最近，我参加了Gartner公司的安全与风险管理峰会，主要是了解信息安全经理2010年中期议程中最重要的事是什么，因为现在已经到了（希望是这样）许多企业正走出衰退模式，加强过去搁置已久的安全项目的时候。

　　虽然总的情况比我预计的乐观，但最让我惊讶的是，安全专家现在言必称云计算。例如，正如我注意到的，大批与会的安全专家被Google的两个企业桌面安全案例分析所吸引，尽管这两个案例都没有谈论太多的安全。

　　在一个关于Web安全网关的案例分析报告中，其中一个听众提的问题是，演讲者的公司是否考虑过一个基于云计算的网关。在我同与会者的一对一交谈中，云计算也常常被提到，云计算似乎是他们最感兴趣的主题之一。

　　所以，我想说的是：你们是不是都疯了？

　　我不知道为什么信息安全专家突然变得对云计算如此钟情。也许是他们看见了云计算可以全面节省IT成本的前景；也许是因为云计算只需要更少的内部系统；也许是他们异想天开的认为云计算可以让公司的数据安全转移，成为别人的难题。

　　作为对读者的一种公共服务，我会提供一个简单但远非全面的现状核实方法。首先，你应该意识到目前还不存在云计算安全标准，因为云计算本身的标准就还没有形成。外包的基础设施、平台和软件都需要不同的安全措施。目前市面上有托管的公共云、私有云、混合云和社区云等等，你需要明白这种现状。所以对于云安全，并不存在一个放之四海而皆准的策略。

　　还有很多其他更具体的因素值得考虑。下面列举了一些：

• 最近一项针对1800人的ISACA调查显示，近半数的受访者认为云计算的风险大于收益；只有10％的受访者所在的公司打算为关键的IT服务使用云计算。
• 云安全联盟表示，云计算有7个显著的威胁，分布于所有的服务模式中，那些急于使用云计算的公司往往不能正确的评估风险。
• 对于云计算的可用性、备份、加密、监测、事件响应，这些方面仍然存在着一些悬而未解的重大问题。当然，除此之外还有规则遵从方面的问题，因为当企业使用云计算服务时，仍然需要遵循适用的规则。

　　在特别交流会议中，一位安全专家告诉我，云计算给用户带来安全感很少，带来更多的是概念上的晦涩。如果我把数据外包出去，其他数百家公司也同时在使用相同的外包服务，一旦发生安全攻击，很有可能的是其他人的数据会成为黑客的目标。可悲的是，因为你和其他人一样都在同一个地方隐藏数据，这就意味着它很有可能暴露。

　　我要说明一点，我绝不是云计算的反对者。显然，云计算服务正一步一步的证明它们在CRM、ERP、托管的通信和协作、单纯的处理能力等方面的价值。毫无疑问，云计算将成为未来IT的一大组成部分，安全小组应开始考虑如何确保云计算服务的使用安全，因为这将是几乎所有公司都必须做的事情。

　　我的意思是，你应该是一个怀疑主义者，一个在企业决策者决定是否投资一项新技术时提出警告的人，特别是当短期和长期的安全问题未知的时候。这并不是一个可以互换角色的时候。

　　所以，我敢这样说：尽管云计算看起来似乎很“性感”，但你千万不要轻易的就被所宣传的低价服务和高安全性所诱惑。你必须意识到的一点是，当涉及到云计算安全时，我们原来的困惑依然存在。