2012年1月11日，第六届中国IDC产业年度大典在北京国家会议中心盛大开幕，本届大会以“构建云数据中心暨云应用创新论坛”为主题，邀电信运营商、IDC企业、设备厂商、互联网等业界同仁共同探讨云计算时代下的IDC产业机遇与责任，现在是中国信息安全测评中心副总工程师、软件安全室主任、OWASP中国区副会长郭涛博士，为本次论坛致欢迎词。

郭涛：尊敬的各位来宾，女士们，先生们，大家上午好。很高兴今天能够参加第六届中国IDC产业论坛年度大典的分论坛二-未雨绸缪 云计算信息安全。近几年云计算是IT的热门话题，也成为全社会的关注热点。云计算的中国方式固然可以节约成本，并减轻内部运维服务器的困扰，而实际的安全程度并不如部分云计算供应商所称的那样无懈可击，由于云计算后端是数以千计的大型服务器组成的虚拟化服务器，因此黑客只需要对其中一点进行攻击，就有可能窃取到云端的所有数据。根据中国国家论证部2011年11月份的统计显示，目前网络上平均每天新增漏洞达17个，也就是说网络安全威胁还很大，网络安全问题非常多。随着许多公司业务运营方式逐渐转向网络作业，黑客攻击越来越多，云中数据的安全保护有待进一步加强，最近发生的大型网站泄密事件，给云计算敲响了安全警钟。我们是把鸡蛋放在一个篮子里面，还是分散的保护？如何打造一个安全的篮子，这些个问题值得在座专家进行研究。

今天有这么多专家、领导、企业家，以及各界朋友参加这个议题，说明大家对云计算信息安全的高度关注和期待，借这个机会我也谈一下我对我国云计算安全技术研究几点感受和意见。
第一，云计算安全是促进我国云计算技术和应用发展的基础。由于数据更加集中，能否确保云中数据的机密性、完整性、可用性，将很大程度上影响到用户是否将其数据和应用向云计算平台转移，并且随着云计算的不断普及，安全问题的重要性显现出快速上升的趋势，现在已经成为制约其发展的重要因素。调查结果显示，有70%受访企业CTO表示，近期不打算采用云计算的在云，数据的安全性可以充分的考虑。要让企业和机构大规模的应用云计算和平台，放心的将自己的数据交付给云服务提供商来管理，就必须要全面的分析，以及着手解决云计算面临的各种安全问题。

第二，建立我国自主可控的云计算信息安全基础设施，并将为完善我国信息安全保障体系奠定基础。云计算代表未来IT发展趋势，因此谁掌握了云计算核心技术和核心服务控制权，谁就能在信息技术领域全球化竞争格局中处于优势要地位。鉴于我国云计算的云计算飞速发展现状，在不久的将来云计算平台势必发展成为我国关键的信息支撑主要承载的平台，因而其安全性具有举足轻重的作用，由于网络的特殊敏感性，不能完全依赖进口软件和技术，通过大力发展云计算平台关键技术和产品，建立我国可控的云计算安全措施，并将为完善我国信息安全保障措施奠定一个基础。

第三，要大力推进云计算安全技术和产品的标准化，提升我国云计算信息安全产业技术和产品的竞争力。谷歌、IBM、微软等全球巨头正在全球范围内推动他们的云计算技术和服务，并且以此为基础对整个IT产业进行渗透，立足形成一种技术上垄断。如果这些国际巨头安全掌握云平台安全核心的关键核心技术，必然影响我国云计算安全的发展，我国相关领域的话语权将会丧失。目前我国自主的云计算安全服务已经崭露头角，比如说云查杀引擎，包括北京、天津等几个云计算基地，现在也逐步发展起来，相关产品市场也初具规模。

解决方案及产品推广是云计算核心概念，以及未来几年发展重点之一，发展我国自主的云计算核心技术，提升云计算技术产品的竞争力，对提升我国云计算和信息产业具有重要的意义。云计算产业发展关键之一就是相关技术和产品的标准化，国家有关部门和研究机构需要大力开展云计算安全关键技术、云计算安全产品、云计算安全标准等等研究工作，推动云计算安全标准的制定和实施，进而保障整个产业的健康发展。

第四，加强软件安全开发意识培养和应用性安全保障技术研究，并充分利用第三方的测评机构，为云计算利用保驾护航。最近几年信息安全发展的重要趋势，安全重心从网络层、操作系统层逐步向应用层转移，普遍采用传统安全防护措施之后，现在信息系统的应用层和安全就成为最后键防线。最近我们大家都知道吵的沸沸扬扬的大型网站的密码泄漏，它就是一个应用层安全问题的典型案例，我们知道最近两年，大家的工作重点不是黑某一个网页，或者盗某一个QQ号，他们现在重点是对大型网站的数据库爆破，最重要的攻克技术就是应用层子关键技术，也就是黑客攻击。根据2010年的数据显示，数据风险是高应用的重要防守。作为中国区，我们也希望能够为应用安全提供力所能及的帮助。

云计算时代的一个显著特点是将应用由本地搬到云端，云端的应用安全问题就显得尤为关键。这里面国际上有两种有效的解决办法，一种是2000年比尔盖茨开始推广的SDR，安全生命开发周期。我们要在云计算尤其要注重，我们在云计算云端的信息系统和软件开发，到上线之前一定要做安全生命周期开发概念。我们把安全的问题，或者说把漏洞放在我们系统上市之前都解决。

第二种办法，要充分利用第三方的安全机构，在系统上线之前，或者说在系统应用整个过程中，不断的对系统进行安全评测，使得我们系统持续保证云端的安全性。
云计算安全之路任重道远，需要各方不懈努力，早日成就安全便捷的云计算服务环境，只有的环境，只有这样云计算才能成为推动社会发展的新动力。我们今天这个分论坛涉及到云计算数据安全、云的入口安全，云计算管理下的网络安全等诸多议题，相信今天的讨论，大家能够更加深入了解云计算中的信息安全问题。我们衷心的希望对于云计算信息安全的讨论能够继续办下去，并且越办越好。谢谢大家。