云安全标准难产

    业内对“云安全”的技术争论，很大一部分集中在标准的制定上。虽然每个云服务供应商都部署了安全措施保护存储在其服务器上的数据，但目前云安全标准繁杂，并且仍然没有公认的云安全标准。在这种状况下，最大的受害者可能是IT企业。

    企业应用咨询公司的首席分析师认为，在针对云计算体系架构的安全模式和标准出台以前，多数可能面临的风险和损失就直接落在了IT企业的肩上，而不是由云计算服务供应商来承担。

    然而，不少业内人士并不赞成现在就建立云计算标准，认为这样反而会限制云计算服务发展的多样化，可能无法使用户受益。蒋建平就是其中一位。他的观点是：“云计算还处在发展的初期，并且云计算服务涉及IT基础设施、平台、应用多个方面，涉及了太多的技术、服务接口、商业模式、存取方式等，目前很难制定一个统一的标准。”

    蒋建平以互联网为例说：“除了技术上大家共同遵循的RFC(请求注解)开放标准以外，在服务上则是百花齐放。”他表示，与标准相比，云计算的开放性和建立SLA(服务等级协议)显得更为迫切。据其介绍，为此，世纪互联在推出的弹性计算、云备份、云存储等几个云计算服务中正逐渐引入SLA，并为开发者按需存取计算和存储资源提供开放的API(应用程序编程接口)。

    韩正奇认为，由于受到很多因素的制约，短时间内不会有一个统一的云安全标准。如果说未来有可能由谁来制定这个标准，那么制定者的云安全技术一定居于行业领先地位。他强调，技术是否在行业内领先由用户说了算，“如果用户用了你的‘云安全’电脑一年都没有中过病毒，那你的云安全就成功了一半。”

    朱近之指出，安全标准的制定需要结合行业技术标准和国家法律法规，一方面需要涵盖技术规范，另一方面需要规范运维流程。一个主要的原则是应采用开放的框架，避免局限于少数厂商的专有技术。然而，当前一个较为突出的问题是，对云计算服务提供商的安全能力公众并没有一个评估的办法，无法进行量化考核，因而只能依赖于对品牌的信任。

    三“朵”云

    目前，业界将云计算按照运营模式分为三种：公共云、私有云和混合云。

    公共云是通过云计算提供商自己的基础架构直接向用户提供服务，用户通过互联网访问服务，但并不拥有云计算资源。

    私有云是在企业内部搭建的云计算环境，面向内部用户或者外部客户提供云计算服务。企业拥有云计算环境的自主权，并可基于自己的需求改进服务，进行自主创新。

    混合云是企业既有自己的云计算环境，同时也使用外部公共云提供的服务。

    提供云计算解决方案的厂商大约分为三个层面：SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础架构即服务)。