其次,安全服务企业的业务模式将会由软件/硬件转化为软件/硬件+服务。在“云安全时代”,用户可能仅需要在本地安装很小的客户端,更多的计算与资源将有赖于云的方式来实现。这就要求安全企业们把主要的业务方向由卖出更多的产品转变为提供更优秀的服务,在服务中不断获得高额的增加值。
中国云安全服务尚在起步期
《通信世界周刊》:Amazon、Google、IBM、微软等企业已经在云计算及云安全上有了不小的突破,目前国内云安全服务的现状以及何时能成为关注点?
PaulStich:目前国内的云安全建设还停留在某些单一的安全厂商(尤其是防病毒厂商)借助其安全产品中提供的简单功能提供云安全防护的阶段。这种云安全服务通过最终用户提交可疑样本或代码来实现云安全的广泛参与性。但是国内目前的云安全很大程度上受限于安全厂商相关产品的使用范围,规模并不算太大。而国内安全厂商相对有限的资源也使得他们对云安全的响应时间不够及时,限制了云安全所能带来的价值和优势。相信在今后 2 年内,随着安全厂商和电信运营商之间合作的不断加深,云安全也会逐步成为安全防护的主流方式,占据最为重要的地位。
唐洪玉:国内的安全厂商都纷纷推出云安全解决方案,为用户提供相应的安全服务;电信运营商也进行了一些尝试和探索。应该说,国内的云安全服务,目前仍处于市场引入阶段,还未到达成长阶段和成熟阶段。
常晓东:前面讲过,因为云形态的不定性,尤其是我们尚处在受Google、Amazon、Salesforce等国外企业影响、引导状态,当前,国内云安全领域整体的观望成分更多些。随着云计算及云服务技术成熟、尘埃落定,云安全将迅速成为焦点。
诸葛永斌:自从云安全概念提出以来,国内安全企业纷纷跟进,一方面是高调的宣传云计算概念,一方面争相推出自身的云安全产品。目前,瑞星、江民科技、金山、360安全卫士等都推出了云安全解决方案。但是,云安全作为一种新型的解决方案,在国内用户的普及度比较低,其原因是:一,现有云安全解决方案基本上是在原有的安全软件基础之上的,在一定程度上弱化了用户对于云安全的认识;二,云安全的技术仍不成熟,云安全必然要建立在“内核级自我保护”等核心技术的基础上才能显出威力,没有这些核心技术,杀毒软件即使查找出病毒也无法予以彻底杀除,这让用户很难对云安全有十足的信心。但是,可以预计的是,随着云安全技术的不断成熟,云安全的概念被更多的人所熟悉,国内的云安全服务有望在五年之内成为关注点。
刘辉:随着运营商云计算基础网络、数据中心等逐步开始建设,众多安全厂商都已经提出了各自的云安全服务理念,天融信作为国内领先的安全服务厂商,早在2007年开始跟某省电信合作,开展了云安全服务的建设,并已经运营商实现了SaaS自助服务系统。
今年的RSA2010年会上,云计算被重点讨论。未来企业在迈向虚拟化和超扩展化的云演进中,随着云安全的步伐跟上,各地的人们将更加信任云,云安全服务指日可待。
《通信世界周刊》:云安全对国内网络安全影响有哪些?在其应用过程中的价值又是什么?
PaulStich:正如之前提到的那样,云安全的发展会促使本地电信运营商和安全厂商之间的合作,加速安全企业的发展。借助云安全的发展,可以加快国内安全防护体系的国际化,使得国内的安全防护水平快速达到国际领先水平,消除了安全防护的地域性特点。而云安全这种新兴手段的兴起也使得国内趋向于饱和的安全防护市场开辟一片新的市场领域,扩展了国内安全防护的市场份额。
唐洪玉:云安全,机遇和挑战并存。基于云计算的云安全服务可充分利用云计算平台的灵活架构和高效运算能力,降低安全服务的交付和支持成本,提升云安全服务的服务效能。云安全这种技术和商业模式的发展,会使网络安全的产业链进行整合和重组,不同的角色应该寻找各自在云安全产业链的位置和角色。在这个过程中,不能很快调整适应的机构将会成为落伍者。
诸葛永斌:首先,云安全有助于国内安全厂商之间的沟通与合作。云安全本身是一个开放的系统,只有在拥有大量用户资源的基础上才可取得明显效果。这就有助于安全厂商采用兼容“探针”系统,即使用户使用不同的安全软件,也可享受云安全系统带来的成果。
其次,云安全将促使安全厂商更多的把精力投入到服务上。由于云安全本身“瘦客户机”的要求,靠卖软件来获得利润的道路已经变得越来越窄,如何提升自身的服务水平和用户体验将成为其关注焦点。
最后,云安全将使安全厂商更加关注网络的效率。IDC及互联网企业用户投资大型安全系统时,通过云安全将极大提高系统的使用效率,将安全系统的能力提升到极致。
刘辉:云安全改变了国内安全厂商单打独斗的局面,将会整合所有厂商及国家相关的安全资源,同时也改变了以往用户单一的安全防护模式,使之成为加入系统的用户既是服务的对象,也是完成分布式安全功能的一个信息节点,即参与者越多,终端用户就越安全,而整个互联网的安全系数也就大大增强,最终为互联网信息搭建一个无缝透明的安全体系。
同时在云安全的保护下,所有用户都是互联网安全的主动参与者和安全技术的革新者,同时也是云安全的即时受惠者。云安全的主动参与者越多,安全信息库就越丰富完善,防护效果自然就越强大。由于云安全技术的引入,必将引起终端系统安全管理和资源释放的重大变革。
常晓东:云安全是云计算、云服务的衍生体,无论是技术形态还是服务形态,都将紧密绑定其主体。主体变革,将导致云安全技术超越于传统的网络和信息安全技术,发生变革。这将给国内网络安全领域设置新的难题和挑战,前期的研究和投入将成为不可回避的事实。而一旦云安全得以有效解决,势必推动云服务的应用和推广,影响深远。
建立互利共赢的云安全产业生态
《通信世界周刊》:您认为目前是否有成功的云安全服务模式和解决方案?
Paul Stich:目前国内的云安全服务还处于初级阶段,没有特别成熟的服务模式和解决方案。而在国外,借助国际专业的安全防护公司和大型的电信企业之间的合作,已经有一部分相对成功的云安全服务模式和解决方案存在。借助大型电信企业提供的云安全基础架构,国际专业化的安全公司能够提供对应的安全服务支撑。而电信企业的广泛用户群正是云安全网络防护体系中积极的参与者与利益获得者。通过合作,电信企业能够为其客户提供专业化的安全防护服务,而安全厂商也能够建设成熟、全球化的云安全防护体系。
唐洪玉:目前云安全解决方案已经成型,绿盟便提供了多种类型的云安全服务,如通过信誉服务的机制对外提供针对互联网的信誉查询服务,避免用户访问不安全的互联网资源(In Cloud 模式)。同时,绿盟还通过互联网安全监控平台向网站监管者和拥有者提供互联网网站的安全监控服务,一旦有安全事件发生,绿盟进行确认后会立即通知相关的人员即时进行处理和响应(From Cloud 模式)。
常晓东:目前谈“云安全服务模式和解决方案”,特别是“成功的云安全服务模式和解决方案”,为时太早,至少是趋于片面的。谈这一话题,前提首先是要对云有统一的、清晰的定义,如果主体不清晰,其衍生体是很难界定的。
刘辉:在没有形成规模、给用户带来实实在在的效果前,是不可能有成功的云安全服务模式的,各安全厂商都在探索尝试阶段。形成贴近用户需求,并且切实可行的解决方案是云安全厂商今后共同努力的方向。
《通信世界周刊》:运营商和设备厂商在云安全的实施上扮演什么角色?机会有哪些?
黄元飞:运营商在云安全方面有天然优势,可运用云安全对社会提供增值服务,可向用户提供按需定制的个性化服务,如恶意代码防范、流量清洗、安全代维、垃圾信息(邮件、短信等)清理等。设备厂商可与运营商合作,提供设备租赁和技术支持。