摘要：2011年最受瞩目的IT业界盛会——第三届中国云计算大会于2011年5月18-20日在北京国家会议中心隆重举行。本次大会由中国电子学会主 办，中国电子学会云计算专家委员会、中国云计算技术与产业联盟承办，CSDN网站、《程序员》杂志和电子工业出版社协办。此次大会规模空前、群英荟萃、主 题丰富、突出实战并汇集全球视角。

第1页:云安全联盟创始人Jim Reavis：云计算的价值被低估 第2页:云安全联盟创始人Jim Reavis：云计算的价值被低估

　　在20日下午举行的大会主题演讲中，云安全联盟（CSA）共同创始人兼执行理事长JimReavis发表演讲“建构受信任的云”，他谈到云计算未来的需要解决的关键问题包括，云的快速演进，全球法律政策的差异，公/私有云的非标准，安全事故响应不及时等。JimReavis谈到云计算短期内的确过热了，但长期内是被低估的。并且介绍了SaaS（SecurityasaService），启发现场观众想象云计算2.0是什么样子。
　　
　　以下是演讲实录：
　　
　　JimReavis：非常感谢中国电子学会，也感谢我们的主办方使得这次论坛成为可能。确实云计算是我们未来一个非常重要的部分，我们在跟这些首席执行官沟通的时候我们会听到他们遇到的最大问题就是安全问题。我认为云计算不光是最重要的一个趋势，它正在改变我们的信息技术，同时它将会影响所有的行业，而且这种影响会越来越大。不管是汽车行业还是医疗、银行，需要IT投资是巨大的。这对我们来讲也是一个很大的障碍。这样的话我们通过云就能解决这些问题。
　　
　　当然我们通过云应用的时候还是有一些障碍，我们能够做什么呢？我们只会去用我们的IT。如果一个人他有了一个改变世界的理念，能够控制所有的资源和大的数据中心，可能并不知道它会带来什么样的影响，但是我们知道这个影响会非常地巨大。信息技术它带来的影响只是最小的，而整个世界都会为之而改变。但有一点是积极的，透过这次云计算大会你们已经听到很多信息，所以我不会再去讲重复的话题。
　　
　　我会从云安全联盟的角度看一下，我们对安全的定义，详细讲一下我们对安全的策略。我觉得非常重要的要去考虑一下，其实我们谈的计算它只是一个使用的工具，水电是怎么最终实现它们的效率，也是非常复杂的过程，也是使用效率提升的关键点所在。我们最终需要创造一个集中式的计算储存，将我们的成本降到最低，实现规模效应。
　　
　　所以非常重要的要理解以服务为中心的架构，如何构建应用程序，其实它是一个动态的过程，它是把计算机源合并在一起。把各个不同供应商的能力和资源整合在一起，这才是非常重要的，到底未来这个云计算的方向是什么的？我们认为它是一个提供基础的服务设施，然后不断的去跟进和跟踪能源的成本。通过定义，我们知道有私有云，社区云，公有云，我们将会看到越来越多类型混合的云。
　　
　　更重要的一点是我们必须要去考虑和设计，从长远来讲这些数学，还有经济的因素，如果我们不把信息放到公共云上是不可能的。从效率的来讲，我们看不同的应用程序，应用的系统，我们是越来越重视这一点，尤其在公有云当中。
　　
　　我相信公有云它有独特的优势是私有云无法复制的。所以我们需要有能力将新的软件应用系统很迅速的放到公有云当中。时间成本其实才是最重要，我们必须要去考虑。不是说你们能节省多少IT的预算，而是说到底你有多快你才能把新的软件推出来支持新的理念新的想法。，如果你和软件公司的CEO沟通就会发现他们非常重视要转向云计算，而不只是针对这个软件。对于管理软件部署的这些支持，如果你的软件有一个版本是统一的，会提升很大的效率。
　　
　　这张图是信息安全经理的恶梦，我们现在遇到一个困境，很糟糕的情况，这些应用程序都是分散的，在我们私有云和公有云之间非常分散。现在我们有了这些移动性，比如智能手机，Ipad，用户遍布世界各地，我们要把公司设备上的资源部署到个人资源上，现在应用程序、数据、设备都非常分散，从信息安全管理对他们是一个很大的挑战。我们必须要去考虑到底我们机构的信息参数有哪些。这些主要的问题有哪些呢？云把拥有数据的人以及负责云客户的人，还有处理数据的云把他们分开了，我们不能确认这个数据中心在哪。云所运作的方式可能是一种转变非常迅速的，我们需要把所有的物理信息安全控制变成虚拟的安全控制，因为我们不知道我们的信息在哪里，我们也不能确认人们只是用公司的计算机访问这一点。我们怎么使用这一点呢，我相信数据管理将会起到非常重要的种类。
　　
　　在虚拟管理中还有一种非常松散的管理，但是我们怎么能够确定通过云的管理让安全更好呢。有一些信任的问题，日常工作当中遇到哪些信任危机呢。云的供应商是透明的，他们告诉客户我们怎么做系统的，我们怎么将这个信息删除，我们怎么知道员工是值得信任的。客户需要知道他们应该是符合哪些法律法规，因为法律法规都是很复杂。我已经告诉你们了，甚至是供应商他们设计这个云的人，他们也不能信息到底储存在哪个地方。还有很多关心的问题，如果我们转向云计算有可能很快就被淘汰，还是等到最新技术来的时候我再参与。很多时候我们作为一个IT人，每个人都去追逐云的时候，它就会变得非常恐惧。
　　
　　明天我们遇到的最大问题是什么呢？当前的系统转变的非常快，两三年之后或许云和今天的云是完全不一样了。如果让云计算真正起作用，它必须要成为一个全球的服务设施，我们现在有很多的问题，我们在全球不同的国家有不同的政策和法规，不同的行业也有不同的法律法规。现在遇到了很多问题，我们也非常担心这些标准到底将来的方向如何，是不是我们不同的私有云都可以相互相应，还是最终都要成为公有云，都要汇集到一个地方。这种计算是时时的，这种审计如果每年做的话是不足够的。我们还会看到身份认证和管理，它已经超越了用户，在每一个计算机上，每一个应用程序上都需要身份认证。
　　
　　云计算发展非常迅速，我们信息安全也需要移动的非常迅速才能跟上它的步伐。我们必须作出积极的相应。云安全联盟在这方面做了很多工作，我们根据我们的观点提出自己的解决方案，我们是一个全球的协会，我们有超过两千个成员，其中有几百个是企业成员，我们在中国也有自己的办公室，我们想要采取一个广泛的合作方式建立起云的群体。我们怎么来做呢？不是传统的标准制订机构，我们更像一个社会网络。我们专注的是身份认证，使用的标准，我们想要培训人们让他们知道法律法规，还有很多教育培训的工作要去。我们怎么建立起一个受信的云呢，我刚才讲了战略培训安全框架，我们怎么估算这个世界，我们怎么预测未来。它并不是一个全面的策略。它采用云的策略，有的是来自我们的观点，我们的研究。从架构的角度来讲，一个混合的企业它需要管理一些复杂的问题，当然最重要的问题需要解决的就是身份认证，你们的身份认证管理了你们的企业，必须能够兼容成百上千个软件和应用系统。如果你不能做到这一点，云计算的经济性就无法实现。