文/本刊記者 木子衂

云計算，在嚴肅刻板如“理工男”般的一堆計算機術(shù)語中，無疑是最具有“文科生”浪漫氣質(zhì)的技術(shù)名詞。

當然，名字好聽還是其次，真正的實力才是根本。繼個人計算機變革、互聯(lián)網(wǎng)變革之后，云計算作為一種創(chuàng)新的科技理念和新興的資源用付模式，被看作第三次IT浪潮。記者從同樣“文藝范”十足的“2015中國杭州.云棲大會”上，看到了以阿里云為代表的中國“云軍團”，已經(jīng)開始用他們的智慧與創(chuàng)新，給人們的生活、生產(chǎn)方式和商業(yè)模式，帶來了更加便捷的應(yīng)用，產(chǎn)生了重要而深刻的影響。

可以說，云計算，已經(jīng)成為當前全社會關(guān)注的熱點和信息科技未來發(fā)展趨勢之一；云時代，也成為人們夢想中信息時代的代名詞。

然而，正如任何信息科技都繞不開“信息安全”這個致命問題一樣，云計算從誕生之初，就遭遇了系列信息安全威脅與挑戰(zhàn)的阻礙和困擾。從基于云計算平臺特性的安全后果角度看，信息安全已不僅僅是左右云計算發(fā)展的理論問題，它甚至成為能夠引發(fā)更大的災(zāi)難的一個高風(fēng)險的現(xiàn)實問題。

有人打了個比方，云計算這個科技浪潮，就像杭州錢塘江大潮，只有在兩岸安全堤壩的保護下，它才是人們眼中的美景和身邊的名勝，如果缺少了安全之堤防，它給人們帶來的只有災(zāi)害與損失。

如今，云計算的美麗潮汐正在國內(nèi)涌起，正確認識這股IT時代浪潮，我們才能佇立潮頭體會它的美麗；真正重視建設(shè)它的安全之堤，我們才能切實在這股洶涌大潮中，保護好我們自己。

在云計算這朵“大云”，迎著信息時代的光芒迅猛成長的時候，一個黑洞般的陰影也在迅速擴散，它不但在阻礙著“云”飛翔的腳步，更借助云的力量，對人類產(chǎn)生著巨大的威脅。它就是云計算的信息安全。

“安”若無在，“云”何以棲？

上篇云計算之潮：革命性技術(shù)“神話”正在落地

你，一會兒看我，一會兒看云。

我覺得，你看我時很遠，你看云時很近。

——顧城《遠和近》

把計算能力作為一種像水和電一樣的公用事業(yè)提供給用戶，用戶可以隨時接入并獲取自己所需的計算資源，按需付費，自由進出。用戶只需接入網(wǎng)絡(luò)，就可以獲取所需的硬件、平臺、軟件以及資源服務(wù)。這種提供新型計算能力的技術(shù)稱為“云（cloud）”，它離我們真的很近。

云計算這個有些浪漫的名詞，是一個產(chǎn)生于IT領(lǐng)域的概念。當然，與其他精確的技術(shù)概念定義不一樣，云計算也是一個比較宏觀和相對模糊的技術(shù)術(shù)語，類似于電子商務(wù)等。

云計算的前身，還是歸結(jié)于人們對于網(wǎng)絡(luò)的愿景描述。早在1983年，剛剛創(chuàng)立于美國斯坦福大學(xué)的太陽電腦公司就率先提出了“網(wǎng)絡(luò)就是計算機”的獨特理念。

2006年8月9日，Google首席執(zhí)行官埃里克·施密特首次提出“云計算”（Cloud Computing）的概念。同時，Google在2006年推出Google Apps的企業(yè)服務(wù)即為云計算服務(wù)的雛形，用戶只需要通過瀏覽器連接到Google，就可以進行相應(yīng)的存儲和計算處理。

隨后，IBM、雅虎、惠普、英特爾等IT舉頭企業(yè)相繼跟進，進行了覆蓋全球的云計算技術(shù)產(chǎn)品的研發(fā)探索和理念推廣。而在云計算這個革命浪潮的吸引下，包括美國卡內(nèi)基梅隆大學(xué)、麻省理工大學(xué)、德國卡爾斯魯厄大學(xué)等多個一流高校科研機構(gòu)，也紛紛投入到云計算的技術(shù)科研之中。各國政府也隨即在這個大潮中，紛紛從對云計算的高度關(guān)注，變成了對云計算產(chǎn)業(yè)的強力扶持和大力推進。

近年來，越來越多的IT企業(yè)緊鑼密鼓地向“云”進軍，政府部門、科研機構(gòu)、普通用戶也開始高度關(guān)注云計算。

那么，究竟“云”為何物，云計算又是如何讓人們在虛擬世界中“騰云駕霧”，體驗高速便捷呢？維基百科中，對云計算有一個文字簡潔而內(nèi)容復(fù)雜的定義：云計算是一種通過Internet以服務(wù)的方式提供動態(tài)可伸縮的虛擬化的資源的計算模式。

美國國家標準與技術(shù)研究院（NIST）對云計算的定義是：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問， 進入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進行很少的交互。

其實，云計算核心革命性創(chuàng)新，便是計算能力的幾何爆發(fā)式增強。谷歌董事會主席埃里克·施密特在回答“云到底是什么”問題時，曾表示，在某種意義上，“云”就是世界上具有單臺計算機無法想象的計算能力的超級計算機，云計算平臺將為學(xué)生、研究人員和企業(yè)家們提供Google式的無限的計算處理能力。“Google的"云"，簡單說便是由幾十萬上百萬臺廉價的服務(wù)器所組成的網(wǎng)絡(luò)。這些機器單個而論的話，其性能并不比家用臺式機強大多少。但是這個網(wǎng)絡(luò)計算和存儲的能力驚人，因此搜索速度能夠更快，在眨眼之間便能為數(shù)十億的搜索提交答案。”

微軟總裁鮑爾默則這么理解云計算：“我認為，理解云計算的最好方法就是，這是一種工作環(huán)境，我們科技行業(yè)和所有的IT員工都將為公司服務(wù)的一種工作環(huán)境。我們要用這種方式來最好地服務(wù)于當前的PC、電話、電視、互聯(lián)網(wǎng)和企業(yè)數(shù)據(jù)庫業(yè)務(wù)?！?/p>

經(jīng)過幾年來的快速發(fā)展，“云”不再是浮在天空的“神馬”，而開始逐步落地融入人們的點滴生活。

其實，我們可以通俗地理解，“云”是一個比喻，指隱藏起來的、網(wǎng)狀分布的、遠程計算機服務(wù)器，那些遠程服務(wù)器按你的需要，為你提供高速、海量和便捷的數(shù)據(jù)計算服務(wù)。云計算的核心思想，是將大量用網(wǎng)絡(luò)連接的計算資源統(tǒng)一管理和調(diào)度，構(gòu)成一個計算資源池向用戶提供按需服務(wù)。

有人打了一個淺顯的比方，人們以前主要使用自己的計算機，就像自己家里的一口井和一臺發(fā)電機，計算機中的應(yīng)用和數(shù)據(jù)，就像井里的水和發(fā)出的電，家里用電用水都靠自己；而云計算則是自來水廠和電廠模式，你家里不需要打井和發(fā)電機，只需要有水龍頭和電表，那么，你需要的應(yīng)用和計算，就可以像用自來水和電一樣，取用方便，費用低廉。總之，在云計算時代，你不用考慮電腦配置太低而沒法運行大程序，你不用考慮買一臺新電腦后，要像裝修一個家一樣，給它重新裝上各種應(yīng)用軟件，你不用考慮電子文檔等數(shù)據(jù)都在自己電腦里，要到別處使用還得用移動硬盤拷貝隨身攜帶。

經(jīng)過幾年來的快速發(fā)展，“云”不再是浮在天空的“神馬”，而開始逐步落地融入人們的點滴生活。

云計算可以提供給人們的功能服務(wù)主要包括以下幾個層面：基礎(chǔ)設(shè)施即服務(wù)（IaaS），平臺即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）。它們分別在基礎(chǔ)設(shè)施層面，軟件開放運行平臺層面和應(yīng)用軟件層面通過各種技術(shù)產(chǎn)品實現(xiàn)相應(yīng)的功能服務(wù)。當前，云計算已經(jīng)通過很多具體的產(chǎn)品和服務(wù)，給我們生活和工作帶來了便捷和驚喜，包括行業(yè)應(yīng)用的大數(shù)據(jù)中心、云服務(wù)器、電子商務(wù)等；企業(yè)機構(gòu)使用的云主機、云存儲、云會議、云OA等；個人使用的云郵箱、云盤、云筆記等。

那么，云計算具體帶給我們什么？專家認為，云計算將對信息時代下，全球經(jīng)濟社會各領(lǐng)域帶來深遠影響。其影響主要體現(xiàn)在以下三個方面：

第一，云計算通過大幅度推動信息科技水平創(chuàng)新，從而全面提升了社會生產(chǎn)方式的創(chuàng)新和變革。如同水和電一樣，云計算綜合集成的計算、存儲、網(wǎng)絡(luò)等信息科技能力，成為邁向信息社會的關(guān)鍵基礎(chǔ)設(shè)施。云計算有效降低信息化成本，促進經(jīng)濟社會各領(lǐng)域的全面信息化，為個性化制造和智能化服務(wù)創(chuàng)新提供了有力工具和環(huán)境，推動經(jīng)濟發(fā)展向以知識、創(chuàng)新為驅(qū)動的現(xiàn)代經(jīng)濟體系轉(zhuǎn)型。

第二，云計算的普及加強了節(jié)能減排的推進，對人類能源節(jié)約和環(huán)保社會形成起重要作用。云計算可以充分利用基礎(chǔ)設(shè)施和軟硬件等資源，提供同樣的業(yè)務(wù)能力所需的設(shè)備數(shù)量大大減少，利用率大幅提升，從而可以有效降低單位服務(wù)能力的能耗和碳排放量。

第三，云計算系統(tǒng)和平臺高技術(shù)優(yōu)勢所形成的集中的信息資源效能，將成為國家競爭的戰(zhàn)略制高點。云計算使得大量經(jīng)濟運行、社會服務(wù)、個人生活等方面的信息和數(shù)據(jù)向具有領(lǐng)先優(yōu)勢的云計算服務(wù)企業(yè)匯集，進而使云服務(wù)企業(yè)的歸屬國形成強大的信息資源掌控力和國家競爭優(yōu)勢，成為信息時代國家綜合競爭力的重要組成部分。

云計算為人們提供了諸多便利，如節(jié)約成本、提高資源利用率、彈性資源獲取、服務(wù)不受時空限制、風(fēng)險轉(zhuǎn)移等[8-11]。虛擬化技術(shù)（Virtualization）、格計算技術(shù)（Grid Computing）、以及源于服務(wù)的體系結(jié)構(gòu)（Service-Oriented Architecture，SO)等伴隨云計算一起發(fā)展，并成為云計算走向成功必不可少的技術(shù)。

可以說，云計算雖然出現(xiàn)時間不長，但正在成為IT產(chǎn)業(yè)發(fā)展的戰(zhàn)略重點，全球IT公司已經(jīng)意識到這一趨勢，紛紛向云計算轉(zhuǎn)型，全球和我國的信息化發(fā)展進程中，云時代已呈風(fēng)起云涌之勢。據(jù)賽迪顧問統(tǒng)計數(shù)據(jù)顯示，2014年，全球云計算服務(wù)市場規(guī)模達到1528億美元，增長17%。2014年，我國公有云市場規(guī)模達到68億元。同時，云計算的發(fā)展也帶動和促進了上下游電子產(chǎn)品制造業(yè)、軟件和信息服務(wù)業(yè)的快速發(fā)展，預(yù)計到2015年年底，我國云計算上下游產(chǎn)業(yè)規(guī)模將超過3500億元。由此可見，我國云計算目前市場規(guī)模雖然不大，但是增長率遠高于全球平均水平，發(fā)展空間十分廣闊。

然而，在云計算這朵“大云”，迎著信息時代的光芒迅猛成長的時候，一個黑洞般的陰影也在迅速擴散，它不但在阻礙著“云”飛翔的腳步，更借助云的力量，對人類產(chǎn)生著巨大的威脅。它就是云計算的信息安全。

中篇“高危”的云端：信息安全成云計算發(fā)展痼疾

黑云壓城城欲摧，

甲光向日金鱗開。

角聲滿天秋色里，

塞土燕脂凝夜紫。

——（唐）李賀《雁門太守行》

云計算的興起，必然給社會生活帶來諸多機會與挑戰(zhàn)，其中因為“云”的獨特架構(gòu)模式必將面對的信息安全隱患和風(fēng)險也是前所未有。那么在未來，如果忽視了云安全，我們面對的恐怕不是那一片便捷服務(wù)的“祥云”溫柔，而是使國家安全受到嚴重威脅，面對“黑云壓城”的嚴峻考驗。

正所謂，凡事有利必有弊。

從理念到技術(shù)，從市場到用戶都堪稱完美的云計算，其最大的弊端，也許就是其獨特理念架構(gòu)所帶來的信息安全威脅和隱憂。

從普通用戶角度來講，云計算就意味著資源、信息、數(shù)據(jù)在云端網(wǎng)絡(luò)的存儲、傳輸和應(yīng)用，具有極大的開放性和整合性。這一特性對安全技術(shù)構(gòu)架及安全管理規(guī)劃要求極高，一旦出現(xiàn)安全問題，后果將是災(zāi)難性的。例如，2011年3月，谷歌郵箱爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄漏事件，大約有15 萬Gmail 用戶受到影響；2011年4月，由于EC2 業(yè)務(wù)的漏洞和缺陷，亞馬遜公司爆出了史前最大的云計算數(shù)據(jù)中心宕機事件。同一個月，黑客租用亞馬遜EC2 云計算服務(wù)，對索尼PlayStation 網(wǎng)站進行了攻擊，造成用戶數(shù)據(jù)大規(guī)模泄露。這些還僅僅是威脅的一個方面。

因此，云計算的概念提出以來，有關(guān)云計算的安全問題一直是所有云應(yīng)用服務(wù)商和企業(yè)個人用戶們所關(guān)注的重點。

如果放眼全球國際競爭來講，網(wǎng)絡(luò)作為信息承載體，已成為繼領(lǐng)土、領(lǐng)海、領(lǐng)空之后的第四維空間，并對現(xiàn)實空間有直接制約作用，其戰(zhàn)略地位不亞于領(lǐng)土、領(lǐng)海和領(lǐng)空。作為互聯(lián)網(wǎng)中樞神經(jīng)似的系統(tǒng)平臺，以及巨量國家經(jīng)濟社會信息數(shù)據(jù)存儲倉庫，云計算的興起，成為爭奪網(wǎng)際空間戰(zhàn)略制高點的重要陣地。

因此，可以說，“云計算”在顛覆原有互聯(lián)網(wǎng)應(yīng)用模式的同時，也給國家安全帶來了新的挑戰(zhàn)，如果不能積極采取措施，建設(shè)自主可控的“云計算”平臺以及安全保障體系，那么在未來，我們面對的恐怕不是那一片便捷服務(wù)的“祥云”溫柔，而是使國家安全受到嚴重威脅的“黑云壓城”般嚴峻考驗。

云的安全一時成為安全領(lǐng)域的熱詞。但對“云安全”的理解卻是各不相同。某網(wǎng)絡(luò)專業(yè)媒體針對旗下三個不同的IT專業(yè)技術(shù)應(yīng)用社區(qū)，進行了云安全認知調(diào)查，調(diào)查結(jié)果分別是65.1%的用戶認為云安全是利用云計算技術(shù)提升企業(yè)用戶的信息安全；62.9%的用戶認為云安全是將安全作為一種服務(wù)向用戶提供，如云殺毒；54%的用戶認為云安全是要解決云計算本身的安全性問題。

當然，云安全本身并沒有官方標準的定義，對于當前云計算所面臨的安全問題，同樣也是眾說紛紜。

歸納當前全球云計算產(chǎn)業(yè)界、學(xué)術(shù)界和安全業(yè)界專家觀點來看，除開傳統(tǒng)的計算機網(wǎng)絡(luò)與信息安全普遍問題之外，業(yè)界討論和關(guān)注最多的云計算安全問題，主要集中在數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)訪問、服務(wù)安全、服務(wù)監(jiān)管、法律法規(guī)等方面。

其一，數(shù)據(jù)存儲方面。數(shù)據(jù)存儲是用戶最基本的安全顧慮，用戶一旦把數(shù)據(jù)傳輸給云服務(wù)商，從本質(zhì)上講，就已不能完全控制對這些數(shù)據(jù)的自主處理。在云計算模式下，用戶一旦將數(shù)據(jù)存儲在虛擬的數(shù)據(jù)中心，也就是“云”端，就已經(jīng)不是事實上的數(shù)據(jù)擁有者和數(shù)據(jù)處理者，云服務(wù)提供商擁有甚至超過用戶的權(quán)限，一旦這些權(quán)限失控，就會影響到用戶的個人數(shù)據(jù)隱私。這就使得研究者不得不深思，把數(shù)據(jù)存儲在“云”端會不會引起法律爭議，數(shù)據(jù)會不會丟失、泄露，能否徹底地刪除，丟失的數(shù)據(jù)能否快速完整地恢復(fù)，數(shù)據(jù)能不能進行有效的隔離等一系列的問題。

其二，數(shù)據(jù)傳輸方面。在云服務(wù)中，數(shù)據(jù)傳輸高度依賴于網(wǎng)絡(luò)設(shè)備，由于網(wǎng)絡(luò)信息以二進制代碼為載體，傳輸過程中，首先要將各種圖文信息通過計算機設(shè)備轉(zhuǎn)換為數(shù)字代碼，然后通過傳導(dǎo)線路進行傳輸，最后要通過計算機設(shè)備將數(shù)字代碼還原成人們可以識別的圖文信息，其中任何一個技術(shù)環(huán)節(jié)的缺失都會給用戶數(shù)據(jù)帶來安全風(fēng)險。“云計算”時代，黑客、計算機病毒對網(wǎng)絡(luò)信息獲取的威脅十分巨大，一旦用戶準備上傳到“云計算”服務(wù)器的信息來源或傳遞中的信息感染上病毒，就會形成“多米諾骨牌效應(yīng)”，不僅破壞“云計算”服務(wù)器的內(nèi)部數(shù)據(jù)結(jié)構(gòu)和硬件設(shè)備，導(dǎo)致信息無法被正常讀取和運算，還會迅速擴散到與“云計算”系統(tǒng)相聯(lián)接的其他用戶的計算機系統(tǒng)，造成無可估量的損失。另外，在數(shù)據(jù)傳輸安全方面，除了黑客、病毒等帶來的安全風(fēng)險，硬件系統(tǒng)也有可能造成信息失密，如計算機內(nèi)的信息可能通過電磁波形式泄漏出去，外部網(wǎng)絡(luò)通信線路也可能被截獲、監(jiān)聽等，給用戶的數(shù)據(jù)安全帶來風(fēng)險。

其三，數(shù)據(jù)訪問方面。在數(shù)據(jù)訪問方面，學(xué)術(shù)界主要討論了身份管理、訪問控制、用戶權(quán)限等問題。在云計算模式下，一些云服務(wù)商可能以用戶未知的方式越權(quán)訪問用戶數(shù)據(jù)，同時由于“云”端的數(shù)據(jù)處于共享環(huán)境，如果缺乏用戶訪問控制和信息操作權(quán)限的有效管理，也會導(dǎo)致用戶的數(shù)據(jù)被非法訪問。

其四，服務(wù)安全方面。云計算與傳統(tǒng)計算模式的安全風(fēng)險一樣，服務(wù)安全性問題仍有待解決，不同的是，在云計算模式下用戶對服務(wù)提供者的依賴性更高。云服務(wù)安全與否決定了云服務(wù)被用戶接受的可能性，這引起了很多研究者的重視。由于云計算的服務(wù)是通過各種軟件模塊以及Web Services來集成實現(xiàn)，因此一旦這些軟件出現(xiàn)安全事件，將會產(chǎn)生巨大的影響。云計算是一種基于Internet的計算模式，因此云計算服務(wù)對網(wǎng)絡(luò)的依賴程度非常強。而停電、地震等突發(fā)性事件或軟件故障、硬件老化、人為操作失誤等都有可能造成網(wǎng)絡(luò)故障。一旦發(fā)生網(wǎng)絡(luò)故障，將會造成云計算服務(wù)中斷。此外，云計算服務(wù)商破產(chǎn)或被他人收購，也會造成服務(wù)中斷或不穩(wěn)定。

其五，服務(wù)監(jiān)管方面。近年來，隨著云安全事件的不斷出現(xiàn)，云計算服務(wù)的監(jiān)管問題也逐漸顯現(xiàn)出來，成為制約云計算應(yīng)用和發(fā)展的一個重要問題，因此有效的監(jiān)管機制至關(guān)重要。在監(jiān)管方面我國學(xué)者研究的主要是第三方認證問題，第三方認證是采用一個中立機構(gòu)來對雙方進行約束，中立機構(gòu)必須具備很好的公信力，而且不會被任何一方所左右，在安全領(lǐng)域有著豐富的經(jīng)驗和技術(shù)能力。有專家認為，云計算要普及并不容易，人們會信賴地把自己的錢放到銀行里，因為銀行是國有的，銀行背后有政府的法律保證，但云計算運營廠商數(shù)據(jù)中心的數(shù)據(jù)安全卻沒有任何有公信力的第三方在制度上的保證，因此用戶不敢把數(shù)據(jù)放進運營商的數(shù)據(jù)中心里。另外，傳統(tǒng)IT服務(wù)提供商需要通過外部審計和安全認證，但并不是所有的云計算提供商都會接受這樣的審計服務(wù)，一旦一些服務(wù)商拒絕接受審計，使用云計算的用戶對自己數(shù)據(jù)的完整性和安全性就會負有最終的責(zé)任。

其六，法律法規(guī)方面。云計算的法律法規(guī)問題主要包括兩個方面，即信息安全技術(shù)標準和信息安全立法。在云計算時代，信息安全技術(shù)標準能夠為信息安全提供技術(shù)保障，云計算缺乏安全標準會導(dǎo)致數(shù)據(jù)的保密性、完整性和可用性最終由云計算的消費者自行承擔。而信息安全立法能夠為信息安全提供法律保障，目前我國缺乏相關(guān)的云計算技術(shù)標準和立法，云計算相關(guān)的法律法規(guī)的不完善，會帶來很多安全問題，首先，當信息儲存在云中時，并沒有明確的法律規(guī)定服務(wù)方或政府不能查看這些信息。其次，當前云計算服務(wù)供應(yīng)商在服務(wù)協(xié)議中盡可能地規(guī)避了大部分風(fēng)險問題。最后，在云計算中，數(shù)據(jù)存儲常常分布在不同的國家或地區(qū)，一旦數(shù)據(jù)出問題，如何進行法律依從。這就給云計算產(chǎn)業(yè)的發(fā)展帶來了瓶頸，極大地阻礙了云計算的長期發(fā)展。

總而言之，信息安全問題，是云計算存在發(fā)展的“命根子”。令人欣慰的是，我國及全球各主要國家政府管理部門，在加強推進云計算產(chǎn)業(yè)的同時，已經(jīng)高度重視其信息安全問題的解決，并且從管理、政策、技術(shù)、標準等多方面、通過很多卓有成效的舉措，推進云計算產(chǎn)業(yè)健康發(fā)展。

下篇筑安全堤防：各國政府推進云計算健康發(fā)展

云來山更佳，

云去山如畫。

山因云晦明，

云共山高下。

——（元）張養(yǎng)浩《雁兒落帶得勝令·退隱》

對于一個國家來說，云計算將成為未來信息時代最重要的公共基礎(chǔ)設(shè)施，對內(nèi)支撐著國家社會經(jīng)濟穩(wěn)定和發(fā)展，對外則代表著國家網(wǎng)絡(luò)空間話語權(quán)和信息資源控制力的強弱。從國家戰(zhàn)略的高度通盤考慮云計算的規(guī)劃布局，已成大勢所趨。

在全球云技術(shù)革命的潮流下，云計算產(chǎn)業(yè)日益成為世界各國爭奪的戰(zhàn)略性產(chǎn)業(yè)。從全球各國政府推動云計算技術(shù)和產(chǎn)業(yè)發(fā)展來看，各國不可謂不煞費苦心，全球云計算產(chǎn)業(yè)發(fā)展速度不斷加快。

特別是美、歐、日等發(fā)達國家利用先發(fā)優(yōu)勢占據(jù)了產(chǎn)業(yè)發(fā)展的主導(dǎo)地位；而包括中國印度等新興市場國家也將云計算做為產(chǎn)業(yè)轉(zhuǎn)型升級的重點，利用政策手段推動云計算產(chǎn)業(yè)的快速發(fā)展。在各國推進云計算技術(shù)和產(chǎn)業(yè)發(fā)展的時候，云計算的安全始終被各國政府作為基礎(chǔ)工作來抓,保障安全和促進發(fā)展相互呼應(yīng)，協(xié)調(diào)并舉。

近年內(nèi)，云計算在美國和歐洲等國得到政府的大力支持和推廣，云計算安全和風(fēng)險問題也得到各國政府的廣泛重視。各國政府通過對云計算產(chǎn)業(yè)的發(fā)展來促進安全的同時，直接對云計算信息安全的全面研究和行動，正在如火如荼地展開，只有安全才能保障云計算這個新興產(chǎn)業(yè)的健康、快速和持久發(fā)展。

首先，從各國政府推動云計算安全保障工作的舉措來看，主要是通過“五輪驅(qū)動”，從五個方面進行戰(zhàn)略性、全局性的政策管理推動。其一是加強領(lǐng)導(dǎo)機制，各國政府通過加強主管部門和領(lǐng)導(dǎo)崗位等機制對云計算安全工作進行強有力推進；其二是明確戰(zhàn)略藍圖，各國政府通過制定云計算安全各層面的戰(zhàn)略規(guī)劃和宏觀政策指導(dǎo)云計算安全前進方向；其三是夯實基礎(chǔ)建設(shè)，各國政府通過技術(shù)標準制訂、安全意識普及和安全人才培訓(xùn)等細微方面著手，完善制度，推進發(fā)展；其四是政府直接投入，各國政府自身開始積極部署云計算安全架構(gòu)并加大政府采購力度，培育和壯大云計算安全應(yīng)用市場；其五是加強行業(yè)導(dǎo)向，各國政府充分認識到業(yè)內(nèi)的云計算安全企業(yè)對于云計算行業(yè)發(fā)展的意義，通過產(chǎn)業(yè)激勵政策導(dǎo)向，充分鼓勵大中小企業(yè)向用戶提供多層面的安全技術(shù)、產(chǎn)品和服務(wù)，積極云建云計算產(chǎn)業(yè)安全和諧生態(tài)環(huán)境。

其次，從政策法規(guī)方面看，各國政府都在不斷加強對云計算信息安全問題的依“法”管控。

以美國為例。2010年11月，美國政府CIO 委員會發(fā)布關(guān)于政府機構(gòu)采用云計算的政府文件，闡述了云計算帶來的挑戰(zhàn)以及針對云計算的安全防護，要求政府及各機構(gòu)評估云計算相關(guān)的安全風(fēng)險并與自己的安全需求進行比對分析。同時指出，由政府授權(quán)機構(gòu)對云計算服務(wù)商進行統(tǒng)一的風(fēng)險評估和授權(quán)認定，可加速云計算的評估和采用，并能降低風(fēng)險評估的費用。美國根據(jù)政府采購需求，由NIST 組織主要廠商制定一系列云計算標準，并依據(jù)聯(lián)邦信息安全管理法案（FISMA）開展對服務(wù)商及其產(chǎn)品的認證工作，另外，針對云計算啟動了聯(lián)邦風(fēng)險和認證管理項目（FedRAMP），利用第三方機構(gòu)開展專業(yè)認證，以保證政府采購云計算服務(wù)的安全性。

而在歐洲，2010年3月，參加歐洲議會討論的歐洲各國網(wǎng)絡(luò)法律專家和領(lǐng)導(dǎo)人呼吁制定一個關(guān)于數(shù)據(jù)保護的全球協(xié)議，以解決云計算的數(shù)據(jù)安全弱點。歐洲網(wǎng)絡(luò)和信息安全局(ENISA)表示，將推動管理部門要求云計算提供商通知客戶有關(guān)安全攻擊狀況。歐盟委員會于2011年5月開展了云計算公眾咨詢活動，向社會各界征求有關(guān)意見和建議，咨詢重點包括數(shù)據(jù)保護及其責(zé)任、影響歐洲云計算發(fā)展的法律和技術(shù)障礙、標準化和協(xié)作方案、以及促進云計算研發(fā)的方法等。德國相關(guān)的行業(yè)協(xié)會正在研究和推行云計算相關(guān)的安全和服務(wù)等認證工作。

看日本，近年日本政府也啟動了官民合作項目，組織信息技術(shù)企業(yè)與有關(guān)部門對于云計算的實際應(yīng)用開展計算安全性測試，以提高日本使用云計算的安全水平，向中小企業(yè)普及云計算，并確保企業(yè)和個人數(shù)據(jù)的安全性。

另外，為全面應(yīng)對云計算發(fā)展帶來的安全挑戰(zhàn)，各國政府從配套的法律法規(guī)和監(jiān)管環(huán)境的完善入手，明確服務(wù)提供商和用戶之間的責(zé)任和權(quán)利，對用戶個人信息進行有效保護，防止數(shù)據(jù)跨境流動帶來的法律適用性風(fēng)險。

歐盟、美國、日本和韓國等擁有相對完善的網(wǎng)絡(luò)信息安全保護法律體系，為云計算的發(fā)展提供了較好的法律保障。其法律規(guī)定主要包括以下幾個方面：一是個人信息保護。美國早在上世紀70年代就制訂了《隱私法》保護個人信息，并準備修訂其《電子通信隱私法》以適應(yīng)云計算的發(fā)展；歐盟1995年通過了《個人數(shù)據(jù)保護指令》，2002年通過并于2009年修訂了《有關(guān)個人數(shù)據(jù)處理和電子通信領(lǐng)域隱私保護的指令》，對個人信息保護提出要求；日本出臺了《個人信息保護法》；韓國《促進信息和通信網(wǎng)絡(luò)利用及信息保護法》也對個人信息保護進行了規(guī)定。二是數(shù)據(jù)跨境流動。歐盟的《個人數(shù)據(jù)保護指令》是關(guān)于數(shù)據(jù)跨境流動限制最典型的法律規(guī)定。三是保障國家安全，在特定條件下政府可以通過一定的程序接觸到云計算中的個人信息。典型的如美國的《愛國者法》，加拿大的《反恐法案》、《國防法》等，美國政府可根據(jù)《愛國者法》而訪問到由美國公司提供的云服務(wù)中的個人信息。四是保障政府機構(gòu)使用的云計算服務(wù)安全。如美國的《聯(lián)邦信息安全管理法案》。

在我國，2010年5月，工信部副部長婁勤儉在第2 屆中國云計算大會上表示，我國應(yīng)加強云計算信息安全研究，解決共性技術(shù)問題，保證云計算產(chǎn)業(yè)健康、可持續(xù)地發(fā)展。

2012年，我國信息安全標準化技術(shù)委員會發(fā)布《政府部門云計算服務(wù)提供商安全基本要求》標準草案。

2013年4月，第二屆中美信息安全技術(shù)標準圓桌研討會在北京舉行，本次會議主題便是“云計算安全”，會議研討了美國政府用云安全管理思路、云計算安全審查機構(gòu)職能和流程、云安全相關(guān)國際標準等，并重點討論了我國政府部門采用云計算面臨的安全風(fēng)險和安全控制的評估及監(jiān)控，會上專家透露，最近正在緊張編寫的《政府部門云計算服務(wù)安全指南》標準草案，將是我國政府部門使用云計算服務(wù)安全實用指南，該草案預(yù)計將在年內(nèi)發(fā)布。

2015年1月，國務(wù)院印發(fā)《關(guān)于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》（國發(fā)〔2015〕5號）（以下簡稱《意見》），為促進創(chuàng)業(yè)興業(yè)、釋放創(chuàng)新活力提供有力支持，為經(jīng)濟社會持續(xù)健康發(fā)展注入新的動力。 《意見》明確發(fā)展云計算的基本原則是市場指導(dǎo)、統(tǒng)籌協(xié)調(diào)、創(chuàng)新驅(qū)動、保障安全。發(fā)展目標是到2017年，云計算在重點領(lǐng)域的應(yīng)用得到深化、產(chǎn)業(yè)鏈條基本健全、服務(wù)能力大幅提升、創(chuàng)新能力明顯增強、應(yīng)用示范成效顯著、基礎(chǔ)設(shè)施不斷優(yōu)化、安全保障基本健全，到2020年，云計算成為我國信息化重要形態(tài)和建設(shè)網(wǎng)絡(luò)強國的重要支撐，推動經(jīng)濟社會各領(lǐng)域信息化水平大幅提高。

再次，從云計算安全技術(shù)標準方面看，各國標準組織加大云計算安全各項技術(shù)標準度 “身”定制的工作力度。

在云安全的體系建設(shè)摸索過程中，國際標準組織、產(chǎn)業(yè)聯(lián)盟等行業(yè)機構(gòu)產(chǎn)生了巨大的核心作用。除了云安全聯(lián)盟 CSA（Cloud Security Alliance）是在2009年的RSA安全大會上宣布成立的一個直接針對云安全目標的非盈利性組織，其他很多國際知名IT技術(shù)標準組織，也紛紛成立專門針對云計算或云計算安全的分支或工作組。

2009年底，國際標準化組織/國際電工委員會、第一聯(lián)合技術(shù)委員會（ISO/IEC，JTC1）正式通過成立分布應(yīng)用平臺服務(wù)分技術(shù)委員會（SC38）的決議，并明確規(guī)定SC38 下設(shè)云計算研究組。

國際電信聯(lián)盟ITU-TSG17 研究組會議于2010年5月在瑞士的日內(nèi)瓦召開，決定成立云計算專項工作組，旨在達成一個“全球性生態(tài)系統(tǒng)”，確保各個系統(tǒng)之間安全地交換信息。工作組將評估當前的各項標準，將來會推出新的標準。云計算安全是其中重要的研究課題，計劃推出的標準包括《電信領(lǐng)域云計算安全指南》。

結(jié)構(gòu)化信息標準促進組織（OASIS）將云計算看作是SOA 和網(wǎng)絡(luò)管理模型的自然擴展。在標準化工作方面，OASIS 致力于在現(xiàn)有標準的基礎(chǔ)上建立云計算模型、配置文件和擴展相關(guān)的標準?，F(xiàn)有標準包括安全、訪問和身份策略標準，如OASIS SAML，XACML，SPML，WS Security Policy 等；內(nèi)容、格式控制和數(shù)據(jù)導(dǎo)入/導(dǎo)出標準，如OASIS ODF，DITA，CMIS 等;注冊、儲存和目錄標準，如OASIS ebXML，UDDI；以及SOA 方法和模型、網(wǎng)絡(luò)管理、服務(wù)質(zhì)量和互操作性標準，如OASIS SCA，SDO，SOA-RM 和 BPEL 等。

全球眾多的國際標準組織、產(chǎn)業(yè)聯(lián)盟和研究機構(gòu)，在各國政府的大力支持下，針對云計算安全風(fēng)險開展很多課題的研究。例如，從研究結(jié)論來看，盡管各組織機構(gòu)對云計算安全風(fēng)險分析的角度不盡相同，但普遍認為共享環(huán)境數(shù)據(jù)和資源隔離、云中數(shù)據(jù)保護以及云服務(wù)的管理和應(yīng)用接口安全是最值得關(guān)注的問題。

最后，從產(chǎn)業(yè)界層面來看，云計算安全市場和產(chǎn)業(yè)發(fā)展，日益活躍，在政府的激勵政策和宏觀導(dǎo)向下，云計算安全需求市場大幅度增長，大批的傳統(tǒng)信息安全廠商紛紛融入云計算的大潮，它們或者為云計算用戶提供安全產(chǎn)品或者服務(wù)，滿足用戶在云計算應(yīng)用中新的安全需求，或者引入融合云計算技術(shù)，創(chuàng)新安全服務(wù)產(chǎn)品，將業(yè)務(wù)系統(tǒng)遷移至云環(huán)境中，為用戶提供更好的安全服務(wù)。

近幾年來，很多安全廠商已經(jīng)或者正在嘗試推出局部云安全方案，如瑞星、金山等病毒廠商，在很早即開始基于云安全策略開發(fā)的反病毒產(chǎn)品。微軟、谷歌、亞馬遜等云計算應(yīng)用先行者，則根據(jù)自身的云計算平臺特點，提出了全面的云計算安全解決方案。一些傳統(tǒng)的網(wǎng)絡(luò)安全廠商，啟明星辰、Hillstone、東軟NetEye、Checkpoint等安全企業(yè)紛紛宣布進軍云安全領(lǐng)域，而RSA、McAfee、綠盟科技等企業(yè)也表示將繼續(xù)加大云安全方案的建設(shè)。同時，國內(nèi)三大運營商同樣在嘗試云安全業(yè)務(wù)，如中國電信建立了基于云計算架構(gòu)的大容量DDoS攻擊防御業(yè)務(wù)平臺，該業(yè)務(wù)平臺基于云計算架構(gòu)進行構(gòu)建。

今年九月，全球網(wǎng)絡(luò)安全500強安恒信息公司，與全球領(lǐng)先的云計算技術(shù)和服務(wù)提供商阿里云宣布達成戰(zhàn)略合作。安恒信息通過技術(shù)創(chuàng)新，實現(xiàn)將全系列互聯(lián)網(wǎng)應(yīng)用安全技術(shù)的“云移植”，與阿里云構(gòu)建最全系列的云安全技術(shù)保障產(chǎn)品和服務(wù)體系。

如火如荼的云計算安全產(chǎn)業(yè)浪潮，正在洶涌，而市場的熱度和企業(yè)界的積極行動，必將推動云安全技術(shù)的進步和產(chǎn)業(yè)的健康發(fā)展。

綜上所述，我們可以看到各國政府都在積極地推動云計算的發(fā)展，都在重點關(guān)注云計算信息安全體系建設(shè)，應(yīng)該來說，前景是十分光明的。然而，作為新興創(chuàng)新科技浪潮，云計算本身的飛速發(fā)展，也為其安全問題的復(fù)雜性埋下了伏筆。云計算的安全無疑將是一個坎坷的長征路，而云計算的美麗無疑將在人們對這條道路的努力跋涉中，綻放未來！

今年九月，全球網(wǎng)絡(luò)安全500強安恒信息公司，與全球領(lǐng)先的云計算技術(shù)和服務(wù)提供商阿里云宣布達成戰(zhàn)略合作。