IBM朱近之：建立云安全第三方认证体系

国内企业搭建云计算比较关注商业模式的创新，因此服务商更应该重视云安全，在云安全面临各种用户信任的问题的情况下，第三方认证不失为一种好方法。

与国际环境不同，国内大型石油、通信等企业将是云计算的先行者。IBM大中华区云计算中心总经理朱近之指出，与国际厂商关注降低运维费用不同，国内企业选择云计算更多的是为了拓展其现有的业务模式，同时也是为了营造绿色商业环境，降低二氧化碳的排放。“国内运营商为了摆脱竞争压力，创新业务种类，很可能成为公共云运营者之一。”她表示。

对于这些先行者，朱近之在安全领域的建议是“在云计算的环境下，构建安全的云环境必须要从技术和非技术两方面入手”。

在技术问题方面，可以采取用户访问权限控制、用户数据在存储上的保护、保持数据的持久可用性和在网络传输上的私密性等手段解决。目前IBM企业信息安全架构从上到下提出了3个主要层次：安全治理风险管理及合规层、安全运维层，以及基础安全服务和架构层。其中安全治理风险管理及合规层是后两者的理论依据，安全运维层是对信息安全全生命周期的管理，而基础安全服务和架构层则是企业安全建设技术需求和功能的实现者。

朱近之表示，技术不是万能的，特别针对安全领域，用户并不是安全领域的专家，也无法判断一个云服务在技术上是否真正能够安全可靠。为此，朱近之认为，可以采用第三方认证，建立完善的企业信誉以及合约约束等手段来约束服务商。

第三方认证是提升信任关系的有效手段，可以一个中立机构对信任双方进行约束，该机构可以对云服务提供商的服务进行安全认证，采用标准化的技术手段和非技术手段对服务进行检测，找出安全漏洞，对其安全级别进行评价。这样可以从第三方角度对服务的安全水平进行评比定位,为客户提供参考。

对商业运营来说，从合同的角度对安全性进行约束是客户所希望的，目前已经由许多的云计算服务商提出了自己的云服务水平协议，这些协议从服务质量、技术支持和知识产权等方面对服务进行了规范，对服务提供者与使用者的权利和义务也进行了明确。而企业对自身信誉的看重，更能赢得客户的尊重，从客户角度讲，选择有实力、有信誉的服务提供商将是云计算用户的首要选择。

目前很多人对外国厂商承建云平台表现出很多安全顾虑，朱近之指出：“云平台本身就是一个开放的平台，只有这样才能鼓励更多厂商在其基础上进行应用的研发，同时也方便未来云与云之间的互通，因此，外国厂商搭建的云就是外国的云这种观点的是错误的。”很多时候云的解决方案是客户自主开发，用户一旦采购完相关的软硬件产品后，如何部署云架构更多的时候是用户自己决定，同时在整体架构之上的应用也是用户自主创新。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友