中科大俞能海教授：信息安全遭遇双向风险

ZDNET至顶网CIO与应用频道 06月18日 视频采访（文/丁慧茹）：“在云计算应用层面，安全的担忧是双向的。一方面云服务使用方担心对方对自己信息的保护，另一方面云服务提供商也担心租用方是否可靠。”中国电子学会计算专家委员会委员、中国科技大学信息处理中心主任俞能海教授在第五届中国云计算大会期间接受ZDNet的记者采访时如此描述云计算的安全问题。

在采访中，俞能海介绍了目前安全问题的聚焦点，但是也由于云计算的日益普及，解决安全的技术问题和打消大众的疑虑也是势在必行。俞能海也给更多的人一个建议，其日常我们所常用的云备份等都有安全问题，安全应该是时刻注意的事件。

同时，据介绍，俞能海所在中国科技大学也在研究相应的技术，诸如云备份时的上传文件的隐私设置等，也已经有了一定的成果。

以下是ZDNet记者对中国电子学会计算专家委员会委员、中国科技大学信息处理中心主任俞能海教授的访谈摘要：

ZDNet：各位网友大家好，这里是ZDNet在第五届中国云计算大会的采访间，我们今天请到的嘉宾，是中国电子协会云计算专家委员会委员，云安全组组长，中国科学技术大学信息处理中心主任俞能海教授，先跟我们各位ZDNet的网友打声招呼。

俞能海：各位网友下午好。

大数据是来源，云计算是手段，大带宽是通道

ZDNet：那么其实应该说，云计算大会已经开了第三天了，那么其实我觉得可能今天的主题，确实会引起大家的一些关注，像大数据、大带宽都被提出来了，俞教授您对于今天这样的一个主题有什么看法。

俞能海：大家知道今年的会已经是第五届了，应该说我是这五年来一直是跟踪参与的。

ZDNet：每年都来。

俞能海：特别最近几年，我一直在主持云计算安全论坛的，算是执行主席或者主席。应该非常有感触，特别是今年它提出这样的一个命题，叫做大数据、大带宽，我个人这么理解的，如果说大数据它是不由人们的意志为转移来了，而且我个人的观点是什么，并不是说我们今天说大数据，大数据才来，事实上它早已存在我们生活中间，比如我们大家知道，搞数据库的，以往结构化的数据进行处理，到后来我们有半结构化数据，或者说现在我们叫做非结构化数据，那么大数据也有很多特征，那么这些特征，它和我们云计算的关系是什么呢，我说云计算就像我们在修路，我修路上面要跑车，我可以把车理解为数据，只不过我现在的数据太多了，我得要有新的办法来处理它，否则的话要发生交通拥堵，是不是这样子。

ZDNet：是。

俞能海：还有一个问题呢，就是说我数据并不是我的目的，人作为一个信息获取的载体，他要获取信息是关键，云计算提供手段，它是我们大数据的技术支撑，它不是我们的目的，我们希望从大数据中间，要找到我们所需要的信息，为我所用，这是我们的一个观点，那么为了获取这样的东西，我们人希望什么，我发布指令上去以后，在我不知不觉中间，你就给我提供了数据了，这就对于我们获取速度提出要求。那么我们现在的话，实际的应用场景，我们可以发现，有的场合并不如人意，像今天李院士讲的，我们在任何一个城市，上网发生掉线的现象是经常存在，带宽有限、带宽受限，这是一个现象。我们高院士也给了我们一个重要的信息，现在数据很大，90%以上都是我们音视频数据了，可是这些数据，它对于带宽要求非常大，我们小到孩子玩游戏，看我们电视是过去的普通电视看到高清了，这些都需要什么，都需要带宽，对于用户来讲他不管这些，他希望获取的是高质量的、非常清晰的，甚至是3D的，但是我随叫随到，挥之即去、招之即来，这是我们的需求。

ZDNet：所以其实俞教授，很形象，将三者的关系说很清楚了，其实总体来说对于我们来说，我不关心云计算你怎么做，我只关心最后我能获得什么。

俞能海：对，是这样的。

云计算安全引发用户与供应商之间双向担忧

ZDNet：那其实但是这中间确实会有一个问题，像您之前也提到，您会关注在云计算安全这一块，那也就是说我们获得过程当中会有一些担忧，我会担心我的安全问题，所以您帮我分享一下像现在这种云计算的安全的话，它会有哪些方面的问题。

俞能海：应该说云计算安全，它是随着这种整个技术的发展，它带来了一定的问题。我个人理解，云安全的问题它是在已有技术基础之上，随着新的特征出现，采取了一些新的办法和手段。比如说我们看到我们云计算安全它带来哪些特征，第一个它有一个子池的概念，我们在这里面还有一个什么，希望是大带宽的，希望我们可以是弹性配置，我们还能收到钱，还能够有自助服务还能收费，这些都是它的特征，我们经常讲的云计算，希望是像水一样，像我们自来水一样，我们把它龙头一打开就开了，我们希望计算能力要多少就给我多少，你收我钱不怕，没有关系，就像发点卡一样，这种概念在很多的例子都提到了。所以我们从这样的特征分析，我们会发现，虚拟机怎么样能够资源共享，我们把我们的物理设备要分成很多虚拟机，共享虚拟安全就是一个大事，我觉得这个问题很关键，如果这个问题解决不好很麻烦。还有一个，我现在的用户是可以根据我的需要，租用我的云计算，进行弹性配置的。

ZDNet：问题又来了。

俞能海：问题又出来了，对不对，我不知道你这个人是不是一个合法用户，你是不是一个黑客，这些又是一个问题了。所以我觉得这样的一个问题，都会给我们带来了一些新的思考，我们还有一个就是利用这样的一个云计算的环境，我们还能做一个什么样的事情，就是说希望通过云计算环境，能够做我们想要做的事，而不希望有一些现象出来，比如说黑客，比如说我们不欢迎的用户他来冒充，最后把我们整个系统弄乱，是这样的问题。

ZDNet：对，所以其实我觉得这个安全还是一种双向的担忧，比如说我的用户用云计算其实我也挺担心的，我不知道对方你能提供给我的，是一个什么样的环境，和我同时享用这个云计算服务的又是什么样的人，但是呢，我不知道云计算服务提供的这个对象是谁，这也是挺担忧的问题。

俞能海：是的。

ZDNet：其实像现在这么看，刚才也提到这种，其实这好像和传统的安全，我们以前说传统的安全，好像更担心这种主要是黑客的攻击，这两者的一些，你能帮我们再详细的分析一下，这和传统的这种安全问题区别在哪？

俞能海：这个问题我想能不能这么回答，应该讲是，我刚才讲了，从基础手段这个层面，是一种继承的发展，它不是一种全盘抛弃，不能把过去的安全和我云安全这种截然分开，从技术手段也不是这样子。那么由于云计算它的应该叫做虚拟机，虚拟配置这样的一种现实存在，或者技术特征，它会给我们带来什么样的问题，我们怎么样去配置它，比如说我一台机器，我一台机器服务器我可以配置50个虚拟用户，那么人往往做的一件事叫什么，叫偷懒，比如说我50个配置，我这个基本配置到底怎么配，一种最简单的办法，我50个机子配置都配置一样，那简单，那好，我现在是一个用户，第一个机子是我配置的，我肯定知道我是怎么回事，那好，我就可以做一个合理的推测，第一个推测很简单，我就认为剩下的49个和我配置一样的，那这就麻烦了，对于另外的49个就有威胁，这是一种；另外一种，这种配置它可能有规律可循，它可能遵循某种规律，看似随机，但是它实际上不是，比如我们可以想象一个现象，大家可能经常会犯的错误，我们的银行卡都是用生日，用自己的、孩子的或者其他人的生日，这种现在是存在的。

ZDNet：有一些信息。

俞能海：或者是0、1、2、3、4、5、6、7、8、9，看似很土，他自己觉得没有关系，实际上这就有安全隐患了，第一个我觉得是配置问题，第二个就是我们共同租用，比如说你我两个共同租用到虚拟机，我们租的是一台的服务器，我知道你的数据很重要，我是黑客，我俩都进去了，那好，然后我就在我这一块，把你的出口给堵住，叫（D-DOS）攻击，我就把你堵住，让你就没法工作。

ZDNet：反正我就搞破坏。

俞能海：反正我就搞破坏，这是一个很大的问题，还有一个我说这个虚拟机，它有一个审计，我怎么样让一些合理的用户、有资质的用户你能够进来，否则你不能进来，对不对，还有虚拟机里面它还有一个，比如说我如何管理这些虚拟机，我这些管理程序，它应该享有最高级别的安全，这些如果它的安全都没有保证我怎么办，所以今天上午，我们正好也是在云计算安全论坛里面，也有很多专家提到这样的一些概念，我们也很欣喜的看到，在过去一年中间，我们国家有一些自主产权的产品，从可信计算的角度，来解决这样的一些问题。

ZDNet：确实是有一些问题。

数据失控问题使用户隐私无处可藏

俞能海：这是我觉得共享虚拟安全这是一个大问题，还有一个问题，就是数据失控，什么叫数据失控，现在我们知道，如果说你现在有手机，存有很多你个人的、朋友的一些电子信箱或者电话号码，如果你要换新手机你怎么办。

ZDNet：迁移。

俞能海：你就想一个办法，我现在想象是安全的，我就把它传到云上去，云上去以后，然后我另外再用手机把它拿下来，这个过程安全吗，不安全，为什么，但是我们人都是很善良的，善良的想象中，我们想的是肯定你有安全手段的，那我觉得这就不一定了，是不是这样子，所以就是说把我们的信息放上去的时候，它这个我们对于我们这个信息存在什么地方，在物理上是不确定的。过去不是这样的，我家里放一台服务器，就在我的房间里，我看得见、摸得着，不担心，可是如果这样的情况，是不是有问题，这就很麻烦，第二个问题就是说我们在数据，在这一块的话有一些隐私，会去保护它，我今天觉得大数据环境下，大数据环境下它的特征告诉了我们什么问题，它给我们带来很多便利的同时，它从另外一个角度，让我们的隐私无处藏身，新的手段不断出现。你比如说我们的数据量大，变化快，或者数据来源比较快，还有我的变化多样性，以及我如何挖掘有价值的这样的一些东西，它都是我们讲大数据的四个典型特征，好，我前面三者，它就蕴藏着让我们比较方便的，我多角度、多种形式的来对于一个现象进行描述，我会用这样的一个语言，大家可以注意到一个现象，比如我们现在，比如说我们电视台，它换画面没有声音他给你的信息量和画面有声音，有解说给你的信息量是不一致的，特别我们说MTV，MTV就是一个演员唱歌，他在一个背景下唱歌和在单独唱歌，只听到声音效果是不一样的，获取的信息量是不一样的。这里面就是什么，从我们隐私这个角度，保护的角度，和数据失控的角度，他往往就能够通过这种多种方式，能够精确的知道你的想法、你的意图。所以我说大数据有很多好处，但是也同时挺恐怖的。

解决云计算安全问题应以管理为主技术为辅

ZDNet：其实也挺恐怖的。所以我觉得，刚才俞教授也提了几点，一个是说我们使用云计算，其实你还得担心一下和你同时使用这个资源的是谁，可能是一个敌人，还有可能带来其他大数据的一些问题，比如说从您的研究来看，和您的观察，是否可以给大家一些解决思路，我们怎么能够稍微好一点的把这个安全问题，掌握在一个可控的范围之内？

俞能海：这里面怎么说，因为安全问题，安全界都有这样的一个共识，就是叫什么，七分管理、三分技术，所以从整个安全角度，实际上这个管理或者法规建设，是非常关键、非常重要的，特别是围绕云计算作为支撑的，面向大带宽是希望你获得非常好的用户界面，有好的界面，还有我觉得大数据它这里面，是我们的一个处理对象，我们通过它获取，但是这里面我们的隐私问题，在这里面，我们如何通过我们的研究，能够即获取了信息，同时对于我们隐私能够有一些保护，你知道你该知道的，你不要说出去。

你比如说我们每个人的手机，对于运营商你就没有隐私可言，但是隐私这个，比如说我们安全这件事情从法规建设的角度，它毫无疑问非常关键，那么现在，根据我们现在的了解，我们也做这方面研究，从政府管理机构，从企业界，从国际标准，从学术界都在进行一些研究和探索。那么当然，有些方面是国家政府部门的事，那么从我们搞技术层面的，就是我们想管好我们30%的事，今天上午我们在云安全论坛里面，我们大会主席，也做了一个非常好的一个针对这样的一个云安全，做了一个关键技术的梳理，我非常同意他的这种观点。

那么结合我们实验室做的工作，我在这方面也有一些思考，因为我觉得，从整个IT行业来看，以数据为中心是毫无疑问，它是一个趋势，或者说已经就是，云就是。获取信息是我们目标，如何获取是我们要关注和研究的一个问题，所以从技术层面，你比如我刚才举的这个例子，我们的团队就做了一些管理，我们的团队想，我就针对一个简单应用，就是你的手机上的通讯录，我放上去的同时很快，点个键就上去了，你再点一个键就下来了，但是后台做的实际上是一个操作，上载的全是加密数据，我针对加密数据我如何能够很好的、有效的抓取我们索要获取的信息，这是我们现在团队研究的一个Demo，我们也希望，就是现在有一些企业对于我们这个也比较感兴趣，但是我们做大学里面，关键的任务是培养学生，是培养人，我们从业界知道这样的一些科学问题，拿回来以后，就要把这个问题变成我们的课题，训练我们的学生，所以这方面有一些初步的研究，那么我们也非常希望，将来适当的时候，和业界来共享，就是说我怎么样来进行信息搜索和挖掘，是这样的情况。

ZDNet：对，我觉得俞教授其实也给我们提供了一个很好的思路，但是我想其实像这种云计算这种安全问题，像您说一个有政策问题，也有我们学术界的责任，也有企业界的责任，可能说作为我们自己享受云计算的公众而言，也要有一定的责任，我们也希望说，可能我们在接下来以后，比如在以后有机会再跟俞教授沟通的时候，我们能看到很好的一些成果，能给我们大家展示一下，说怎么去解决这些安全问题。

俞能海：实际上你刚才讲的这个，我刚才也提了，已经有一些产品，有些Demo出来了。

ZDNet：是，那我觉得可能后期的时候，我们再约俞教授，再给我们分析一下这种比较好的一些成果。

俞能海：当然，我们仅仅是团队的一部分，在全球有很多的知名的科学家、研究团队都在做这个事情，特别是对于国家安全，这实际上是国家安全人人有责，我们一定要站在这样的角度，来做一些应该做的事，我们作为大学老师也应该是培养有比较好的觉悟的这样的一些人才来作为我们的一个使命。

ZDNet：行，那我们也希望，以后我们可以有更多的分享，也没准以后您的学生也可以过来，我们也可以一起分享一下。

俞能海：好的。

ZDNet：好，那我们今天非常谢谢俞教授，谢谢各位。

俞能海：好，感谢大家。