2010年以來，我們聽到了太多云計(jì)算落地的聲音，然而，與此同時(shí)，我們也聽到了太多次企業(yè)信息主管的“一聲嘆息”。當(dāng)企業(yè)云計(jì)算遭遇安全風(fēng)險(xiǎn)，斷然是“我自橫刀向天笑，去留肝膽兩昆侖”。（請參閱51CTO相關(guān)專題：押寶云計(jì)算，IT人路歸何處？）

事故總是不期而遇

云計(jì)算好似尚未打開的“潘多拉的魔盒”，人們對它充滿了好奇和神往。終于有一天，有人打開了這個(gè)盒子，盒子里有希望，同時(shí)“邪惡”的東西也隨之而來。

下面，讓我們來回顧一下，這半年來，云計(jì)算是怎樣讓企業(yè)信息主管們“愛之深、恨之切”的。《Slideshare創(chuàng)始人：我們應(yīng)用云計(jì)算的慘痛教訓(xùn)》、《賠償問題談崩 禮來或?qū)⒎艞壥褂脕嗰R遜云服務(wù)》、《云計(jì)算供應(yīng)商常犯的五大嚴(yán)重錯(cuò)誤》、 《態(tài)度漸冷 美國政府將用10年時(shí)間緩慢接受云計(jì)算》、《美國政府質(zhì)疑云計(jì)算 計(jì)劃推行或遭擱淺》、 《云計(jì)算警鐘再鳴：Intuit不明斷電 用戶怨聲載道》、《云計(jì)算，叫我如何信任你？》、《谷歌三遭云計(jì)算質(zhì)疑 App Engine出問題》、《亞馬遜故障頻發(fā) 用戶該怎么辦？》、《谷歌日歷服務(wù)再次中斷 大多數(shù)用戶受影響》、《熱點(diǎn)討論：如果你的云服務(wù)商倒閉該怎么辦？》、《云計(jì)算質(zhì)疑加劇 谷歌日歷服務(wù)中斷》、《云安全，想說愛你不容易》。

這些事故的出現(xiàn)縱然與云計(jì)算所處的階段有直接的因果關(guān)系，畢竟現(xiàn)在的云計(jì)算尚處在蹣跚學(xué)步的階段。從長遠(yuǎn)計(jì)，這些卻都是亟待解決的問題。云計(jì)算未來的路還很長，內(nèi)功還需要加倍的修煉，方可對得起受眾的希冀。

#p#

用戶與服務(wù)商的口水戰(zhàn)

眼下，正所謂是，不與云結(jié)緣不痛快。不追趕云計(jì)算，就意味著自己被甩出了“潮流前線”，勢必有“out”的嫌疑。因此，盡管目前云計(jì)算尚存在這樣那樣的問題，IT主管們甚至有一天會(huì)面臨因?yàn)樵朴?jì)算而被“驅(qū)逐出境”的凄涼場面，但其仍然不減對其的熱情。

高調(diào)的追趕，低調(diào)的實(shí)現(xiàn)，用戶與服務(wù)商之間必然會(huì)因?yàn)樵朴?jì)算的期望與凄涼衍生爭端。

目前，就國內(nèi)實(shí)際情況來說，一些云計(jì)算的應(yīng)用還多限于承載非關(guān)鍵性、非核心及非敏感性數(shù)據(jù)。造成這種情況的原因有兩點(diǎn)，一是跟云計(jì)算在國內(nèi)的發(fā)展階段及國內(nèi)的保守意識(shí)有著密切的關(guān)系，另外，一旦出現(xiàn)服務(wù)故障，沒有一個(gè)明確的風(fēng)險(xiǎn)損失估量辦法和措施，而且究竟是誰的責(zé)任也沒有一個(gè)明確的限定。

“由于IT服務(wù)客戶想當(dāng)然的認(rèn)為他們的云計(jì)算服務(wù)提供商應(yīng)當(dāng)承擔(dān)安全風(fēng)險(xiǎn)責(zé)任，這也使得這些客戶變得更加易于遭受攻擊。”一位IT人士說。要命的是，絕大多數(shù)的用戶堅(jiān)定不移的認(rèn)為：既然我掏錢享有的就是你的服務(wù)，一旦發(fā)生服務(wù)故障，當(dāng)然就是服務(wù)商全權(quán)負(fù)責(zé)。

然而，幾乎所有的大型服務(wù)提供商都對客戶說，“我們不對任何因?yàn)榉?wù)故障導(dǎo)致的商業(yè)損失承擔(dān)責(zé)任”，這也就難怪CTO們不愿把公司數(shù)據(jù)放到云中而導(dǎo)致的財(cái)務(wù)風(fēng)險(xiǎn)。

“我理解這種狀態(tài)，”Burton集團(tuán)的研究總監(jiān)Drue Reeves說，“如果大型云服務(wù)提供商在多租戶環(huán)境中接受針對每個(gè)用戶的大量責(zé)任，他們所承擔(dān)的總責(zé)任將會(huì)超越它本身的價(jià)值。”他還解釋道，由于上市的服務(wù)提供商不得不公告其責(zé)任，從而導(dǎo)致了不再有人愿意購買其股份。

理解歸理解。但CTO如果事先就明確得知服務(wù)提供商不會(huì)為故障買單，恐怕會(huì)更加打擊CTO向云計(jì)算遷移的積極性。如果沒有更多的CTO向云遷移的打算，也就沒有足夠的壓力促使服務(wù)商完善其服務(wù)品質(zhì)和鏈條的動(dòng)力。

“責(zé)任必須是共同承擔(dān)的，合同雙方都要理性對待”，Reeves說，“如果審視一下云計(jì)算，它由我們現(xiàn)有的一些技術(shù)構(gòu)建而成。在技術(shù)層面，我們需要解決的是一個(gè)個(gè)的現(xiàn)實(shí)問題。但是關(guān)于服務(wù)部分，還有很多未完善，相關(guān)責(zé)任是其中很主要的一部分。”

#p#

不可逃避的灰色地帶

德國科技企業(yè)管理學(xué)家斯坦門茨20世紀(jì)初移居美國，在一家很小的瀕臨倒閉的小公司任職。這時(shí)，美國最大的福特公司的一臺(tái)電機(jī)出了故障，很多人搞了兩個(gè)多月也沒搞好。束手無策的情況下，公司請來了斯坦門茨。斯坦門茨用粉筆在電機(jī)外殼上劃上一條線，說，“打開電機(jī)，在記號(hào)處把里面的線圈減少16圈就好。”福特老板問他要多少酬金，斯坦門茨說“1萬美元。”福特老板似乎有“被敲詐”的感覺，斯坦門茨解釋“用粉筆畫條線1美元，知道在哪劃線9999美元。”后話是福特用重金聘用了他。

知道問題出在哪里，怎么解決，才是解決問題的關(guān)鍵。云計(jì)算也面臨同樣的問題。“云計(jì)算最大的安全隱患是安全責(zé)任不明確。”Gartner報(bào)告顯示。

然而，要想明晰安全責(zé)任，就要相應(yīng)的法律法規(guī)做支撐。“目前業(yè)界還基本沒有相關(guān)的法規(guī)可以利用。絕大部分涉及數(shù)據(jù)違規(guī)的案例都以庭外調(diào)解的方式解決，也許服務(wù)商提供了賠償，但都沒有形成判決或判例。”一位法律界的人士說。據(jù)Forsheit預(yù)測，未來兩年內(nèi)，將會(huì)出現(xiàn)一個(gè)案例在法官面前，其將對安全事故帶來的損失進(jìn)行明確的概念界定。在此之前，企業(yè)還需要在這方面對服務(wù)提供商進(jìn)行推動(dòng)。

“關(guān)于計(jì)算機(jī)方面的糾紛其實(shí)特別多，云計(jì)算方面的在這兩年也不少。”王立君律師（此前是一位軟件工程師）說，“法律法規(guī)的缺失讓現(xiàn)在的云計(jì)算苦不堪言。” 可喜的是，在一些地方已經(jīng)要求無論是云計(jì)算還是其他服務(wù)提供商，都要在合同中規(guī)定對個(gè)人信息的合理保護(hù)措施。

現(xiàn)實(shí)的說，用戶也并不是希望在遇到問題時(shí)得到一筆補(bǔ)償，他們無非是希望服務(wù)商受到足夠的懲罰以警戒自己盡量避免故障的發(fā)生。但真要到了立法的層面，還是越明確越好。不僅要明確企業(yè)用戶和服務(wù)提供商各自的權(quán)責(zé)，而且還有必要明晰數(shù)據(jù)在國家之間傳輸?shù)南薅ā?/p>

云計(jì)算這場革命尚未成功，同志還需加倍努力。

【本文乃51CTO原創(chuàng)文章，轉(zhuǎn)載請務(wù)必標(biāo)明作者和出處！】

【編輯推薦】

1. 云安全，想說愛你不容易
2. 云計(jì)算安全模型與傳統(tǒng)安全模型的差異
3. 遷移到云中去！20家最酷的云安全廠商
4. 四個(gè)真實(shí)案例 讓你0距離觸摸云安全