——很多人都知道这个桥段，把他作为一个笑话，而愤青们更喜欢用这个来攻击……我亲身经历过类似“证明你爹是你爹”的过程，的确繁琐，但是我认为既然私有财产个人权利神圣不可侵犯，反倒是怕无法可依，执法不严，怕这个证明的过程不严谨。谈到云计算的安全问题，摆在很多用户面前的最大难题是如何证明“云”是一个安全的云！

可能云计算是个技术话题，所以谈到安全，首先让人联想到的是技术上是否安全。其实安全与否，技术是手段，思路确是最重要的，二者相互依存，缺一不可！

今天我们还是首先要探讨一下大的思路:

加入安全圈，我听到一个说法是异构，一些对安全要求高的客户，会采用异构的方式构建他们的计算基础设施，甚至在一个业务系统的边界防火墙，甚至要采用不同厂家的防火墙来做多层的防护。这样的设计初衷是，首先两个厂家的产品软件和硬件架构不同，同时爆出同样安全漏洞的机率会低；同时两个厂家设备又互为监控，在管理侧上互为防范，避免设备存在的潜在后门和漏洞被他人掌控，降低门户洞开的风险。这让我想到一个并不恰当的例子，据说在强力机关里流行一个说法，就没有破不了的两人以上共同犯的案子。

制衡、异构，在系统层面上加强监管和审计，是古往今来不论是信息安全还是其他实体安全里屡试不爽的方法。但这貌似和现在云计算里技术演进和厂家的方向不同。云计算追求的目标是把软件、计算变成服务，让用户按需使用，自服务、自动化、运行效率成为追逐的目标。一个鲜明的特点是高度的集成，私有云提供商很多在向着高度集成存储、计算、网络乃至平台软件的方向发展，公有云服务商，更是向着研发运营一体化的方向发展。

但是，都是一家的设备，都是你开发的服务，你运维的服务，如何证明你没有掩盖犯错的事实？“既当运动员又当裁判员”，如何能做到公正公开，证明自己是安全的云呢？

可喜的是相关标准、政策制定部门已经在考虑这一问题。一方面，推动用户使用云计算，另一方面要求在云计算领域加强审计工作，提出明确的技术规范和要求，同时要求引入审计、测评机构，协助用户、协助监管部门，站在第三方的角度上加强审计、监管，确保云计算的安全。

有了正确的思路，安全还需要技术手段来保障，增加犯罪成本，加强安全防范。