自從“云”的概念被Google提出之后，業(yè)界便從沒有停止過對“云”的探討與爭論，如何理解云，如何利用云成為了爭論的焦點。而隨著“云計算”、 “云存儲”的出現(xiàn)，“云安全”作為一個衍生概念被中國安全企業(yè)率先提出，那么“云安全”是真的像安全廠商們宣傳的那么誘人，還只是“看起來很美”呢?

　　

    云安全：一場喧鬧的“盛宴”

　　

    關(guān)于“云安全”，業(yè)界還沒有一個統(tǒng)一的定義，一般認為，“云安全(Cloud Security)”計劃是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到服務(wù)器端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

　　

    幾乎是在一夜之間，公眾們發(fā)現(xiàn)這個在以前略顯生僻的概念以一種驚人的速度占領(lǐng)了他們的眼球。瑞星、趨勢、卡巴斯基、邁克菲、賽門鐵克、江民科技、熊貓、金山、360安全衛(wèi)士等國內(nèi)外安全廠商都 “一窩蜂”推出了云安全解決方案。在官方聲明中，瑞星聲稱：“‘瑞星全功能安全軟件2010’(三年版)基于全球領(lǐng)先的‘云安全’系統(tǒng)，利用互聯(lián)網(wǎng)化技術(shù)，對1.5億用戶的安全信息進行動態(tài)分析，大大提高了對新病毒的反應(yīng)速度和查殺能力，其查殺速度提高了40%至60% 。”金山毒霸在最近更是跳過了2010版，直接發(fā)布了金山毒霸2011版，號稱“全面引用了云安全的技術(shù)，顛覆了傳統(tǒng)的殺毒技術(shù)，稱得上是國內(nèi)首款真正的云殺毒軟件……”

　　

    拋開商業(yè)層面的爭論，在事實上，現(xiàn)有的“云安全殺毒軟件”均不能算是嚴格意義的云安全解決方案，其在本質(zhì)上最多屬于瘦客戶端模式，主要的工作仍是在用戶端而非云端進行。 “分布式計算、網(wǎng)絡(luò)采集這些技術(shù)早在幾年之前便已經(jīng)在一些殺毒軟件中得到應(yīng)用，而今天看來，這些技術(shù)都成了“云安全”的代表。大多數(shù)安全廠商所作的僅是換一個招牌，貼上“云安全”幾個字便大肆炒作。國內(nèi)知名安全廠商，傲盾公司技術(shù)總監(jiān)李軍這樣告訴我們。

　　

    相對應(yīng)的是，越來越多的用戶開始意識到，那些他們曾報以重大期望的云安全軟件并不像他們想象的效果那么好。安全廠商們也開始意識到，“云安全”這個噱頭在吸引用戶的眼球之后并不能獲得穩(wěn)定的用戶信任，其在市場競爭中的作用也不如期望。一個顯而易見的例子是，在最近半年內(nèi)，出現(xiàn)在主流IT媒體的關(guān)于 “云安全”的文章呈現(xiàn)出了穩(wěn)步下降趨勢。

　　

    云安全和安全云

　　

    網(wǎng)絡(luò)安全，并不簡單的是指用戶不受網(wǎng)絡(luò)攻擊，還囊括了諸如用戶隱私，信息機密等內(nèi)容方面的安全，一個完善的安全解決方案應(yīng)該讓用戶既能防范網(wǎng)絡(luò)攻擊，又能確保自己信息的完整性與隱私性。

　　

    不幸的是，“云”從誕生開始就伴隨著安全方面的憂慮，在安全專家們看來，云主要面臨的安全問題有：云計算的服務(wù)特點是以服務(wù)為中心的，面向服務(wù)、軟件級平臺、平臺級服務(wù)、基礎(chǔ)設(shè)施級服務(wù)。這也就意味著云計算是面向大眾，以人為本，對專業(yè)領(lǐng)域數(shù)據(jù)加密能力不強;云時代要求用戶將自己的信息上傳到云端，這就引起了用戶關(guān)于隱私方面的極大擔(dān)憂：這些信息由誰保管，存放在什么地方，誰有權(quán)限查看我的信息?這些擔(dān)憂讓很多用戶包括企業(yè)用戶對云都存在著極大的質(zhì)疑，也在相當(dāng)大程度上阻礙了云的發(fā)展。

　　

    關(guān)于云的安全性的爭論一直沒有停止過。就拿最早提出“云”概念的谷歌來說，就有報道指出其“云”服務(wù)器不斷搜集著用戶的各種私人信息，而用戶擔(dān)憂的是，一旦這種信息泄露，自身將會面臨各種各樣不確定的風(fēng)險。

　　

    由此可見，在現(xiàn)階段把網(wǎng)絡(luò)安全建立在一個存在諸多安全隱患的“云”的基礎(chǔ)之上本身就是一個“偽命題”。更為致命的是，用戶對安全廠商并非完全信任，他們擔(dān)憂自身權(quán)益在一個純網(wǎng)絡(luò)架構(gòu)中是否能得到充分保障。2010年2月份，瑞星攻擊360，聲稱360會私下開設(shè)“后門”，黑客可以利用此“后門”對系統(tǒng)注冊表和用戶信息(文件)進行任意操作，例如讀取、修改、刪除等，在網(wǎng)絡(luò)安全界一度引發(fā)軒然大波。

　　

    更讓人擔(dān)心的是，云時代讓國家、民族之間的界限變得越來越模糊，任何一個處于其中的國家都很難保持自身云系統(tǒng)的獨立性。一旦國際形勢突變，國外的云服務(wù)提供商與政府、軍方合作，那么受著云安全系統(tǒng)保護的重要單位將處于嚴重的危險之中。從這方面來看，在網(wǎng)絡(luò)安全領(lǐng)域推行“云”是極其困難的事情。

　　

    所以，當(dāng)安全廠商對云安全進行大肆宣傳的時候，他們自己也明白這種宣傳炒作的成分有多大。如果不能解決安全云的問題，那么云安全也就始終難以得到大規(guī)模的推廣。

　　

    云安全：一個大魚吃小魚的游戲?

　　

    2009年4月，谷歌與VMware就私有云問題引發(fā)了激烈的爭論，VMware公司想幫助企業(yè)管理他們自己的云，而谷歌則傾向于讓企業(yè)將他們的 IT需求外包給外部云提供商。谷歌和VMware在私有云的認識上有所沖突，到底用戶是能從在他們內(nèi)部防火墻中建立高度虛擬化數(shù)據(jù)中心中受益，還是將IT需求外包給谷歌或亞馬遜這樣的公共云提供商更具優(yōu)勢?這些問題都讓兩家公司打起了口水仗。

　　

    拋開技術(shù)層面的爭論，歸根結(jié)底兩家公司都是在為自身的利益而展開博弈�，F(xiàn)在誰都知道標(biāo)準(zhǔn)與平臺的重要性，一旦擁有了業(yè)界統(tǒng)一的標(biāo)準(zhǔn)和平臺，就可以保證未來持續(xù)的利潤。谷歌當(dāng)然希望自己的云服務(wù)器可以成為業(yè)界認可的云提供商，這樣既可以保證現(xiàn)有的收益，又可以借助越來越多的資源讓自身的力量變得更加強大。對云安全來說，這樣的擔(dān)憂在業(yè)界廣泛存在著。

　　

    眾所周知 “云”是一種依靠大規(guī)模的節(jié)點組成的一種服務(wù)方式，加入的節(jié)點越多，能力也就越強。一旦未來云安全成為網(wǎng)絡(luò)安全解決方案的主流，那么任何一家網(wǎng)絡(luò)安全服務(wù)提供商就必須考慮用戶基數(shù)的問題。大型的網(wǎng)絡(luò)安全服務(wù)提供商可以利用自己發(fā)達的云網(wǎng)絡(luò)獲得足夠的利益，小型的網(wǎng)絡(luò)安全服務(wù)提供商就會發(fā)現(xiàn)自己陷入了一個安全循環(huán)：用戶基數(shù)太少限制了自身的查殺能力，自身的查殺能力不足又進一步限制了用戶的增長。他們?nèi)缦氲玫桨l(fā)展就不得不選擇于依附這些業(yè)界的強者，形成一種 “大魚吃小魚”的局面。

　　

    大部分中小型網(wǎng)絡(luò)安全服務(wù)提供商都對云安全持有懷疑態(tài)度，利益顯然是最重要的因素，畢竟誰都不想讓別人掌握自己的核心資源。一位中小型安全企業(yè)的市場總監(jiān)對筆者談道：“公司現(xiàn)在雖然熱衷于云安全的探討，但誰也不敢下這個決策，畢竟公司實力還不夠。架設(shè)私有云的話，需要大量的資金，而且用戶數(shù)不足以支撐。選擇公共云?安全是一個特殊的產(chǎn)業(yè)，一旦競爭對手掌握了我們的核心資源，我們將可能在還沒壯大之前就被扼殺在搖籃里……”

　　

    “Google的那些天才科學(xué)家，每天都變著法子讓Google的云計算系統(tǒng)變得更厲害……他有一個可以生長和進化的計算機系統(tǒng)!無論對誰，這都是來自Google云計算的挑戰(zhàn)!面對挑戰(zhàn)，中國的IT科技，應(yīng)該何去何從?”這是張為民在《云計算——深刻改變未來》一書里的擔(dān)憂。是的，對于云安全來說，每一個國內(nèi)的安全廠商都會考慮這個問題：在那些在資源以及技術(shù)上擁有廣泛優(yōu)勢的國外廠商的進攻之下，國內(nèi)廠商還有多少生存的機會?