关于云的安全问题，是大家关心的。无论是用户本身，或者是作为行业的管理，或者是作为政府的部门，因为我们现在正在做国家十二五云计算国家发展的产业规划，其中有一个很重要的问题就是安全的问题怎么来解决。这里面有一些技术上的安全性，还有一些比如说像数据的归属权，什么样的人才可以访问后台的这些数据，什么样资质的企业才可以提供相应的云计算的服务，一方面是技术方面的问题，一方面是应用环境或者是法律法规的安全。单纯从技术上来讲，我们内部也做过一些讨论和研究，云计算技术的安全性，80%在传统的IT应用里面都存在。

　　举一个例子，你能确保我们自己IT人员运维的水平，就比第三方提供服务的水平高吗？这个问题是很难来进行界定的，我们自己来管，这是很安全的，除非在物理上完全是隔离的。但是云计算这样的平台又是要移动的，又是面向公众服务的，最终反映在移动终端上搭建很多的系统，这个是很难进行隔离的。

　　从技术上讲，80%的可能是传统安全的问题，这里面还有很多的法律法规需要完善。比如说在提供云计算的平台，是不是要进行一下平台资质的认证或者是测试，另外对于服务的供应商，或者是说就像我们讲的三大运营商讲，我们打电话的时候，也不怕运营商两监测我们的电话或者是什么是一样的。什么样的企业，或者是有公信力的企业，有一定技术能力的企业才能获得资质，可以获得大家的信任。数据最终的归属权，我个人认为还是属于企业自身，没有得到企业的允许，是很难的。除非是公安或者是刑侦机关才可以动用，这个还是企业自己的，怎么样来保障，有技术层面的问题，也有法律监管层面的问题。

　　如果从企业的角度来考虑，像您石总提到的私有云，这个云只是在我企业内部，这个云更容易接受一点，如果拿到外面，把我的应用放在云端，或者是把数据放在云端，像孙总说的，还有很多法律法规方面的问题。除了您刚才提到的安全问题，还有别的东西，比如说一旦假设我的应用或者是数据发生了破坏，有可能会对企业造成非常大的经济损失。前一段时间，我们一个企业服务器一下子垮掉了，他完全是依赖于IT系统，跟踪整个产品的制造过程，整个生产线一下子停掉了两个半小时。对他来说，因为他是生产汽车的，这两个半小时按理说就是一、二百辆汽车出去了，我们按照一辆汽车十万块钱，这是多大的损失。

　　像这种损失，假设我要建立一个公共云的平台，这个平台会不会担负这些东西。我企业内部如何维护不好，必然要担负自己的损失。我是觉得从安全的角度来说，确实有很多东西要落实之后，企业心里才会更踏实一点，要把东西拿到云上去。

　　刚才我举例举到的IT级服务的这种模式，可能是对于公众来说，有很多比较容易实施，也比较容易接受这种概念。比如说像GOOGLE地图，或者是像360的杀毒软件是不是一种云的服务，如果是的话，一般公众都接受了这种模式。像这种软件，我把它布置在云端，不管是谁布置上去的话，是面向了一个非常广阔的公众，这个应用肯定是会有用的。对于企业来是，这个应用往往是个性化非常高的，有定制化的。

　　我的IT部门往往在布置所谓云服务的时候，很难预见将来会有哪些服务要放掉，而是实现你需要某种服务的时候，你直接来点我的目录就可以了。很多情况下，可能是要重新开发的，要重新去进行研发的一些东西。这种东西就是云计算怎么提供服务的这种支持，我还没有想象出来。我觉得IT部门一般来说很少能够真正的预见到，或者是说能够比较全面的预见到，就是我一个企业将来需要什么样的服务，而我能不能社会上拿来一个服务就布置上，将来你肯定就能使用的。

　　还有服务提供的方式都非常好。因为的确是我们面对的很多用户也提了类似的问题。对于安全性来讲，王主任那边提到了两方面，一个就是说法律法规遵从以及控制能力，对自己的应用数据。另外一个就是所谓的可用性的问题，我提供多高的可用性，你作为一个云服务商，我把内容跑在你这个上面，你提供多高的应用型，是三个脚、四个脚、五个脚。

　　我们先说一下关于安全性。法律法规防止入侵、偷窃数据、秘密这方面的情况。从用户的角度上来讲，他担心的是什么？第一，如果我离开了，我上了你的云平台了以后，你能不能依然保证我在我自己数据中心做同样的各种数据安全性、网络安全性以及应用的安全性，我的安全性的设置和法规，同样据别，这是第一点。

　　 第二，如果你具备了和我在企业当中同样的这些特点，你是不是还需要采用全新的模式，我还要重新去学，重新改变管理模式，管理机制和使用模式，这是用户非常关心的。你能不能提供一种机制，就是说我不论应用和数据是在我的数据中心跑，还是在你的云平台上跑，我能够得到什么呢？同样的安全性、合规性和控制能力，以及我现有的技能、技巧和使用方式任何的改变。如果说云服务商能够提供这种承诺，我想这种障碍很大的不存在了，这是安全性的角度上来讲的。

　　另外一个是从可用性的角度来讲的，也就是说怎么讲的呢？云服务供应商提供除了应用的业务层面上的功能性以及性能方面的支持，它要提供相应的服务水准，所谓的SLV，SLV就包含什么，就是要包含这种可用性，也就是说它当提供一些服务的时候，他实际上是报价的，如果你提供两个九，99%的可能性是一个价格，提供三个九可能是一个价格，提供四个九是另外的价格。但是一到双方签订了这个服务和约的时候，所谓云服务供应商就必须要满足用户的这个可用性的要求，同样安全性也是一样的，包括性能，实际上都是SLV的范畴。

　　这样子的话，我们现在做的什么工作呢？我们除了帮助企业在进行虚拟化和私有云改造的同时，在他们企业内部建立这种基于虚拟化和私有云的安全管理和可用性机制的同时，我们在跟业界很多的专家们，云服务供应商，帮助他们在建立他的云服务平台的时候也采用跟企业一样的虚拟化以及云计算的平台。将来以后企业需要云服务供应商提供相应的资源支持他的业务扩展的时候，他们基础平台是一致的，他们的安全管理规范也可以是一致的，这样的话当企业需要把应用从内部，防火墙内部移到云服务供应商的时候，第一他的应用不做任何修改，直接可以移过去。第二，他企业内部当时设置的所有的安全政策、策略，移到那边去依然得到保留，同时他企业对这个应用数据的控制能力以及安全策略的监管，整个的使用方式没有任何变化。除此之外还能做到什么呢？就是当企业根据他的业务的需求，他的可用性的要求，他的成本的要求，觉得这家服务供应商不能够满足他的要求的时候，他可以很方便的不做任何改动，很轻易的把应用和数据原封不动的挪回来。甚至怎么讲呢？这家服务供应商不好，我换一家，我从他这拿出来换到另一家服务供应商来满足我的要求。

　　我们现在跟很多的服务供应商在建立这么一个平台，这样的话实现所谓的让用户自己作主的一个云的平台解决方案，而不是说用户上到你这个云里面，我想再回来很难，或者说成本很难，我觉得那就不是一个真正的云，真正的云是用户来把控的，他根据他的业务需求，安全性需求，各方面的需求，他来自主的选择云服务供应商，自主的来部署它的应用和数据运行的位置。

　　 同时安全性、合规性和控制能力不受任何的影响，必须要保证。（wy）