【IT 168特别报道】2010年7月20日，Novell云计算大会在京隆重召开。IT168全程报道，为你带来有关云计算的最新资讯。

　　图：Novell公司云计算项目总监王硕

　　王硕：各位来宾，大家好。首先欢迎大家今天在嘉里中心参加Novell的云计算大会。今天我要和大家探讨的一个题目是，企业应该如何选择云计算的供应商。今天我们听到了很多有关于云计算的介绍，也知道通过云计算企业可以节省大量的IT成本，并且大量提高灵活性。同时，我们也在平时的媒体中和日常生活中听到有很多的企业会告诉我们，告诉分析人员、研究人员基于云计算的解决方案有所保留。现在听到两种非常矛盾的言论，到底真实的情况是怎么的呢?通过一些市场调查我们看到，大家都在大量使用云计算，在2009年部分领域用户已经取得了20%-40%的增长。同时云计算是一个新鲜的事物，安全是大家考虑最主要的问题，其他的只是表象。由于是一个新鲜的事物，在法律法规和财务制度方面都不是特别完全，这些是企业在操作过程中无法避免的一个话题，所以法律法规以及财务制度主导了云计算的使用，带来更大的风险。给我们IT的应用带来了前所未有的安全漏洞，在我们大家选择云计算服务供应商的时候，一定要明白安全并不是云计算供应商单方的责任，而是您和云计算供应商双方共同的责任。

　　云计算到底是什么呢?今天很多嘉宾已经给大家做了一个很全面的概括，我们在这里简单看一下云计算是什么，我们为什么要用它?我们应该如何决定云计算使用的深度和广度?云计算根据Forrester的定义是一种能力，是可以通过互联网交付的IT能力，可以是一种服务，可以是一种软件，也可以是一种基础设施，最终用户可以通过自助申请来得到它的服务能力，并且按照使用来进行付费。

　　介绍云计算的几个层次：IaaS、PaaS、SaaS。云计算的使用广度大家现在非常了解，从市场调查的结果来看，根据Gartner进行的调查来看2003年市场是1500亿美元，在当中占绝大部分是中型企业，是大概有25—100人的规模，年产值是5000-10亿美金。为什么是中型企业，而不是我们所熟知的大型企业呢?一起看一下早期云计算的实例就回答您的问题。早期的实例包括美国军方、政府部门以及大家熟知企业的应用，这些应用共同的特点是要求计算能力和存储能力非常强，部署的时间非常的短，有的时候应用的峰值会出现极端的情况，熟悉移动就会知道春节话费的峰值在12点钟达到高峰，这时候需要一个兼容最大存储能力、计算能力的环境来满足应用的需求。

　　企业被问到出于什么考虑使用云计算的时候，成本不是他们最先考虑到的?灵活性和即时响应能力是企业考虑使用云计算两个最主要的方面。云计算随着模式的成熟，深度也越来越深化，SaaS的使用会大量增加，从2009年的80亿美元预见2012年整个市场发展到147亿美元。这当中熟知的应用是客户管理系统、内容通讯以及协作处于领先的地位。

　　刚才看到云计算有很大的兼容能力，已经大量应用于各个不同的领域，云计算那么好，为什么大家现在不是所有的人都在用云计算处理数据呢?安全是所有客户共同考虑的因素。大家对于安全的担忧占了整个市场调查50%的用户，他们都回答安全是首要的考虑。企业的安全有多个不同的因素和多个不同的方面，包括物理的安全性，GRC、易管理性、财务和合同，GRC的意思是监管、风险管理、合规性管理。随着云计算不同的发展，技术不断的成熟，供货商对云计算管理能力的不停增加，很多的安全隐忧已经被解决，物理的安全性和合同方面的安全性已经被解决，我们在选择云计算的供应商还是面临很多的选择和很多风险，监管能力、易管理性和财务方面的风险还是我们大家需要解决的问题。

　　云计算是一个全新的技术，同时也放大了IT的挑战，原来放在自己服务器内部的一些服务资料，现在要放到云当中，云当中的应用是可以在任何的地方，云当中任何一个角落被迁移，如果保证通过一个简单的用户登陆，这个应用能从某一个点迁移到另外一个点，到底什么人能够看到什么样的信息，看到这些信息的资料多少到底是由什么决定，所有这些问题都是我们在考虑云计算安全时被考虑的因素。今天看到云计算的发展已经让很多传统的概念完全被颠覆，现在很多的计算任务可以在多台机器上运行，也可以在多个云中运行，也可能会在您不知情的时候被从某一个地方导出去，如何监管信息的流动，我相信是大家选择云计算供应商的时候一定要考虑的。同时也可以看到，对于IT整个行业来说，这是一个很好的机会，有很多的问题需要解决，对员工、客户、参与者以及工作负载者的身份界定和授权，将会是云计算安全性方面的未来方向。

　　面临这么多安全的挑战，企业必须做什么事情才能保证信息和数据的安全呢?我们必须要把内部的监督和管理机制同样应用于云的服务当中，这就意味着我们必须要先做一个内部审计，搜集好所有的信息，然后进行分析，如果是一个企业有首席信息安全官的话，我们就和信息安全官讨论安全问题，并制定相应的报告。从风险发生的严重和影响当中评估任何一个云计算提供商的资质是否能达到您的要求。(图)云计算报告卡范本，当中具体列出哪些责任是由企业来承担的，哪些责任应该是由云计算的提供商来承担，哪些责任是大家共同来承担。现在我们手里已经有了足够的信息作出判断，下一步我们应该怎么做呢?

　　我们建议您可以制定一个计划解决2010年对您系统影响最严重的三个问题，可以在现有云计算供应商的产品还没有完全符合您的金融管理和监督策略的时候，避免接入新的云计算提供商。始终坚持云计算提供给您的信息进行审计，并不是云计算提供给您的信息就听之任之放到数据库中，等着政府审查，这时候往往会面临你想想不到的问题。仔细研究由受信MSP管理的云计算服务，这里的MSP是美国政府和公共组织已经承认的有资质的云计算提供商的机构，中国有一句话他山之石可以攻玉。中国研究一些成功的案例从中学习，能够得到一个最好的解决方案。

　　下一步我们要进行云计算供应商的原则，到底我的云计算供应商能为我做一些什么事情呢?我们在这里举了很多例子，都是根据美国的监管法律来提出的，可能对中国的市场并不适应，但是大家已经看到一个趋势，中国在云计算、在各个领域相应的法律法规也会比较的健全，所以我们在做云计算供应商选择的时候，法律法规以及针对您企业不同的特点所制定的方案必须是云计算供应商要回答的问题。其中一个SAS 70的认证是大家所熟悉的，由美国注册公共会计师协会创建的一个组织，这种认证主要包含两种，一种是第一类认证，通过企业自己搜集内部信息，向监管机构证明我所做的所有行为、控制目标、流程是符合法律法规的监管。这样就能拿到第一类认证。第二类认证更加严格，是除了在第一类认证的基础上，增加了服务监管人对于这个企业审核的意见，有了这两个认证的企业基本上可以保证在法律法规以及风险管理方面符合您对于云计算安全的考虑。

　　其他透明度问题，意思是说，到底有哪些的功能必须包含在安全因素里面得到考虑?谁可以访问数据，到底可以用什么样的等级加密，是否可行?我们数据的位置在哪里?我们物理机的位置又在哪里?服务水平协议到底是怎样规定的，7×24还是5×8，能否达到企业安全要求的等级?

　　身份保护是说刚才我们已经看到了有很多安全的因素已经被考虑，现在我们要考虑的是，是否我们企业内部的流程符合监管的要求和符合自己出于安全考虑的要求?下面的流程必须要回答包括身份的创建流程如何?身份保护的流程如何?由于角色的改变身份注销流程如何?

　　审计是我们面临的法律法规不可避免的方面，现在我们审计方面必须知道数据供应商方面正在发生什么事情?如何审核服务条款?是否按照它承诺得提供给您?您是否能够使实际接收的信息符合GRC监管机制的要求?敏感的信息是通过横向的移出还是通过设备的扩展得到迁移?

　　(图)这是一个可信云的联盟，是由Novell和eBay大型公司在美国创建，加入这个公司都是国际性大公司，他们对云安全有一定的承诺和一定的认识。Novell在可信云联盟首页显著位置展现出我们的解决方案，大家可以到网站上具体看一下。

　　风险的监管、风险的控制，安全的责任并不是说云供应商自己的责任，在这里面可以看到云供应商的责任包括物理的数据位置和物理的数据安全性，包括避免重写内部应用程序等。企业的责任包括软件许可证、执行合规性和身份认证的生成，这往往需要一个相当长的时间，企业要利用一个相当长的时间和它的云计算供应商坐在一起商讨相应的策略，并把现在看到五个方面最主要的问题，责任和权力规定清楚，在将来的云计算执行过程当中才不会有大的争扰。

　　我的演讲就到这里，谢谢大家。