精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

考慮到IT外包服務的成熟，企業為了實現更大的成本節約和資源利用率，會很自然的選擇公共云計算服務。而事實并非如此。其中對公共云服務的安全性質疑一直是企業不敢采納公共云服務的主要原因。對大多數企業來說，數據安全的風險會讓它們非?？謶?。

本文中將大致介紹一下為何企業為了更好的效益應該采用公共云服務，采用公共云服務所面臨的關鍵安全問題和挑戰是什么，以及在整體的安全評估框架中該做些什么，才能解決公共云服務所面臨的安全挑戰。

首先，目前并沒有確鑿的數據支持部分人認為“公共云服務相比企業內部數據中心的安全機制更弱”這一觀點。事實上，針對Google, Sony & RSA 等大公司的網絡攻擊和數據丟失案例已經顯示出，再嚴密的企業內部安全防范機制也能借由狡猾的社交陷而突破或繞過。尤其是從古至今信息安全防范機制中的一個薄弱環節一直沒有被修復，即“人的因素”。

雖然這些安全漏洞并不能直接與公共云聯系起來，但大部分企業都趨向于將知識產權等重要數據放在企業內部自行保管。那么公共云到底能不能妥善的保管企業的知識產權呢?考慮到公共云的擴展性，靈活性以及按需性能，答案是肯定的。

聯邦政府機構，比如美國、新加坡以及亞洲和歐洲的很多政府機構都是公共云服務的早期用戶，他們也促進了公共云服務供應商在云安全服務上的快速成熟。在很多實例以及特定的安全類型中，比如針對惡意軟件、病毒，以及分布式拒絕服務攻擊的保護方面，公共云安全技術已經證明其能比企業內部的安全防御方案更有效的對數據提供保護。Sony抵御 LOIC DDoS攻擊就是個很好的例子。

總之，終端用戶對于互聯網服務的永無盡頭的需求已經開始讓公共云服務擴展到了媒體娛樂領域，如音樂、電影、社交媒體以及電子商務等。

企業也沒有時間繼續觀望下去了。如果不采用已經被很多企業成功采用的公共云服務，所面臨的企業競爭力下降的風險可能會更嚴重。如果企業還需要更令人信服的證據，那么可以問問Oracle的 Larry Ellison ，他曾經用“毫無意義”、“瘋狂”、“白癡”等詞匯形容云計算，而現在他也決定加入云計算大家庭了。這個證據有說服力吧?

不過，并不是所有類型的企業數據或服務都適合在公共云環境下管理，但是從一般的風險評估框架來看，公共云的數據安全風險可以被控制在一個能夠被大部分企業接受的程度。

知曉你的云計算方案風險

每個企業的特點都是不一樣的，其所面臨的安全風險也是根據企業所處的行業以及運營環境而有所不同。而企業的風險因素必須被記錄并處于管理之下。公共云服務也有其自身特有的安全風險，這種風險與傳統的IT外包所面臨風險不同，而是與公共云所采用的技術有自然的聯系。下面列出了有關公共云計算的風險以及企業應該做的準備工作。

有關公共云計算的關鍵性安全風險/問題包括以下方面：

· 不了解所使用的云計算服務– 由于公共云服務的使用成本門檻很低，導致企業領導認為公共云服務比企業的IT部門更具性價比，于是將企業給客戶提供的新產品和服務全部通過公共云服務實現。IT服務的采購必須在嚴格的控制下進行，避免企業數據通過不受監控的公共云服務渠道流失。

· 信息安全管理 – 在數據的生命周期內，最基本的安全需求是數據的保密性、完整性和可用性。具體來說，數據在創建、存儲、處理和使用、共享、歸檔以及最終銷毀的整個過程都需要進行安全保護。而當企業無法直接通過服務供應商的設備對數據進行直接控制時，就會面臨安全挑戰。因此要選擇帶有數據加密，加密密鑰管理以及高可用性方案的公共云服務，這是最重要的。

· 知道數據在哪里- 貫穿數據的生命周期始終，企業必須要從云服務供應商那里獲得確切的保證，確保企業的數據保存在所規定的地理范圍內。這可以通過合同，服務水平協議以及相應的程序法律和規章制度進行規范和約定。

· 電子證據 – 采用公共云服務意味著企業必須與其它企業共享相同的硬件設備，比如硬盤。這就意味這要承擔一定的數據泄露風險。因為一旦某個企業由于法律問題遭到調查，政府和法律機構可以根據相應的法律(比如美國的愛國者法案)對硬盤中存儲的數據進行提取和分析，而且不需要得到數據主人的批準。企業的一些敏感信息，比如個人的身份信息等不應該存放在公共云服務環境，以避免此類情況的出現。

· 廠商綁定 – 有時候從一個云服務供應商向另一個云服務供應商遷移的難度要比第一次采用云服務更難。很多云服務供應商處于利益考慮，都傾向于阻止用戶放棄自己的服務轉投別家。

有關選擇公共云服務時所面臨的風險和挑戰，網上還有很多論述，讀者可以通過 Cloud Security Alliance (CSA), European Network and Information Security Agency (ENISA), National Institute of Standards and Technology (NIST)等站點參考。相信能夠幫助很多企業了解到云計算的風險問題。

在預見到以上的風險后，企業可以自己制定一個風險評估框架，用來評估公共云服務供應商，并從中選擇適合企業自身情況的供應商。

采用公共云計算機服務時的數據安全建議

在采用公共云服務時，為了將安全風險盡量降低，企業可以進行以下動作：

建立一個云服務項目的部署工作表，所記錄的內容包括：

· 采用云服務的決策制定過程

· 云服務涉及的企業業務以及成本的考量

· 確定可靠的數據存放范圍并通過數據流程圖和工序流程表深刻理解端到端的業務流程。

· 對云服務使用的認識 – 你的服務采購團隊和架構人員必須具備足夠的云服務知識和技能來選擇云服務并提供相應的支持工作。

· 一個云服務注冊器，記錄企業使用公共云服務的消費狀況。

為云計算建立或購買一個風險評估框架。這個框架應該包括：

· 定義云服務使用時的信息安全策略

· 對企業數據進行分類，判斷哪些數據適合存儲在云計算環境，哪些數據會面臨較大的風險。

· 評估一旦數據的保密性、完整性和可用性受損后，對企業業務沖擊情況。

· 將公共云服務安全風險內容建檔保存

· 列出降低云服務安全風險的控制方案(可以采用風險--方案的方式制定每個潛在風險的詳細應對策略)

· 升級信息安全合約，解決采用云服務后帶來的安全和操作上的問題。服務等級協議未達標的補償方式，信息系統審計和調查取證的權力等，都必須寫入與云服務供應商簽訂的合約中。

· 對云服務產品進行滲透測試，對云服務供應商的安全控制能力進行審查，選擇最能符合企業安全需求的云服務供應商?？紤]使用SAS 70 type II 報告或類似的 IS審計報告來審查服務供應商的安全控制能力。

建立公共云服務退出策略

企業必須建立一套云服務退出策略，以便在企業必須將所有數據和應用遷移回企業內部或改換云服務商時，避免被云服務供應商綁定而無法退出。

總結

在公共云環境下，數據安全是需要云服務供應商和數據所有人共同承擔的責任。但同時數據擁有者必須獨自對數據隱私和保護承擔全部責任。如果他們對數據的隱私保護不能達到監管要求，將可能會承擔巨額罰金。因此很多企業已經提前投資采用了信息安全風險管理和控制工具。這些工具可以平衡基于云架構的安全風險，幫助企業實現最大的投資回報。所以，在采用公共云服務時更常見的情況是，需要鑒別和理解某個特定云服務的安全風險，并針對這類風險開發出所需的安全控制方案，從而將該類風險降到最低水平，不對企業采用云服務造成影響。

所以企業有足夠的理由選擇云計算服務，但同時企業也有足夠的理由將自己防御的更嚴密，以便在新技術環境下發展的更快更安全。