趋势科技蔡昇钦：云来了，我们需要怎样的安全

　　第四届CSA云安全联盟高峰论坛于11月26日在北京新世纪日航酒店圆满召开!此次大会以“信·用·云”为主题，围绕云计算、云安全等方面的热点话题展开讨论，深入探讨国内外云安全的最新技术、解决方案和研究成果。以下是趋势科技技术总监蔡昇钦发表主题为《云来了，我们需要怎样的安全》的演讲。

　　蔡昇钦：大家下午好!我是来自于趋势科技，今天下午听了很多关于云计算的东西，那在小组讨论之前我给大家讲一下关于在云计算上面的安全，我们已经很明确云已经来了，这个议题不需要再讲了，那云计算大概讲是什么样子，我们自己看云计算的发展自己把它分成四个阶段。

　　第一个阶段是虚拟化的安全。有了虚拟化之后会有云的应用，接着会有云的数据，最后会有云的终端。那这就覆盖到大家刚刚提到虚拟化，前面几个嘉宾讲到虚拟化的部分，讲到大数据的部分，还有移动互联终端，我想云计算这四个阶段在现在看起来非常的明确，那在这样子的情况回头看看这个世界演变的速度我想问一下大家你的手上没有使用智能手机终端的举手，非常少啊，我想问一下在2008年办奥运的时候你已经有在使用智能终端的请举手，因为这设备出现大概6年的时间，这6年的使用量已经超过了PC，我给各位看一个图片，这是一个国外表演话剧的场合，2005年大家是这样看的，2013年的时候是这样看的，(PPT图)，所以在云计算的终端我们讲到移动互联这一部分，已经进入到我们现在的生活云计算的生活，或者是我们再问一下大家早上起床首先去看自己微信或者是微博的请举手，你还在床上就去看这个微信，为什么呢?我们有没有想过为什么呢?因为在云计算这个时代我们有了一种权力，我们希望去影响也或者是看到别人怎么样来影响我，而且这个是由自己掌握的，意愿在自己手上，我今天希望看别人的微信微博，我今天希望把我自己的生活、工作方方面面，希望开放。

　　刚刚前面有专家讲到开放比开源更重要，我认为我们在生活上是这个样子的。你愿意开放给别人知道的，你会开放出去，所以这代表什么呢?云计算已经进入到我们生活，而且快速的影响我们的生活，在今年纽约时报一个统计，60秒钟会有20多万的推特，有3600个图片在互联网上面发布，有很多的邮件当然这里面90%是垃圾邮件或者是钓鱼邮件。在2013年发生了很多黑客的攻击事件，都是基于数据，到云计算以后经过大数据时代以后，数据会变成什么呢，大家感兴趣的东西。这是咱们国内一个漏洞调查的组织，在2010年的数据中就会看到不管是来自于应用还是来自系统上面的漏洞提升了23%，那这个提升了23%恰恰就会被有心做坏事那一组人拿来做利用，大家做IT，做信息上面的管理或者是安全的管理，我们一定会面临到平衡的问题，我记得在1999年做甲方IT管理的时候，对我而言那时候的生活非常的容易，只要确保公司里面的网络是通的，我前面是做局域网，局域网是通的，互联是通的，老板们用的电脑是好的，就没有问题了。但是在座各位你会发掘在今天CIO们除了要确保企业内部的IT信息的系统稳定使用之外，还必须要对业务提供帮助，这是大概从2009年，2010年以后对CIO职务上面要求的转变。

　　这当中会产生有平衡的问题，在这几年CIO面临到很大的议题就是我要不要用云计算，我的云计算应该要怎么样用，那在这用的过程中其实切合今天这论坛的主题，安全有一定程度抑制云计算的发展，云应用的发展，不过这个问题大家应该是可以克服的，我们来看一个报告有70%以上的服务器都会进行虚拟化，同时经过云计算的使用会降低公司70%多的成本，这里面会面临安全的问题，比如说服务器虚拟完整性的问题，我们那些数据应该放在云中，那些应该放在企业的私有云当中，哪些应该放在公有云当中，应该做什么样的配置，还有大家前面有提到性能和管理性的问题，这是大家要注意的。

　　我们看到整个云计算的过程有物理时代的挑战，虚拟化会有什么样的问题在进入虚拟化我们讲云计算四个阶段，第一个是先做虚拟化，我们做虚拟化很大的问题是要节省成本，在节省成本情况之下如果你的安全没有考虑到这个问题，你的成本可能节省不了多少，第二个是进入虚拟化以后会有一些安全，我们传统所做的安全比如说防火墙，这些包只是在虚拟机中流窜你用传统的方式做看不到，这是刚刚讲到边界的问题，这是虚拟化过程中产生的挑战。还有内对内过程有病毒的扩散，更多进入到云计算之后，其实我认为云计算当中还有一个安全议题大家要考量的，移动终端我问一下各位现在您公司当中的员工手机或者是PAD，可以接入到公司网络的请举手，我们家的CIO有一点拿着PAD，跟我们的IT讲我要接公司的邮件，连到公司的网络，你的CIO讲这一句话的时候你会说不行，根据公司的安全策略你的PAD不能连到公司的网络接受东西，你会这样说的请举手，太伟大了，至少我们家公司没有敢这样做，我们刚才讲云计算四个阶段，第四个是移动互联终端，当移动互联终端能够连到你公司网络的时候会不会带来新的问题，我个人说一定会啊。

　　我们来看在云计算，在虚拟化当中它的一些形势会造成你有一些新的需要，那我们怎么来规划我们的安全，刚刚前面开场的时候比较紧张，忘了先给大家沟通我今天讲这东西希望给大家带来的目的，就是今天给大家讲这些东西有一个目的就是说当大家听完了能够帮助大家在你公司当中要建立云计算，要建立大数据的环境，你应该有什么样子的安全标准，我们尝试来跟大家谈在新的IT变革的情况之下你应该有什么样子的安全标准，尝试符合什么样子，我们会认为在云计算当中因为它有这么多的可变性，你会需要的安全应该是智能，而且是简单的，不是用传统的那种像葫芦串一样每一个串联点都需要，而且符合你的。所以在云计算下面的安全标准应该所谓的智能防护战略的体系，当然智能防护战略这种形容词大家可能听多了，我们尝试把这些东西分开来，应该有智能化的，它必须是简单的，就是符合你的环境需要的，我们现阶段的云计算规划需要的，而不是说你买了很多的东西去从头串起来。那一些小的要求或者是规格只是给大家设计你云计算安全的情况之下一些建议，讲完云计算我们讲大数据。

　　因为大家现在的环境认可我们想要去开放我们的东西给别人知道，产生了一个情况，那海量剧增，爆增，我们也看到了互联网的人数在增加，也看到这么多的量有智能终端的售出，到2012年年底有5.6亿的网民网购的人员，在中间有1.8亿智能手机，因为所有的东西会聚到不一样厂家手上就会产生大的数据，大数据的业态中这是我们尝试把所有大数据的业态，各种不一样的厂商列出来给大家看，其实这里面有一个比较有名的Hadoop，你的企业当中又开始尝试熟悉了解使用这个Hadoop，请举手一下，换一问你没有听过这个Hadoop请举手，所以绝大多数的人都清楚这个啊，它是一个比较好的可以做大数据应用或者是软件，同时Garner预测65%业务分析系统你会用Hadoop，我们看这个Hadoop是开源的东西，它当初做的时候比较符合大型的环境，并不是为企业来做设计，也就是说它在管理性，安全性上面设计上面是比较弱，因为没有想到这个东西。你说Hadoop有没有安全呢，其实这是依赖于Kerberos，这非常的复杂，你用这个来落实Hadoop的安全，客户问我们能不能做这个安全的时候我也给他们说可以用Kerberos来做，但是非常的复杂，最后我们会放弃的比较多。既然它是应用就会有漏洞，Hadoop通常很少单独使用，一定是基于你的需要在前面搜集完数据以后跟后端的数据库这种应用来做集成结合的，基于这样的情况它的数据加密性是没有的，我们来讲一下这在国内还没有案例，在国外已经有真实的案例，就是假设我今天是做衣服设计的公司，我要预测半年以后应该公司要设计的服装是走英伦风还是韩风，那请设计公司帮助我做这样的数据调查，我的竞争对手是知道我做这样的事情，我的竞争对手可能做一件事情它去雇佣人到这种公司去篡改结果，可能真正市场上调查出来的结果我应该去生产英伦风的，但是它可以通过这种篡改的方式给我一个错误的结果让我做出错误的判断，我可能最后去生产韩流风。所以数据上面的完整性在商业上面可能会有这样的恶意事件发生。

　　我们来看了，如果要做大数据的安全，那怎么做，我先讲业界现在没有所谓的大数据的安全应该怎么做的标准，所以大家应该会沿用既有的方式来做，我们尝试的在这样的情况之下有没有一个标准提出来跟大家做探讨，我们发掘很多这种合规性还是有用的，在传统做大数据上面的安全你可能不外乎是用防火墙，前端有一些网关的东西，这样够吗?其实我们后端自己做一些探讨的时候我们觉得可能还有一些是不够的，应该要把这五个象限的东西，你能不能进来做访问，网络上面的威胁，系统应用的威胁，还有你的数据完整性，还有数据的隐蔽性，这五个方面在你建制大数据安全系统的时候你还要考虑到，否则任何一个地方一旦出现了问题可能会影响到你整个企业最后的决策判断，这时候的损失可能是一千万，两千万，也可能是一个亿，两个亿。

　　这就是我今天最后跟大家讲的，我们在讲云计算的时候希望有一些云计算的安全标准，讲大数据的时候有大数据的安全标准，那我们希望能够打造一个零风险，我们做数字交换，信息交换的时候这样子的零风险的信息安全的事件，谢谢大家!

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。