(jù)匯集到這個地方，只要攻破這一點就可以了。我也是抱著學(xué)習(xí)的心態(tài)參加這個論壇，希望能夠和各位來自安全領(lǐng)域的專家們一起探討，我們怎么樣一起合力把這個行業(yè)推向有序化和有法可依的狀態(tài)。

金山云內(nèi)部我們在做二級的自查，明年之后我們會非常積極的推行我們的資質(zhì)的申報和驗證工作。謝謝大家！

李?。何覀冊谧幸话胍陨隙紩碛薪鹕皆啤Ｏ旅嬲埡惆补咀鼋榻B。

恒安公司代表 ：我們一開始做防火墻、防病毒，但是大家知道安全本身是跟你的基礎(chǔ)設(shè)施、跟你的業(yè)務(wù)關(guān)聯(lián)度太大。我們以前說安全其實它更像一個虎皮膏藥，哪有病就貼在哪里。

剛剛趙糧博士的一張圖比較好的解釋了我們做安全的困境。我一開始說云的時候，大家可能會說就是虛擬化，服務(wù)器虛擬化以后資源怎么保護。后來發(fā)現(xiàn)PaaS又出來了，PaaS的應(yīng)用出來了，我們發(fā)現(xiàn)這其實是一個平臺的介入。后來發(fā)現(xiàn)SaaS出來了，正如金山楊總說的這是直接面向用戶的，帶來一個問題是你的安全怎么保護，而且熱點變得特別快。前兩年叫云，叫虛擬化，今年我們不再談虛擬化，直接談的是大數(shù)據(jù)，大數(shù)據(jù)最大的關(guān)鍵點在這兒。SaaS提供服務(wù)以后，我的數(shù)據(jù)其實全部集中在這里面，這種情況下如何保護云的安全，這是我們面臨的一個很大的挑戰(zhàn)。

整個安全是隨著基礎(chǔ)設(shè)施，隨著業(yè)務(wù)模式的變化一直在變化的，我們作為安全廠商可以說是挺苦逼的，一直在跟著這個東西?；剡^頭來說，今天看到趙博士這張圖，我突然找到我們自己原來的一些定位。我們更多的是類似于這樣一個角色，在大數(shù)據(jù)的發(fā)展情況下，移動互聯(lián)網(wǎng)、大數(shù)據(jù)面臨個人用戶隱私的泄露。通過我們的技術(shù)在全國31個省移動互聯(lián)網(wǎng)的管道里面，嘗試通過IT審計，發(fā)現(xiàn)很多應(yīng)用規(guī)范性是很有問題的。你不知情的情況下他可以把你的通訊錄打上去，這不是病毒，是一個概念的演進。我們叫惡意軟件，未經(jīng)用戶授權(quán)，把數(shù)據(jù)沖到云端，并且進行處理。

病毒在移動終端里大概在2萬左右，如果說從用戶隱私大數(shù)據(jù)來看不止2萬，20萬都有可能。這給我們帶來了很大的挑戰(zhàn)。前兩天我們也在做測試，某些微博，在做大數(shù)據(jù)分析的時候，會向他的第三方開放用戶上面的私信，也就是你自己跟別人聊天的事情放在云上面。他會拿你的私信做大數(shù)據(jù)分析。大數(shù)據(jù)某種程度上推動了商業(yè)，但某種情況下隱私也被使用了，你的私信可能會被用來做大數(shù)據(jù)的分析，看你符不符合推銷某種業(yè)務(wù)。我們一直做的努力是希望隨著大數(shù)據(jù)的出現(xiàn)，隨著病毒演進到惡意軟件的階段，我們希望在這塊能夠提供一些幫助。我們現(xiàn)在也跟三大運營商，像中國移動提供了審計的服務(wù)。每天他大概有一萬多的用戶投訴是針對于訂購，比如你的手機上訂購了哪些東西，它實際上是通過SaaS過來。我們每天處理的上萬起的投訴，我們得把這個數(shù)據(jù)融入到平臺里面。一開始是從這個角度做，后來發(fā)現(xiàn)我們其實也可以用云這種技術(shù)應(yīng)對本身云的問題。它本身是大數(shù)據(jù)，每天有一萬多起用戶的投訴，通過人是沒辦法分析的，而且分布到這么多省上面。我們投入云進行集中的分布式的，所有的數(shù)據(jù)整合在一起，來分析當(dāng)前到底什么樣的用戶使用不是用戶自己主動做的，而是被惡意軟件控制的。

做到現(xiàn)在，我們更希望通過云技術(shù)本身服務(wù)給云。也就是說，這種SaaS服務(wù)他們的問題我們用SaaS的服務(wù)來解決。這就是大概我們現(xiàn)在做的事情，簡單的說一下，謝謝大家！

李?。何覀冇喌膱蠹埫刻旆旁趥鬟_室問題不大，但我們的信放在傳達室有人看的時候就不行了。下面有請?zhí)斓貐R云公司的王總給我們介紹一下他們的方案。

王成江：非常高興有機會跟大家交流一下云安全的問題。

前期我們做了很多項目，都提到了云安全的問題，專門發(fā)展了一個公司，來做基于云安全的產(chǎn)品、技術(shù)。去年為了某一個項目，專門請了幾個院士來探討云安全到底應(yīng)該怎么做。大家討論了很多，有一個共識是比較清晰的，其實安全問題一直是存在的，為什么一談到云對安全問題感覺更可怕了，因為它更不可預(yù)知。從傳統(tǒng)的信息平臺到云的平臺到底發(fā)生了什么變化？傳統(tǒng)的就是一個小超市，幾個人就能管得過來，各個方面看的很清楚，但新的云要建一個大的購物中心，不僅商品多了，而且各種的業(yè)務(wù)模式都存在了。不僅是賣東西，甚至還有電影院，還有洗腳的，成分復(fù)雜了，用戶復(fù)雜了，就必然帶來了安全問題。我們有一個體系，這個體系是什么？第一，我們要建立一個標準。比如你要建一個購物中心，我要放火多少級，防風(fēng)多少級，整體的安全架構(gòu)要存在。云安全體系國際的標準有ISO2007，還有云聯(lián)盟的云安全指南。從傳統(tǒng)模式來看，大多數(shù)原有的產(chǎn)品和技術(shù)還是負責(zé)問題的，只不過是由于轉(zhuǎn)成了云，帶來了云的特異性的東西，我們要把安全做好。

在標準以內(nèi)，我們要根據(jù)云的特點來選定適合它的技術(shù)和產(chǎn)品。根據(jù)不同的用戶特點，選定不同的產(chǎn)品和技術(shù)。實際上我們現(xiàn)在的產(chǎn)品和技術(shù)很多很多，防火墻等等，在云下我們要建立一個虛擬化的安全模式。在體系里我們是應(yīng)該有一個大的接口，能夠把所有的產(chǎn)品和技術(shù)都進行統(tǒng)一化的管理和部署。

我們應(yīng)該有相應(yīng)的管理制度，安全問題是來自于管理系統(tǒng)內(nèi)部的。由于我們的用戶模式復(fù)雜了，在業(yè)務(wù)交流過程中由于不信任也帶來了安全問題。我在想在未來，我們應(yīng)該是按照這么一個大的體系，云計算的安全運營或者是規(guī)劃，應(yīng)該是基于這么一個體系來建立模塊化的云安全。

一是要根據(jù)不同的標準，基于用戶的不同特點選用不同的產(chǎn)品和技術(shù)和管理制度，這樣我們就可以貢獻一個針對每一個用戶云安全的解決方案。我們現(xiàn)在已經(jīng)產(chǎn)品化了，但最終體現(xiàn)的不是一個產(chǎn)品，而是一個平臺，或者說是一個云安全的防護體系。

現(xiàn)在我們大多數(shù)看到的應(yīng)該是基于等級保護的云安全。現(xiàn)在針對云安全的標準還沒有，在政策沒有出臺之前一定是都往等保方面靠。這是未來我們探索云安全標準的一個有益的嘗試，在這方面我們企業(yè)先走一步，也想得到政府和用戶的支持，共同探索出一條未來云安全的路子。這個產(chǎn)品我們已經(jīng)成型了，未來我們會根據(jù)不同的需求來進一步的升級。

都談云安全，即便是沒有云，安全問題也一直存在。不可能全部的問題都解決了我們才能上網(wǎng)，希望有更多的廠家出來更多的解決方案，我們共同來解決這個問題。

李?。合旅嫖覀儼褧r間留給各位到場的嘉賓，因為時間有限，在提問題的時候盡量明確，短一點。

提問：我想問一下王總，用戶進入公有云的時候，我們需要做什么準備？

王成江：在購物中心里你要知道自己是買東西的用戶，還是駕車停車的業(yè)主，如果你是入駐購物中心的一個企業(yè)，更多的考慮的是給業(yè)主提出來我要達到什么安全條件，針對我的用戶的一些安全要求。

提問：既然都是云，分攤用戶的計算成本，我們有沒有相應(yīng)的產(chǎn)品，每個月付1000塊錢，就可以保證我云存儲的安全，而不是讓我裝一個防火墻，因為企業(yè)服務(wù)器的防火墻都很貴。

王成江：現(xiàn)在尤其是安全問題，整體上還不是太成熟，誰也不敢說我能夠提供。

李健：實際一個問題出現(xiàn)之后就會有人跟著解決問題。

楊鋼：我們對一些合作伙伴提供虛擬機服務(wù)。作為云服務(wù)的提供商，我們能夠做到不同公司資源之間的隔離。這是用戶和云平臺之間雙向配合的過程，作為租戶的話，首先要明確我對安全要求有多高，因為不同的安全要求會涉及到不同的技術(shù)的準備和團隊的準備，不是所有的東西都能夠通過技術(shù)自動化完成。云服務(wù)提供商會根據(jù)這個要求來完成。

李健：楊總說這1000塊錢你可以省下了，因為他們提供的是基礎(chǔ)服務(wù)。

提問：您好，我要問一下楊總，文件的加密是256密鑰加密，我想問一下密鑰的安全性是怎么管理和保證的？

楊鋼：這個問題很專業(yè)。金山快盤的服務(wù)和設(shè)計里分為三個大系統(tǒng)，一個是分布式存儲系統(tǒng)，另外一個是用戶數(shù)據(jù)管理系統(tǒng)。另外一塊非常獨立的就是安全與審計系統(tǒng)。其中有一個模塊是專門對文件，根據(jù)原始文件的指紋碼用不可逆的方法生成獨立的256位的密碼。這個系統(tǒng)因為是屬于安全管理的子系統(tǒng)里，所以它自己有自防御的功能。它自身可以去識別一些威脅，如果發(fā)現(xiàn)有一些威脅發(fā)生，它會把自己下了檔。因為所有文件，不管是上傳還是下載之前都需要找這個系統(tǒng)要這一個文件的密鑰，所以一旦它下檔，需要每個人輸入激活碼進行激活，這些文件其實是不可解密的。

提問：剛才有幾位老總提到手機，手機的應(yīng)用給我們帶來一些安全的威脅，作為我自己來說還沒有發(fā)現(xiàn)。感覺手機的安全沒有傳統(tǒng)病毒那么特別明顯，能不能說一下在手機方面有沒有什么安全的特性和安全的漏洞。

我來給您解釋一下。你手機上什么安全措施都沒有做的話，建議你去查查帳單。舉個例子，帳單上按照有沒有顯示彩信的記錄，有沒有發(fā)生過短信的記錄，或者說你有沒有突然有一個一塊錢的業(yè)務(wù)，結(jié)果你是沒有訂購的。回過頭來說我們怎么看待這個事情，一方面我們把我們的技術(shù)提供給運營商，由他們來進行全網(wǎng)的監(jiān)測。另外，我們還跟他們建立云的平臺，他們有上萬個投訴，我們?nèi)绾畏謸斐鰜?，哪些是用戶的行為，哪些是被惡意訂購的行為。大概每天?00起，不是用戶做的，而是被惡意程序控制去做的，而且是涉及到費用的。為什么以前手機病毒沒有說那么多，現(xiàn)在提出來，而且是運營商主動想提這個問題的，為什么？最大的問題是用戶在投訴他，因為你的話費里有不正當(dāng)?shù)馁M用產(chǎn)生。

李健：所以手機上一定要裝防病毒的，現(xiàn)在盜號的特別多。

張明正：在上網(wǎng)的時候真的要保護好自己，比如我下載的應(yīng)用APP  Store，中國很多應(yīng)用的商店其實是都沒有管控的，包括谷歌自己的應(yīng)用商店也有病毒，被人家告知里面有一萬多個病毒。

提問：我想問一下金山楊總，我是一個程序開發(fā)者。問一個每一個金山快盤的用戶都比較關(guān)心的問題，比如360、騰訊、華為都有這種快盤，每一家都說對用戶的隱私絕對不會泄露。但是作為開發(fā)者，我們的數(shù)據(jù)到工程師手里都是透明的。您作為金山快盤的管理者，怎么樣保證您的數(shù)據(jù)對用戶是絕對的安全、絕對的透明？

楊鋼：要把每一個人，特別是每一類人都看成是壞人。我們之前發(fā)生過一個真實的案例，那就是有一次我們收到一條從來沒見過的報警，某一個己方某一臺服務(wù)器被插上了鍵盤，這種情況我們之前沒有遇到過，馬上找到運營商，運營商不提供，把我們的設(shè)備從那一臺服務(wù)器上撤走了。家賊的問題大家也是非常擔(dān)心的，最重要的防御方法，按照金山的經(jīng)驗是分為兩個部分。第一個部分，成立專門的安全審計隊伍，這是我們一直堅持的。有人專門來檢查這些東西。第二部分是權(quán)限分離。比如我是金山云的CTO，所有的架構(gòu)我都比較熟，所以我是沒有任何生產(chǎn)服務(wù)器權(quán)限的。企業(yè)的自律和行業(yè)規(guī)范的制定，這些方面都是相輔相成的，所以金山也非常愿意能夠和各個安全廠商一起來合作，我們來共同建立行業(yè)的秩序，也歡迎第三方的安全廠商和我們一起來做，不管是技術(shù)上的，還是管理制度上的第三方的監(jiān)管。最后還是落實到一個公司長期的誠信表現(xiàn)上，像騰訊他們還是比較可信的。謝謝！

提問：對于我們這么多向社會提供云服務(wù)的公司來說，我們國家有沒有很具體的合規(guī)的標準，不能說是規(guī)定，因為規(guī)定太硬性或者太概念化了，有沒有具體落實到地的指標需要他們?nèi)プ袷?，用戶可以明了的看到這家公司通過了什么安全的認證和國家合規(guī)的認可，我可以選擇你的服務(wù)。第二個問題，在一些云計算比較發(fā)達的國家，像美國、日本，包括歐洲的一些國家，很多的應(yīng)用都遷到云端，中國的政府有沒有這樣的應(yīng)用也在或者考慮向云端來遷移。

李健：第一個問題張總兩個字就回答了。

張秀東：我先回答第一個問題，確實還沒有。因為云計算現(xiàn)在確實大家還是在初級階段，大家正在各個部門研究，公安部是作為信息安全的職能部門，不是主管部門，主管部門在工信部。我們在信息安全圈里有可能等級保護是一個主要的工作，但也不是全部。同時我還想闡明一個觀點，咱們今天的主題其中之一是云計算和等級保護工作銜接的問題，另外一塊是云計算的安全，不僅僅涉及到等級保護，也可能會涉及到其他的一些信息安全職能部門或者主管部門管轄的范圍。有可能云計算安全在我們公安部如果是出臺一些政策標準的話，會是基于一些等級保護的政策和標準。如果工信部，甚至發(fā)改委、國家保密局這些職能部門，他們對云計算安全的規(guī)范和標準肯定也會有所考慮。所以公安部目前我們是承擔(dān)了發(fā)改委和工信部的一個研究任務(wù)。

李?。和七M云建設(shè)的時候我們需要做什么決策，怎么分別去推進。這一點有點像社會主義的各盡所能，按勞去酬的方式，非常有意思。謝謝各位專家，謝謝各位。

姜廣智：再次感謝各位專家。希望大家明年的云世界大會把云安全的論壇做的更大，做的時間更長，有更充分的時間去交流，再次謝謝大家！