质疑云计算的安全性主要出于两点原因：首先，过去的企业更习惯基于网络边界构建安全防护体系，但云计算的特征之一就是消除了网络边界。这正是CIO们最担心的地方：有边界的情况下仍保护不了安全，何况是在没有边界的环境下。

其次，云计算的另一特征是虚拟化计算，过去的取证技术已经跟不上网络技术的发展，在云计算环境下，多操作系统和应用运行在同一物理机上，这样如何保证虚拟化环境下的服务安全?

即使没有云计算，也从来就没有100%的安全：“如果照搬ISO27000的133个控制点、11个控制域，恐怕没有一家企业的信息系统是安全的，因此没有绝对安全。安全就是不断降低信息风险，最后使残余风险降低到可控、可接受的程度。很多企业花了很多钱构筑的安全体系，在黑客看来可能是不堪一击。残余风险依然是不可接受的。”

问题由此而来，什么是可控的残余风险?CIO可以接受的风险程度是什么?这要从我们现在所处的安全环境谈起。以前用户面临的是离散的安全攻击，早期的黑客为兴趣爱好，为一点江湖名声，进行网络攻击，但现在信息安全已经太多地与经济威胁纠结在一起，黑客已经完全产业化。2010年中国计算机病毒产业的收益已过百亿元，而中国安全产业的收入应该不超过60亿元，攻守关系完全倒挂。企业似乎不可能依靠一己之力，利用离散的安全解决方案来应对已经形成产业化的、无限的安全威胁。

但云计算给我们提供了改善这种格局的可能性。云计算汇集了以前用户靠自身投资无法实现的安全资源，用户改变了单打独斗的局面，以一个红色团队在对抗一个黑色团队。“今天的云计算安全应该考虑谁在控制系统、谁在访问、信息存储在哪里。过去的安全是高成本、高风险的安全，今天用户将信息交给云计算，他们希望以更低的成本，得到更好的安全防护。”