卿斯汉：畅谈中国在可信计算领域的成绩

　　下面我介绍一下中国的情况。我跟着工信部在4月份到7月份，走访了12各城市，看了18个云计算项目，最近去了重庆，明天还要去新疆，看一些云计算项目。8月5号在钓鱼台开了横向评审大会，8月31号正式向全国推介了11家做的相对比较成熟的云计算的单位。这次会议是在国家会议中心召开的。

　　云计算产业考察，分别考察了北京、上海、重庆、广州等等。我从几个方面概括，第一个商业模式，云计算特点，云安全部署，虚拟化来进行一个概括。这完全是我个人意见，如果讲错了，希望大家批评指正。我们这次中国云计算还是多种多样的。比如说有电子政务云，有中小企业云，有语音云，有翻译云，有游戏云等等，形势多种多样，有一些商业模式是明显的盈利模式，比如武汉传神公司的翻译云，做的很好，基本上整合了全世界的翻译资源，用户是中国的，但是译员不一定是中国的，包括英语、法语，甚至小语种，我们如果要翻译一个东西，中国一些大公司如果对外要签署一个合同的话，需要专业翻译人员进行碎片式的分布进行翻译，然后由一个人进行统一考察，然后再验，这是非常适合云计算的特点的。

　　我认为商业模式是非常重要的，在我参加了微软的Tcap的会议里面，我每年去雷特蒙德参加两次会议，每次都讨论云计算，在微软内部，以及在我们业界，大家都有很大的争论，到底先做商业模式，还是先搞安全模式，这个是同样重要的，至于哪个先做，具体情况具体分析。从安全角度来说，当然希望安全先起步，跟云计算同时搞，但是从企业发展生存来讲是不允许的，但不管怎么说，商业模式非常重要，如果商业模式不好的话，云安全再好也没有用。

　　我觉得有一些云目前还面临一些政策和技术上的风险。比如电子政务，目前很难在大城市，像北京、上海、广州推广，因为面临一些准入，一些检查，合规的问题。

　　从云特点方面，我觉得我们国家大部分应用，云特点还是比较符合的。和NIST定义是比较吻合的，但是也有一些项目，比如有些项目特别强调云存储，我觉得这是不够的，云存储肯定是云计算的一方面，但是如果只做云存储没有做云计算那就没有什么意思了。从我们国家目前情况来看，我认为云安全方面，大部分是把传统安全措施都增加上了，网络安全，主机安全，如果用到IC卡之后，卡片安全，机器安全，备份恢复。另外也有很多单位也增加了一些保护，这个我觉得非常重要，也很好。但是也有一些个别的没有信息安全专业人员参与的，就存在一些安全隐患。我们具体考察的时候向相关企业提出了我们的担心。

　　在虚拟化方面，这个我们国家目前还有一定差距，应该向在座的很多大公司，跨国公司学习，比如刚讲完的VMware，微软hyperV，英特尔的TXT产品，我们都需要向他们学习，当然我们国内也有做的比较不错的。下一步，工信部在8月31号云推介大会上专门讲了第二步有一个融合带动计划，希望跟国外国内有实力的公司进一步合作，希望共同提高。最近我听说了，微软的office 365也在跟中国相关单位谈落地问题。

　　云安全的挑战和机遇，我觉得云计算的挑战这个大家都比较一致了，如果要解决这个问题，要解决比如安全性，互操作性，集成，管理，监管等等。我觉得安全性比较重要，当然也不可能一开始就把安全做那么好，还是需要一步步来的。

　　云安全有一些共性问题，常规的我们都做的比较好，但是有一些新问题需要加强，比如虚拟机的安全，隐私性的保护等等。

　　这是NIST提出的安全模型，目前我们认为需要新的好的安全模型，这样就更加有用。所以整个来说，我觉得是一个大的挑战，需要好的安全模型，一个好的安全架构。

　　针对云安全的威胁，我个人认为可以分成两大类，一个就是过去传统威胁，对云计算也是同样存在。另外就是针对云计算本身的新的威胁，比如云服务的滥用，另外就是针对云计算的特殊攻击，这个下面我会说一下。

　　云安全的主要课题，风险管理与兼容性问题，身份认证与访问管理问题，服务于终端的完整问题等等。

　　云安全的影响，我跟微软一位专家研讨过，他说云计算，云安全影响是多方面的，一个会对我们服务商有影响，对广大用户有影响，对监管者有影响，但是他说对攻击者也有影响，就是网络犯罪有可能也变成一种服务，这是我们必须注意的。另外针对云计算的特殊攻击，利用虚拟机，对VM1，主机2，管辖地3发动攻击，这是不好控制的攻击，这是我们需要注意的。

　　另外，广大用户普遍采用了云计算，安全性是提高了还是降低了?我曾经问过微软公司的scott，他说有两个，他说有些用户只需要用，不需要知道别的东西，如果你托管了你信赖的公司，你安全性应该比原来提高，但是也有可能降低安全性，因为云安全有很多我们未知的技术，这个时候有可能降低，这是有双重意义的。

　　另大家注意，云计算虽然好，但也是有风险的。从2011年4月以来，有很多云安全的事故，亚马逊的事件，有100个公司中断服务两三天，还有office365的事件等等，现在大家提出一个新的观点，强调服务不能中段，服务的连续性，这是云计算给云安全带来的新课题。

　　我觉得我们中国需要加强云计算，要抓紧机遇，迎接挑战，坚强创新，加强国际合作，在“十二五”期间建立我国健壮的云计算安全保障体系，离不开大家的参与，离不开国际知名公司的参与，谢谢大家。