云計(jì)算以其廉價(jià)、快速、彈性、共享等特性受到越來(lái)越多企業(yè)的青睞，但來(lái)自于許多專業(yè)調(diào)研機(jī)構(gòu)的報(bào)告都顯示用戶采用云計(jì)算的最大顧慮是云計(jì)算的安全問(wèn)題。眾多企業(yè)都認(rèn)為云計(jì)算的“資源共享”會(huì)涉及很大的安全問(wèn)題。

　　中國(guó)醫(yī)藥集團(tuán)信息化專家組組長(zhǎng)、信息部主任雷萬(wàn)云博士曾經(jīng)在一篇文章中指出，任何信息化建設(shè)都存在著安全問(wèn)題，安全問(wèn)題在云計(jì)算產(chǎn)生之前就存在，沒(méi)有必要單獨(dú)把這個(gè)問(wèn)題擴(kuò)大化。并給出了建議：“對(duì)于企業(yè)私有云，在傳統(tǒng)的信息安全管理技術(shù)基礎(chǔ)上，再利用一些新發(fā)展的云安全技術(shù)是完全可以的，因?yàn)檎麄�(gè)運(yùn)作是在企業(yè)的防火墻以內(nèi)的。而對(duì)公有云，整體安全情況則需要逐步完善。各方逐步完善、規(guī)范SLA服務(wù)等級(jí)協(xié)議來(lái)確保用戶的利益得到保障。”

　　談及IT系統(tǒng)安全，通常會(huì)想到諸多設(shè)備。但對(duì)于企業(yè)來(lái)說(shuō)實(shí)質(zhì)上的需求是“業(yè)務(wù)安全”，不是設(shè)備，也不是軟件或其他什么服務(wù)。企業(yè)真正需求的應(yīng)該是能理解業(yè)務(wù)，并將安全與業(yè)務(wù)相融合的業(yè)務(wù)安全管理運(yùn)維。而如身份認(rèn)證、安裝補(bǔ)丁、漏洞掃描、系統(tǒng)評(píng)估，配置核查等，乃至對(duì)相關(guān)安全事件的響應(yīng)等等均是其中的實(shí)現(xiàn)方式。而目前這些實(shí)現(xiàn)方式卻占用了企業(yè)大部分精力，使企業(yè)沒(méi)有精力去規(guī)劃業(yè)務(wù)和安全策略的融合。

　　移動(dòng)化、云計(jì)算這些技術(shù)趨勢(shì)使企業(yè)的IT系統(tǒng)越來(lái)越復(fù)雜。業(yè)務(wù)創(chuàng)新性和精細(xì)化等需求也直接影響著作為支撐業(yè)務(wù)的IT系統(tǒng)發(fā)展，因此面對(duì)的安全問(wèn)題也越來(lái)越多。

　　與傳統(tǒng)IT環(huán)境安全比較，云計(jì)算特有的安全問(wèn)題主要有三個(gè)方面。

　　第一是虛擬化環(huán)境下的技術(shù)及管理問(wèn)題。傳統(tǒng)的基于物理安全邊界的防護(hù)機(jī)制難以有效保護(hù)基于共享虛擬化環(huán)境下的用戶應(yīng)用及信息安全。另外就是，云計(jì)算的系統(tǒng)如此之大，而且主要是通過(guò)虛擬機(jī)進(jìn)行計(jì)算，一旦出現(xiàn)故障，如何快速定位問(wèn)題所在也是一個(gè)重大挑戰(zhàn)。

　　第二是云計(jì)算這種全新的服務(wù)模式將資源的所有權(quán)、管理權(quán)及使用權(quán)進(jìn)行了分離，因此用戶失去了對(duì)物理資源的直接控制，會(huì)面臨與云服務(wù)商協(xié)作的一些安全問(wèn)題(主要是信任問(wèn)題)，如用戶是否會(huì)面臨云服務(wù)退出障礙，不完整和不安全的數(shù)據(jù)刪除會(huì)對(duì)用戶造成損害，此外，如何界定用戶與服務(wù)提供商的不同責(zé)任也是很大一個(gè)問(wèn)題。

　　第三，云計(jì)算平臺(tái)導(dǎo)致的安全問(wèn)題。云計(jì)算平臺(tái)聚集了大量用戶應(yīng)用和數(shù)據(jù)資源，更容易吸引黑客攻擊，而故障一旦發(fā)生，其影響范圍更多，后果更加嚴(yán)重。此外，其開放性對(duì)接口的安全也提出了一些要求。另外，云計(jì)算平臺(tái)上集成了多個(gè)租戶，多租戶之間的信息資源如何進(jìn)行安全隔離、服務(wù)專業(yè)化引發(fā)的多層轉(zhuǎn)包引發(fā)的安全問(wèn)題等。

　　在安全防護(hù)體系上，需要構(gòu)建包括底層架構(gòu)安全(通過(guò)完善、規(guī)范服務(wù)器虛擬化安全、網(wǎng)絡(luò)虛擬化安全、存儲(chǔ)安全、高可用性要求以及虛擬化安全管理相關(guān)配置要求，構(gòu)建邏輯安全邊界，保障虛擬環(huán)境安全。)、基礎(chǔ)設(shè)施安全(完善對(duì)底層資源的調(diào)度和分配機(jī)制，防止用戶對(duì)底層資源的過(guò)度占用;引入沙箱隔離技術(shù)，實(shí)現(xiàn)不同應(yīng)用程序間的相互隔離)、運(yùn)營(yíng)管理安全(通過(guò)動(dòng)態(tài)的安全環(huán)境來(lái)提高他的安全性)、信息安全層面(通過(guò)數(shù)據(jù)的隔離，加密傳輸，加密存儲(chǔ)這些技術(shù)手段為用戶提供端到端的保護(hù))。

　　既要面對(duì)日益增多的安全問(wèn)題，又要去理解業(yè)務(wù)以制訂更好的融合管理策略，企業(yè)IT部門該如何應(yīng)對(duì)？目前有許多廠商提出以SaaS的形式去解決安全問(wèn)題。把很多復(fù)雜性工作交給服務(wù)供應(yīng)商去解決，以使企業(yè)的IT安全管理人員有更多的精力去理解業(yè)務(wù)。

　　SaaS云安全模式為中小企業(yè)安全防護(hù)提供了一種新選擇，SaaS云安全服務(wù)是通過(guò)云服務(wù)方式把安全保護(hù)的能力提供給企業(yè)。對(duì)用戶企業(yè)而言，這種類似租賃的模式省下了很多軟硬件購(gòu)買成本，并能實(shí)現(xiàn)即時(shí)按需的保護(hù)。并且解決了很多中小企業(yè)因?yàn)閷�業(yè)人員和資金的缺乏而無(wú)法實(shí)現(xiàn)有效的安全防護(hù)。

　　尋求專業(yè)的云安全服務(wù)商，設(shè)計(jì)出符合企業(yè)自身業(yè)務(wù)特性的云計(jì)算安全計(jì)劃也是很有必要的。云計(jì)算不僅意味著技術(shù)的變革，也是商業(yè)模式的變更。如何通過(guò)云來(lái)實(shí)現(xiàn)更敏捷的業(yè)務(wù)模式，將是企業(yè)成功的基石。