自上世纪80 年代起，美国知名企业SUN 公司就提出过“网络即电脑”的概念，此后各大公司和机构陆续探讨大数据时代下的网络以及电脑终端的最终形式，有关云计算的表义虽然看似千差万别，但万变不离其宗，即“云计算”是一种基于互联网的付费商业计算模式。有关云计算安全的问题也随着大数据时代的来临而凸现出来，究其本质是大数据和数据中心安全问题。

《大数据时代:生活、工作与思维的大变革》这本书近期备受推崇。作者维克托在此书中前瞻性地指出，大数据带来的信息风暴正在变革我们的生活、工作和思维。书中以谷歌、微软、亚马逊、IBM、苹果、Facebook、Twitter、VISA 等大数据先锋们最具价值的应用案例，向我们展示了大数据时代对我们产生的影响，遗憾的是该书并没有涉及大数据时代如何确保数据的安全性这个至关重要的问题，而我们将从这个问题入手在本文中为大家介绍一下大数据时代我们所面临的安全挑战问题。围绕着这些可能存在的安全隐患，如何提高数据安全性以及可信度是我们在此重点关注的，我们在此要为大家推荐几套针对不同行业云计算安全的解决方案，希望能为大家指点迷津，更好地服务于企业。

全球以及中国大数据发展

据调查，全球有大约1/3的人口使用互联网，在这接近23亿的互联网用户中。现在大约有6亿6千5百万个网站，而在2003年这个数字还仅有5千万个。每天谷歌都有超过1万亿次搜索量。数据量如此之大，令人震惊。（见图1）：

从图1 中，我们能够看出中国的数据中心是伴随着互联网的发展而发展的。同时我们也发现80%我们能够访问到的数据都是过去2 年生成的，数据呈现爆炸式的增长，这极大的促进了数据中心的建设。IDC 关于中国数据中心市场的研究显示，2010 年中国数据中心总数量已经达到504,155 个，市场总规模达到92 亿美元，IDC预测该市场在2010 年至2015 年仍将保持两位数的增长率，2015 年该市场规模将达到约157 亿美元。2004 年到2008 年，中国互联网快速发展，中国经济建设和公众对信息技术的依赖度越来越高，数据中心的建设迎来了快速发展的黄金期。数据中心的数量不断增加，规模不断扩大。与此同时，行业内越发重视运营的效率和资源整合的能力，建设绿色数据中心成为未来数据中心发展的方向。

据IDC 预测，十二五时期，中国IT 投资规模将达到1,600 亿美元，IT 投资的增长促进了数据中心市场的发展，数据中心的建设升级反过来又将带动包括服务器、存储和基础设施等相关IT 市场的增长。

结合对中国相关市场的研究，IDC 认为中国在大数据领域具有巨大的市场潜力。中国市场的相关业务发展也印证了这一点，越来越多的IT 供应商将中国作为大数据业务发展的热点。IDC 认为在未来几年中大数据市场将有如下趋势：

1. 部分早期的Hadoop 项目面临挑战，Hadoop 迈向商业化

2. 开源软件为大数据市场带来更多机会

3. 大数据推动软件公司间的并购

4. 针对大数据的一体化设备市场迅速增长

5. 大数据由网络数据处理走向企业级应用

6. 大数据创造新的细分市场

7. 出现打包的大数据行业分析应用

8. 大数据推动基础架构横向拓展

9. 中国成为全球最重要的大数据市场之一

大数据不应成为云计算的障碍

云计算（Cloud Computing） 是分布式计算（DistributedComputing）、并行计算（Parallel Computing）、效用计算（Utility Computing）、网络存储（Network StorageTechnologies）、虚拟化（Virtualization）、负载均衡（LoadBalance）等传统计算机和网络技术发展融合的产物，而数据中心的建立则是成就云计算的基础。

虽然各分析研究中心以及专家都对数据中心的发展进行了乐观的预测，但数据中心建设过程中仍布满荆棘，并非一帆风顺。当这些电子资料的数量将达到PB、EB 数量级时，首先存储空间就成为了新的桎梏。其次就是这些资料通常会被以不同类别存放于不同的物理服务器、数据中心上，并且很可能被放置于世界各地，而管理数据中心的终端采用的操作系统、命令行以及管理方式也各不相同，因此这些数据管理起来非常不便。

因此，更好的解决方案出现了，这就是虚拟化。虚拟化确实可以解决很多问题，但在虚拟化过程中大家又遇了新的障碍，这些障碍主要表现为安全问题。这个安全问题其实主要涉及到两个层面，其一是管理虚拟机的资金预算；其二是数据安全。众所周知，新出现的虚拟服务器技术缺乏标准的行业监管手段，这导致人们不敢确定所有的关键任务都可以安全的完成虚拟化。此外，物理界限被打破（例如不再需要ID 卡来进入服务器机房），出现了更多的手段来查找、建立、控制以及移动虚拟服务器，所有这些都在挑战企业现有的安全措施和资金预算。安全应被视为既能获取潜在业务优势又能减少威胁的方式，而不是一种障碍或成本无节制的增加。

同时，在调查中我们也发现如今政府机关、金融行业、跨国跨区企业等机构对自身数据安全的忧虑日益明显，他们采取的防御措施通常比较被动，如何帮助他们优化安全防护策略正是安全厂商的当务之急。而所谓的“公有云安全”以及“智能云防护技术”虽然听起来很诱人，但真正实行起来面临诸多困难，短期内恐怕难以迅速部署。不过，2012 年，“私有云”数据中心高速发展，相关大数据防护方案日趋成熟，一些较为成熟的解决方案和技术已经落地。

^^

建立安全数据中心是前提

正如前文所说，在数据存储达到一定规模的情况下，管理和维护难度就会日益凸现出来，这就必须建立一套可行的管理方案，这就是目前多数企业都在部署的数据中心。

在部署数据中心的同时，数据泄密事件也随之增加，日益频繁。在部署数据中心乃至数据中心虚拟化过程中，我们会面临巨大的挑战，那就是数据泄露。前不久的“棱镜门”时间就是一个真实的实例。大规模的数据泄露会给企业造成广泛的深远影响。而目前的检测和补救手段通常会导致企业业务服务中断。企业因此承受的责任包括通知和补偿个人数据丢失的受害者，面临违规罚款、集体诉讼和公关费用等。这对品牌、业务和客户关系将造成很难弥补的灾难性损失。2011 年至2013 年期间发生了多起严重泄露事件：

1、索尼2011 年集中遭受攻击损失近两亿索尼公司遭受了10 多次不同的数据泄露事件，其中大多数都发生在2011 年，影响到Sony PlayStationNetwork、Sony Online Entertainment、Sony Pictures和该公司其他站点。共有超过7700 万条客户记录遭泄，总损失估计突破1.71 亿美元。

2、Epsilon 邮件地址外泄全球最大的基于许可的电子邮件营销服务提供商Epsilon 4 月份遭到大规模的数据泄露。该公司每年为2500 多名客户（包括《财富》10 强中的7 家）发送超过400 亿封电子邮件。逾6000 万个客户电子邮件地址被外泄，这些客户包括克罗格公司、美国银行、摩根大通、Capital One 和HomeShopping Network 等众多知名企业。

3、EMC 安全事业部数据泄露EMC Corporation 安全事业部RSA 2011 年遭受了最令人震惊的数据泄露。攻击者窃取了有关该公司SecureID 产品的专有信息，这款产品是全球使用最广泛的双因素身份验证解决方案。

4、2012年3 月，全球支付信息被盗信用卡支付中介机构美国“全球支付”公司确认，未授权者3 月初进入它的系统并可能窃取一些信用卡账户信息。此次遭“大规模”盗取，涉及万事达和威士国际组织等机构信用卡用户、大型发卡银行和数家主要信用卡服务企业，波及账户数量暂时无法确定，评估数量从数以万计至超过1000 万。

5、2012年3 月，Gamigo 海外服务器被黑欧洲第二大网游企业，运营多款大型网游和网页游戏公司Gamigo，在今年3 月被黑客攻击，造成部分网络游戏用户资料泄露。官方紧急关闭了游戏服务器、网站和论坛。官方表示所有玩家的角色数据包括物品，已经进行了备份。为了防止玩家账户内的物品失窃，官方将所有账户的密码进行了重置。

6、2012年4月，南卡罗莱纳卫生与人类服务部受攻击据称，美国政府的一名雇员窃取了大约228000 个人的信息。其中一些数据包括连接社保部门的MedicaidID 号码。其他数据还包括电子邮件地址、生日、电话号码等等。内部网络授权用户可以轻易访问这些高度敏感的数据。虽然后来这个前雇员被依法逮捕，但这无疑给当局的信息安全敲响了警钟。

7、2012 年6 月，Linkedln 用户密码泄露今年6 月，职业社交网站LinkedIn 被爆出其iOS 应用程序会在用户不知情的情况下收集信息，并上传数据到公司的服务器。另外，该网站的650 万用户账户密码被泄露。LinkedIn 目前拥有超过1.5 亿用户，所以这次泄露事件影响到的用户数量不会超过10%，即便如此，受影响的用户数量仍然非常庞大。被泄露的加密密码采用SHA-1 算法加密，这种加密方式一定程度上是安全的。但如果用户采用了简单的字典密码，那它还是有可能被破解的。

8、2012 年7 月，Dropbox 账户被盗云存储服务商Dropbox 确认，在今年7 月份，来自第三方站点的黑客获取了部分用户的用户名和密码，侵袭了他们的Dropbox 账户。该盗窃事件起因于小部分Dropbox 用户在该公司网站论坛上抱怨，称自己收到了垃圾邮件，而收到垃圾邮件的电邮地址仅供与Dropbox 联系所用。此后向Dropbox 反映同一问题的用户不断，共有295 名用户在论坛上发布了同样信息。

9、2012 年7 月，Yahoo！受D33DS 黑客攻击今年7 月，一个自称“D33DS”的黑客组织发起了对Yahoo！的攻击。该组织发表申明指出，希望通过此次攻击引起子域名的安全重视。因为雅虎旗下的服务器还有很多安全漏洞，其损害比我们披露的还要多。此次事件，造成雅虎45 万个用户ID 遭泄露。

10、2012 年9月，苹果识别码被窃取黑客组织Anonymous 下属的一个名为Antisec 的黑客团体，声称在今年9 月获得了1200 万苹果iOS 设备的唯一识别码和用户的其他个人信息。为了证实这一点，Antisec 公开了100 万苹果设备的唯一识别码。Antisec 在声明中还说，黑客们是从联邦调查局（FBI）的一名特工的笔记本电脑上非法窃取到上述数据的。苹果设备的唯一识别码是一个由40 个字母和数字类字符组成字符串，每一个识别码对应一台苹果设备。虽然那些识别码本身并没有明显泄露太多的信息，但是大多数iOS 应用开发商也能象黑客们一样通过识别码获得某些其他的信息。

即便你对以上事件从未听闻或者丝毫不了解的话，那么近期的“棱镜门”事件你总听说过吧。数据泄密事件日益频繁，甚至于某些企业故意留出后门，是请君入瓮还是别有所图就不得而知了。数据泄密事件日益猖獗，企业、跨国组织、国家机构不得不开始主动出击，积极寻求破解之道，各种防护技术开始纷纷上马，在此不作过多赘述，

虚拟化技术解脱IT管理人员

面对着日益增多的数据中心以及威胁，IT 管理人员几乎是疲于奔命。虚拟化技术此刻成为IT 管理人员的救星。数据中心正处于快速转型的全新发展期。虚拟化和云计算正在改变IT 部门的服务方式，并创造许多新机会来降低成本、提高效率和加快业务运转。这些创新正在改变数据中心：将物理基础设施转换为可动态扩展和重新配置的灵活虚拟资产池。

根据Network World 的最新调查，62%的受访者计划于年底至少对40%的服务器进行虚拟化，三分之一的受访者目标是60%。一半的受访者已在其基础设施中实施了私有云或计划在未来三年内部署。但许多企业发现在进行数据中心范围的服务器虚拟化和应用程序迁移时，应用程序的安全水平会下降。

数据中心虚拟化过程中，通常会面临以下三个方面的威胁。其一，缺乏物理边界，不利于隔离，超出物理安全控制范围。其二，要时刻更新虚拟环境安全策略，避免出现过多未受管理的盲点。其三，面对更复杂的攻击策略，新兴高级持续性威胁(APT) 不会产生恶意软件传播特征的恶意流量，但能够在整个环境中渗透，长期监视和大规模窃取数据，并在系统层面实施破坏。

针对以上几点，我们来看看这几家在安全技术领域颇有建树的厂商的解决方案和实际案例，从这些解决方案以及案例中，我们能够看出虚拟化环境无法完美兼容传统安全防护软件，流量监控和清洗技术也将成为未来网络防护应用的主流。

^^

迈克菲解决方案

面向虚拟化数据中心的可扩展网络安全

为了解决企业面对虚拟数据中心网络安全的威胁，迈克菲推出了McAfee Network Security Platform（迈克菲网络安全平台）解决方案，它能够整合高级威胁检测、可扩展的嵌入性能，以及可跨物理和虚拟环境无缝运行的下一代网络入侵防护系统(IPS) 控制。

增强集成管理度性能成倍提升

为了集成统一管理，该平台集成了McAfee ePolicyOrchestrator (McAfee ePO) 软件，可支持统一监控整个企业的风险与合规，包括基于系统漏洞、网络防御和终端安全等级的基础设施风险评估。

该安全平台采用高效的检测引擎和本地10 GbE 连接。它能够在大容量扁平化网络结构中保持线速性能，即便在严格的安全策略和可变的真实流量条件下依然如此。与许多替代解决方案相比，该平台吞吐量可提高50%，为现代数据中心网络结构提供稳定的一致性能。

新的平台XC Cluster 可轻松扩展到80 Gbps 吞吐量和4000 万个并发连接，有效地将现有ISP 基准提升一倍。用户的IPS 解决方案可以随着虚拟环境增长而扩展，从而消除昂贵的“淘汰并更换”模式的升级。负载均衡和故障转移功能支持最佳效率和高可用性。通过与VMware vShield API 全面整合，该平台可以在虚拟机上和虚拟机之间检测流量和执行策略，而不用考虑其物理驻留位置。本地访问VCenter 工具让您能够跨虚拟环境整合网络安全。

该平台执行身份感知策略，能够跨物理、虚拟和云环境准确、自动、一致地应用策略。安全配置文件可以动态地随虚拟机一起迁移，并且可跟踪每个虚拟机的物理主机驻留位置。

检测全方位化细化多租户选项

通过采用超高效的检测架构，该平台能够全面识别攻击，这些方法包括：基于签名和统计的异常检测，包括状态检测和基于漏洞的签名；协议异常检测，可基于行为和状态识别偏离正常使用的行为；启发式分析，对确定僵尸感染和SQL 注入攻击特别有效；来自迈克菲全球威胁智能感知系统(McAfee Global Threat Intelligence)的不间断实时威胁研究和IP 信誉技术，使用签名和基于行为的扫描来减少未知威胁风险，进而实现不间断保护。借助迈克菲全球威胁智能感知系统文件和IP 信誉，可实时隔离和拦截威胁，并弥补安全防护间隙。

该平台可以为超过1100 多个应用程序提供7 层检测和识别，包括细化监控子应用程序，如日益增长的Zynga Facebook 系列游戏、Yahoo! Mail 的IRC 聊天等。对于每个应用程序，该平台还可基于包括风险评级、威胁总数和带宽消耗在内的基本指标提供分析结果和图形化报告。同时，增强的规则定义可简化应用程序访问控制，并能够将应用程序活动与网络攻击相关联，以支持更智能的响应和执行决策。面向电信和服务提供商的多租户特性，该平台细化了多租户选项，为每部设备创建多达1000 个虚拟IPS策略，每个策略都包含细化的策略控制和独特的规则集。该解决方案还包括针对移动服务提供商的特性，支持为独立客户或服务管理网络策略。

通过大规模发展虚拟化和私有云实现企业数据中心转型，同样需要采用创新的网络安全方案：即能够将全面的威胁检测模式与超高的检测效率、可扩展的性能、内置虚拟化技术以及单一控制台管理完美结合。迈克菲现已推出这样的解决方案。

^^

Radware解决方案

与传统的软件架构相比，云计算在运营和支持方面的成本更低廉，同时又能够获得更快速的部署能力和近乎无限的伸缩性等收益。当前的云分为三种：私有云、公有云和混合云。私有云专为客户单独使用而构建，因而可以提供对数据、安全性和服务质量的最有效控制。但在企业中私有云的部署代价太大，因而用户越来越倾向于公有云。公有云是为真正的多租户环境所设计的，能够以低廉的价格为最终用户提供更有吸引力的服务，创造新的价值。但随之而来的安全问题却让许多企业望而却步。

对抗DoS/DDoS攻击高效识别攻击流量

DoS（拒绝服务式攻击）/DDoS（分布式服务攻击）等已威胁互联网多年，在云时代，此类资源消耗型攻击给企业网络和应用造成的损失有显著增加。作为全球领先的应用安全解决方案提供商，Radware 掌握了应用及网络安全领域的多项核心技术，可以为用户提供确保关键业务应用的全面可用性、最佳性能与完善安全性的解决方案。Radware AMS（攻击缓解解决方案）正是全球广大用户对抗DoS/DDoS攻击的有效保障。

Radware AMS 是一种实时网络和应用网络攻击缓解解决方案，能够实时保护企业应用基础架构、网络和服务器免受网络及应用宕机、应用漏洞攻击、恶意软件传播、信息泄露、Web 服务和网页篡改等攻击的侵扰。DefensePro是Radware AMS 攻击缓解系统中的重要组件，拥有对网络攻击包的卓越处理性能，可以高效识别合法流量与攻击流量，有效保障关键应用带宽及限制垃圾流量，保护企业应用基础架构免受各种网络攻击的影响。

深度整合DefensePipe 实现流量清洗

为进一步保护云时代的数据安全，Radware 还推出了可有效覆盖云管道的安全解决方案DefensePipe，对于云端到用户网络的端到端安全市场而言，DefensePipe 是极具创新意义的解决方案，从本质上提升了RadwareAMS 在云端的能力，对本地及云端网络提供监测及保护，在遭遇超大流量攻击时自动激活整个攻击缓解机制，有效应对任何类型及大小的攻击威胁。

Radware 将本地AMS 与云端DefensePipe 进行了深度整合，可以覆盖其它安全解决方案的盲点，让云端缓解机制更快速、更精确的运行，使得企业可以从容应对企业云管道或Web 服务通道被DDoS 攻击流量阻塞的威胁。在遭受攻击时，任何可疑网络流量会在第一时间被转移到DefensePipe 的云端清洗中心，清洗后的流量将被重新送达业务网络，以确保企业网络及其资源进一步远离威胁；一旦攻击停止，网络流量将重新按照正常路径被送达企业网络。因此，可以很大程度上缓解各类网络攻击，为企业提供全方位的安全防护。

^^

趋势科技案例

助力深圳电网公司迈向绿色IT 之路

深圳电网（以下简称：深圳电网）公司最高供电负荷（1367.5 万千瓦）位居全国第四、南方电网第一，同时也是全国供电负荷密度最大、供电可靠性领先的特大型城市电网。2012 年，建成110 千伏及以上变电容量346.2 万千伏安、线路长度145.4 千米。然而，随着业务的全面增长，应用的扩展，不仅在能耗、机房空间，而且在IT 管理方面都给深圳电网带来了的全新的挑战，而虚拟化的出现为深圳电网带来了新的选择。在国家绿色IT 的指引下，深圳电网率先在公司内部开始推进服务器虚拟化进程。

为了应对服务器在虚拟化环境中不断涌现的安全挑战，深圳电网携手全球服务器安全、虚拟化及云计算安全领导厂商———趋势科技，通过趋势科技服务器深度安全防护系统（Deep Security）的“无代理”防毒技术的部署，发挥VMware ESXi平台虚拟化性能与成本优势。在全面降低资源占用的基础上，低能耗、安全稳定的虚拟化平台为深圳电网把国家绿色减排的号召转变为最佳实践。

传统防毒与虚拟化环境不兼容脱离安全控制

深圳电网非常谨慎地对虚拟化平台上的各种安全解决方案进行测试、调研，在试用中发现传统防病毒软件与虚拟化平台有着严重的兼容性问题。在虚拟系统上安装了传统防毒软件之后，但由于它们并不是专为虚拟化环境设计的，所以在运行全盘扫描时，会对虚拟化平台的硬件资源带来巨大的压力，轻者影响业务的正常运行，重者则会导致虚拟化环境崩溃。

另外一点是，虚拟化后，在虚拟环境中，网络边界不再泾渭分明，传统安全设备（如入侵检测系统、入侵防御系统、防火墙等）无法监测到虚拟层的通信流，在虚拟层内部产生了安全“盲点”。虚拟机的安全管理极有可能脱离了原有的控制框架。深圳电网使用虚拟化可以将特有的动态资源分配技术（DRS），一旦vCenter 发现某个主机资源不足以运行多台虚拟服务器时，能够动态把虚拟服务器迁移到其他主机上，保障业务不间断运行。

经受考验梦想成真

通过VMWare 官方网站的验证和第三方评测机构的推荐，深圳电网将目光聚焦在趋势科技的服务器深度安全防护系统上来。趋势科技Deep Security 是第一款能够在VMWare ESXi 平台下提供无代理防护方案的产品，它能把安全防护组件以虚拟层安全网关的方式部署在ESXi上，有效地解决了用户之前遇到的各种问题。

为了验证趋势科技Deep Security 的技术可行性，深圳电网邀请趋势科技参与了虚拟化平台安全防护方案的测试。深圳电网在充分验证了趋势科技Deep Security的先进技术后，最终确定在现有虚拟化平台上全面部署了Deep Security无代理防护解决方案。

^^

用户心声: 深圳电网

经过深入细致的测试，深圳电网的IT 部门对趋势科技Deep Security 给出了极高的评价，并对无代理功能的优点进行了总结，其中包括以下三个方面：

第一，通过Deep Security 的虚拟安全网关，能够在ESX 底层即可对虚拟化环境的病毒进行查杀，解决了传统方案不能监测虚拟交换机内部风险的致命问题，并且查杀的效果更优于传统的客户端方式；

第二，通过Deep Security 的无代理虚拟补丁技术，能够在ESX 底层即可实现对所有虚拟机的补丁防护，并且通过非侵入式的部署方法，保障业务运行的不间断性；

第三，通过Deep Security 的无代理杀毒技术，有效解决了ESX 环境下定时全盘杀毒的资源风暴问题，这完全符合了第三方机构（Tolly）发布的测试结果。实际的测试结果是：采用趋势的Deep Security 进行杀毒时所占资源，仅是传统方案的10%（随着虚拟机数量的增加，效果更加明显）。

深圳电网的黄工感慨地说：“当解决了安全系统对虚拟化平台带来的性能问题后，我们可以更加放心地把更多的业务系统迁移到虚拟化平台上。相对于原有的传统防病毒方案，采用趋势科技的Deep Security 可以把虚拟化密度提高2 倍以上，使我们能够更好地整合硬件资源，不再担心机房因为业务膨胀而无限扩张，极为符合国家对电网公司的绿色IT 要求。”

专家声音:锐捷网络

“我们在云管道的建设中，用国产的国密局加密体系（多种加密算法，非公开）替代传统的DES、3DES、AES 等国外公开算法，也就是将VPN 的核心技术国产化，这样保证VPN 的核心技术由我国自主掌控。

”实际上在互联网上面传数据的话，绝大多数方式都是通过VPN，这样随着企业更多的应用国密局加密体系，也就能够把企业大部分的业务交付工作武装起来。在云计算网络与应用安全方面，锐捷网络自2009 年开始即与国家商用密码管理办公室开展合作，成为商密产品生产和销售的定点单位。随后的几年时间里，锐捷网络全线路由器产品相继通过国密办相关认证资质。

锐捷网络路由器基于商密算法的3G/4G 企业网解决方案和VPN 解决方案，以对用户云业务的充分理解和对用户体验的持续优化，得到了国密办专家的认可和推荐，帮助企业以最高安全级别的方式实现云管端间的端到端业务加密，真正将国产安全技术应用到云管道安全建设中，通过多种我国自主发明的安全加密算法应用，避免使用传统公开的国外技术，在云计算的建设中能够极大避免诸如“棱镜门”事件的威胁。

建立完善的安全机制

我们总是强调威胁来自于外部，其实来自于内部的威胁才是最致命的。在大数据时代里，我们所要面对的危险决不仅仅是外部攻击，内部的任何差池都会造成巨大的危害。

正所谓千里之堤溃于蚁穴，威胁其时就近在咫尺。安全厂商首先要做的是让自己成为客户的受信赖顾问，给客户提供合理的安全方案，包括硬件、软件以及人员配备方面的可行的优化方案。

除了技术方面的事之外，安全厂商还要让客户自己不断提升预防安全威胁的能力。比如说目前的纷繁复杂的钓鱼手段，还有包含了非常吸引人的信息或伪装的很像是你熟悉的人的电子邮件，以及拾取扔在公司门口附近的U 盘并且好奇地用公司电脑查看其中信息这样的手段。花样翻新，层出不穷。企业的安全部门，应该快速搜集相关的信息，定期对自身员工进行培训，让他们了解这些攻击模式，学会预防。

另外，针对目前越来越多地BYOD 趋势，员工或客户拜访时自带的笔记本、平板电脑或者智能手机。企业如何对其进行安全管理，而又不耽误员工或客户正常应用，这也是一个非常值得关注的话题。总之，安全防护不是仅仅从上方做起，要自上而下，通力合作，不可忽略每个环节，才能真正起到防护的作用，防患于未然。

^^

云计算的回报率

据IDC 统计，截至目前为止，云计算已经在全球创造了14,000,000 份工作机会，并且云创造的IT 创新每年可产生1.1 万亿美元的新业务营收。

~

从表中我们可以看出，自2008 年服务器增长数量基本持平，没有过多增长，而管理费用和电源制冷设备费用却在不断增加。硬件维护成本不断增加，性能落后于新服务器，旧服务器的能源效率较低，在服务器生命周期末尾电源/ 冷却成本上升，旧的硬件不支持新的安全功能，因此迫切需要更换新型服务器以及采取其他方式来替换旧的数据中心。通过淘汰旧数据中心，部署新一代数据中心来替换旧硬件设备，既保证节省费用，相关设备及技术的改善又进一步增强了云计算以及数据中心的安全性。

另一方面，在进行有效防护前，云中心的安全面临极大风险。据B2B International和卡巴斯基实验室2013 年春季联合进行的2013全球企业IT 安全风险调查显示，针对性攻击是最为危险的网络威胁类型之一，因为参与准备和攻击的都是专业网络罪犯。虽然所占攻击类型份额较小，但造成的损失却占总体攻击类型的41%。

通过以上数据显示，除了以上攻击模式，未来还可能有其他更新的攻击模式产生，损失不可预估。而从前文中的解决方案和实际案例中，我们也可以得出服务器虚拟化后，企业获得的不仅是安全方面的技术更新，还有就是设备购置以及运维费用的高回报率。虽然我们面临着企业商业数据不能轻易外泄的尴尬局面，很难通过正当而又免费的渠道收集到更新硬件设备和部署合理优化的安全方案后的资金回笼状况，但是据这些企业透露采用以上安全厂商的产品和方案后，其投资回报率是非常可观的。

公有云计算安全路在何方

2013 年云计算是企业业务转型的关键，而在数据存储、数据中心虚拟化以及数据分析和数据管理中，安全问题首当其冲，各大上游厂商、安全厂商以及研究机构分别推出了相异而又相近的云计算安全和决策。

虽然云计算安全技术目前还处于起步阶段，但我们仍然能够看到多数企业仍然在大力发展私有云安全方面做着不懈的努力。而对于公有云和混合云来说，却很少有企业用户愿意去尝试实施公有云安全方案，究其原因是出于企业数据安全着想。

目前大多数企业都对公有云安全解决方案心存疑虑，这主要是出于对自身数据安全的考虑，他们不会把自身的数据对外公开，这些企业数据能否被安全技术公司这样的第三方公司严格保守这需要大家重点关注。无巧不成书，在2013 年趋势科技CIO 大会上就有很多客户表达了上述观点，这不由得让我们联想起最近闹得沸沸扬扬的“棱镜门”事件。出于自身原因，企业用户很可能不会允许安全技术公司采用“嗅探器”之类的技术来窥探自己的数据，甚至是数据流量变化等。甚至还有“智能云防护”的提议，这不由得让我联想起“终结者”中的“天网”系统。我并非患有技术恐惧症，但还是要善意地提醒大家，我们往往在解决了一个问题的同时会引出另一个问题。

言归正传，在构建公有云过程中，锐捷网络公司介绍了他们的思路：在云管道的建设中，用国产的国密局加密体系（多种加密算法，非公开）替代传统的DES、3DES、AES 等国外公开算法，也就是将VPN的核心技术国产化，这样保证VPN 的核心技术由我国自主掌控。实际上在互联网上面传数据的话，绝大多数方式都是通过VPN，这样随着企业更多的应用国密局加密体系，也就能够把企业大部分的业务交付工作武装起来。这也不失为一种解决方案，但这仍然不是我们所谈论的“ 广义云”概念，本质上仍然是私有云。

云计算是个开放的平台，大家都说安全防护似乎更简单，但事实并非如此，其难度和复杂程度是难以想象的，这也是至今公有云安全方案至今都没有落地的原因之一，目前的解决方案和案例大多仍停留在私有云方面。随着互联网以及数据中心的不断发展，我们迫切想听一听更多的大数据、互联网以及安全巨头们对此的看法，看看他们是否能够在近期推出具体且实际的公有云安全防护案例供大家分享。