近日，在主题为“万物皆变，人是安全的尺度”的中国互联网安全大会（ISC2017）上，云安全成为关注的热点，由CSA云安全联盟主办的云安全论坛上，来自国内外的16位云计算和云安全领域的专家共同探讨了云安全2.0下的技术和创新之道。

2017年以来，云计算进入下半场，开始全面进入重点行业、重点领域、关键业务和核心应用，安全越来越重要；同时随着我国《网络安全法》实施以及等级保护制度2.0的即将出台，对于云计算的安全合规合法也提出了更高的要求，在新的云计算和云安全环境下，云安全也进入了2.0时代，云安全的技术、服务、运营和管理都将发生很大变化，而人是其中的核心因素，人既是造成云安全的问题的重要原因，也是解决云安全问题的关键。

9月16日开幕的网络安全周的主题是“网络安全为人民，网络安全靠人民”，其核心也是人是安全的尺度，从人出发，挖掘全民网络安全生产力。

在云安全论坛上16位专家分别从云安全产业趋势、安全运维、安全自动化、身份认证、数据安全、虚拟化安全等多个角度进行了发表了最新的观察和研究成果，分享了各自对云安全2.0的理解和观点，以下是16位专家的精彩观点摘录：

李雨杭：CSA云安全联盟全球战略总顾问、大中华区主席

两年前我提出了云计算2.0时代，云计算从2005年之后，从技术到应用都在逐渐的发展变化，技术日新月异，我们的安全挑战是越来越大，需要新的思维、新的方法和新技术来解决云计算2.0时代的安全问题，云安全问题的解决还需要很长的一段路要走，在技术、策略和人才培养等方面都需要一些创新性的突破。

Nils Puhlmnn ：CSA联合创始人、Zynga公司前CSO、EA公司前CISO

今天企业和机构的IT云化已经成为趋势，85%的企业都有相应的公有云、私有云或者有混合云的部署策略，SaaS(软件即服务)正在蚕食世界。但同时安全问题制约了云服务的发展，49%的企业因网络安全技术缺口而推迟云部署。

在云环境下，易于使用和安全是一对矛盾，易于使用增加了系统的复杂度，同时降低了系统的可见性 ，也降低了可控性，但是技术的选择性和多样性因此增加，这对企业安全人员的知识和经验提出了更高的要求。

但是现实是安全人才，尤其是云安全人才的稀缺是很多企业面临的难题，所以SaaS化的云安全服务将成为趋势和方向，这样可以降低企业对自身IT团队和安全团队的要求。

任卫红：公安部信息安全等级保护评价中心技术部主任

很多的云平台可能会成为将来的关键基础设施，等级保护是关键基础设施的基础，既是工作基础，也是安全措施的基础。关键基础设施保护对运营者要在等保基础上增强一些要求，比如对负责人、安保人员、从业人员，对关键岗位人员都提出了明确的任务要求。

在新的等级保护制度中，我也申请了一个云计算的国标研究项目，就是如何对关键基础设施做等级保护，将来我们要保护的时候，一定要把它们作为一个整体去实现，系统的保护一定要为了实现顶层的基础设施的安全。

刘浩：360企业安全集团云安全事业部总经理

在云安全领域，我们在自适应安全架构基础上，结合数据驱动安全理念，形成了一个数据驱动的以人为核心的安全运营体系。云是一个集大成者，它里面有数据、应用、管理、安全，有配制、网络计算等等，它把所有的东西都集成在一起。

在云安全领域需要有一个智慧大脑，我们称为云安全管理平台，它对应的是云管平台，它不仅把授权、管理、操作等等这些东西做了初步的统一，还对安全各方面的要求，比如采集标准、扩展，以及各个安全组件、认证收在一起，结合人的经验和知识，在这个智慧大脑去进行各种研判的结果，来支撑我们在云安全上的常态化、智能化的安全运营、安全管理。

刘川意：云安宝首席科学家

云其实是一种共享经济，所以它的安全责任是云提供商和租户来共同承担的。云平台和宾馆一样，它会提供一些基础的安全，租户也需要有相应的安全措施。

租户上云需要很多的安全需求，每一个需求都能够找到一个单独的盒子，或者单独的一个设备来完成这个事情。但是租户上云就是为了简单，如果还要买一堆盒子，大多数租户都接受不了。所以租户上云以后，他需要的是一个瑞士军刀，需要一个一体化的、轻量级的，把需求都能够解决的一个融合的工具。

杨历：亚马逊AWS解决方案架构师

亚马逊在2006年3月推出了第一个云服务，叫A3的一个服务，已经发展了11年，形成了一些非常完善的技术规范和最佳实践。

亚马逊在云安全方面有一个理念，提出了一种责任共担的模型，云平台厂家负责云基础设施的构建，提供基础设施的安全性。用户需要考虑自己应用的安全性，不是把应用迁到云上以后，应用就天然具有安全性，安全性来源于一个良好的架构设计，来保证应用的安全性。

臧铁军：VMware中国卓越中心首席架构师

云安全仍然是用户上云的一个主要的壁垒，用户对隐私、控制力这方面有疑虑。用户在上云的时候有一个挑战，原本在数据中心中能够采用很好的一些安全技术手段，当资产迁移到公有云的时候，可能没有办法沿袭旧有的技术，要重新选择对等的、相似的产品，这时候通过比较就会发现，公有云在安全上面没有达到企业信息系统那么好的安全等级，在安全性上面就面临很大的挑战。

云安全的重点是如何把安全服务和云平台架构结合在一起，在一个标准的管理框架之下，把所有的安全解决方案的管理和日常维护的行为统一起来，这就会给用户，给整个行业的发展带来非常大的帮助。

唐青昊：360云安全研究部负责人、360Marvel团队负责人

2015年我们成立了国内首支云安全的团队，致力于发现云下的一些软件漏洞，还有其他的一些未被关注的风险点，三年来公布了一些云下的安全漏洞，通过这些漏洞的报告和修复解决了一些世界级的安全问题，我们还推出了2款云安全产品，解决的问题是云系统安全漏洞和云下大量的噪音中风险发现的问题。

三年前我首次在中国互联网安全大会上做相关虚拟化安全议题演讲时，关注的人很少，但是今天会场人气爆棚，这也从侧面印证了云安全的关注越来越高，越来越重要。

李德辉：景安云信CTO

云融合了很多计算资源，能够统一的管理，但是用户的身份没有被融合，而且我们现在讲身份安全，都在讲有新的认证方式，比如说ID，还有各种的安全令，我们在关注认证方式的时候，其实另外一个事情值得我们去考虑，我如何让认证方式保护到人上，让人能够在认证权限的时候，能够做认证，能在登录的时候用到。

在整个云平台上面，资源做了整合，身份还是割裂的，运维人员在企业里面管理虚拟机，在虚拟机上有一些账号，在下面的云桌面有账号，上面应用系统也有账号，都是在孤立的管理账号。

郭道明：Easystack副总裁

技术永远不是一个特别大的问题，从云安全本身来说，我觉得技术是最下面的，首先最难的挑战可能是人的挑战，因为云计算带来最大的转变是人思维的转变，还有一些事物之间关系的变化，接下来才是技术的问题。这里面最大的挑战在新的环境下，新的流程，怎么把安全的东西处理下来，用新的平台去做更好的梳理。安全这个东西永远不只是技术的东西，是流程加上人，这就是大会的主题“人是安全的尺度”，人决定很多的因素在里面。

陈翔：企业级新媒体科技茱比莉主编

2017年一开始业界开始提出云计算2.0，或者云计算下半场的概念，上云的结构发生了根本性的变化，行业、企业上云成为我们非常关注的目标，而不再是以前以公有云的互联网企业为主了；业务的跨云成为常态，甚至多云的管理非常常见，这样的策略下安全的边界更加的模糊化了。

薛永刚：上元云安全CTO

我觉得云安全2.0这个说法挺好，首先云的用户已经升级换代成2.0了，现在有些用户对云的理解，比我们做安全的可能还要深，他们很清楚云里面到底是怎么回事，重新发现其实安全还是很重要的；其次随着等保进入2.0，从法规制度层面，云安全也进入2.0时代，从国家层面有了一个统一的标准，做云安全有法可依了；最后很多用户云已经开始进入了生产环境，安全系统的性能、延时都不能影响用户的正常业务，对云安全厂商的能力提出了考验。

朱民航：南京安贤CEO

我觉得安全和云是相辅相成的一个物件，云的产生给大家带来了新的安全问题，安全行业也发生了一些变化，去适应云的发展。同时云的产生也会促进安全，包括几十年前公司的算法已经存在了，但是那时候没有做大规模的应用，原因没有一个数据的存放。现在我们通过云平台大数据的集中存放，有那么大的资料库，对安全行业来讲是很大的变化，可以通过一些方法来解决安全问题，所以我认为，云和安全其实两个是相辅相成的行业。

马臣云：北京信任度CEO

云计算发展到现在这个阶段，还有一个本质的问题一开始就没解决，就是数据的问题。为什么说银行不愿意上云，甚至上云也要自己控制，包括数据隐私问题,上云之后没有完全解决。云平台可以保证用户的数据不丢，但无法保证不看用户的数据，要解决这种根本问题，其实还要考虑靠数据来解决问题，从机制上解决这个数据就是我的，你看不了，还要保证这个数据从头到尾是真的，你改不了。这块应该是一个最大的挑战。

范为：安信数据

国家层面或者法律层面的合规，对数据安全的隐私保护的要求，在慢慢渗透到云计算领域。很多传统的关于数据安全、隐私保护的问题，很多深入到云计算自身的业务当中。用户对于数据权属的问题更加关注，云服务商都承认用户的数据是属于用户的，但是怎么界定用户的数据是一个很复杂的问题。

许志恒：兴业数金IT风险管理总监

我认为云安全管理非常重要，银行对新技术是相对比较保守的，在云计算方面银行动作还是比较缓慢的，他们在云计算的储备能力非常不足，他们上了云以后只能选一家他们比较信任的一家合作厂商；其次客户自身云安全的意识也亟待提高，这对于做好云安全非常重要；还有我觉得云绝对不是独立的，一定是混合云的趋势，在云上面会提供各种各样的组件，需要跟大量的第三方单位去做连接，怎么样防控监测这些风险，对我们未来的工作也是一个巨大的挑战。