2010年以來，我們聽到了太多云計算落地的聲音，然而，與此同時，我們也聽到了太多次企業信息主管的“一聲嘆息”。當企業云計算遭遇安全風險，斷然是“我自橫刀向天笑，去留肝膽兩昆侖”。（請參閱51CTO相關專題：押寶云計算，IT人路歸何處？）

事故總是不期而遇

云計算好似尚未打開的“潘多拉的魔盒”，人們對它充滿了好奇和神往。終于有一天，有人打開了這個盒子，盒子里有希望，同時“邪惡”的東西也隨之而來。

下面，讓我們來回顧一下，這半年來，云計算是怎樣讓企業信息主管們“愛之深、恨之切”的?！?a >Slideshare創始人：我們應用云計算的慘痛教訓》、《賠償問題談崩 禮來或將放棄使用亞馬遜云服務》、《云計算供應商常犯的五大嚴重錯誤》、 《態度漸冷 美國政府將用10年時間緩慢接受云計算》、《美國政府質疑云計算 計劃推行或遭擱淺》、 《云計算警鐘再鳴：Intuit不明斷電 用戶怨聲載道》、《云計算，叫我如何信任你？》、《谷歌三遭云計算質疑 App Engine出問題》、《亞馬遜故障頻發 用戶該怎么辦？》、《谷歌日歷服務再次中斷 大多數用戶受影響》、《熱點討論：如果你的云服務商倒閉該怎么辦？》、《云計算質疑加劇 谷歌日歷服務中斷》、《云安全，想說愛你不容易》。

這些事故的出現縱然與云計算所處的階段有直接的因果關系，畢竟現在的云計算尚處在蹣跚學步的階段。從長遠計，這些卻都是亟待解決的問題。云計算未來的路還很長，內功還需要加倍的修煉，方可對得起受眾的希冀。

#p#

用戶與服務商的口水戰

眼下，正所謂是，不與云結緣不痛快。不追趕云計算，就意味著自己被甩出了“潮流前線”，勢必有“out”的嫌疑。因此，盡管目前云計算尚存在這樣那樣的問題，IT主管們甚至有一天會面臨因為云計算而被“驅逐出境”的凄涼場面，但其仍然不減對其的熱情。

高調的追趕，低調的實現，用戶與服務商之間必然會因為云計算的期望與凄涼衍生爭端。

目前，就國內實際情況來說，一些云計算的應用還多限于承載非關鍵性、非核心及非敏感性數據。造成這種情況的原因有兩點，一是跟云計算在國內的發展階段及國內的保守意識有著密切的關系，另外，一旦出現服務故障，沒有一個明確的風險損失估量辦法和措施，而且究竟是誰的責任也沒有一個明確的限定。

“由于IT服務客戶想當然的認為他們的云計算服務提供商應當承擔安全風險責任，這也使得這些客戶變得更加易于遭受攻擊。”一位IT人士說。要命的是，絕大多數的用戶堅定不移的認為：既然我掏錢享有的就是你的服務，一旦發生服務故障，當然就是服務商全權負責。

然而，幾乎所有的大型服務提供商都對客戶說，“我們不對任何因為服務故障導致的商業損失承擔責任”，這也就難怪CTO們不愿把公司數據放到云中而導致的財務風險。

“我理解這種狀態，”Burton集團的研究總監Drue Reeves說，“如果大型云服務提供商在多租戶環境中接受針對每個用戶的大量責任，他們所承擔的總責任將會超越它本身的價值。”他還解釋道，由于上市的服務提供商不得不公告其責任，從而導致了不再有人愿意購買其股份。

理解歸理解。但CTO如果事先就明確得知服務提供商不會為故障買單，恐怕會更加打擊CTO向云計算遷移的積極性。如果沒有更多的CTO向云遷移的打算，也就沒有足夠的壓力促使服務商完善其服務品質和鏈條的動力。

“責任必須是共同承擔的，合同雙方都要理性對待”，Reeves說，“如果審視一下云計算，它由我們現有的一些技術構建而成。在技術層面，我們需要解決的是一個個的現實問題。但是關于服務部分，還有很多未完善，相關責任是其中很主要的一部分。”

#p#

不可逃避的灰色地帶

德國科技企業管理學家斯坦門茨20世紀初移居美國，在一家很小的瀕臨倒閉的小公司任職。這時，美國最大的福特公司的一臺電機出了故障，很多人搞了兩個多月也沒搞好。束手無策的情況下，公司請來了斯坦門茨。斯坦門茨用粉筆在電機外殼上劃上一條線，說，“打開電機，在記號處把里面的線圈減少16圈就好。”福特老板問他要多少酬金，斯坦門茨說“1萬美元。”福特老板似乎有“被敲詐”的感覺，斯坦門茨解釋“用粉筆畫條線1美元，知道在哪劃線9999美元。”后話是福特用重金聘用了他。

知道問題出在哪里，怎么解決，才是解決問題的關鍵。云計算也面臨同樣的問題。“云計算最大的安全隱患是安全責任不明確。”Gartner報告顯示。

然而，要想明晰安全責任，就要相應的法律法規做支撐。“目前業界還基本沒有相關的法規可以利用。絕大部分涉及數據違規的案例都以庭外調解的方式解決，也許服務商提供了賠償，但都沒有形成判決或判例。”一位法律界的人士說。據Forsheit預測，未來兩年內，將會出現一個案例在法官面前，其將對安全事故帶來的損失進行明確的概念界定。在此之前，企業還需要在這方面對服務提供商進行推動。

“關于計算機方面的糾紛其實特別多，云計算方面的在這兩年也不少。”王立君律師（此前是一位軟件工程師）說，“法律法規的缺失讓現在的云計算苦不堪言。” 可喜的是，在一些地方已經要求無論是云計算還是其他服務提供商，都要在合同中規定對個人信息的合理保護措施。

現實的說，用戶也并不是希望在遇到問題時得到一筆補償，他們無非是希望服務商受到足夠的懲罰以警戒自己盡量避免故障的發生。但真要到了立法的層面，還是越明確越好。不僅要明確企業用戶和服務提供商各自的權責，而且還有必要明晰數據在國家之間傳輸的限定。

云計算這場革命尚未成功，同志還需加倍努力。

【本文乃51CTO原創文章，轉載請務必標明作者和出處！】

【編輯推薦】

1. 云安全，想說愛你不容易
2. 云計算安全模型與傳統安全模型的差異
3. 遷移到云中去！20家最酷的云安全廠商
4. 四個真實案例 讓你0距離觸摸云安全