在5月初，國內(nèi)首個基于大數(shù)據(jù)的網(wǎng)絡(luò)犯罪研究報告正式發(fā)布。報告顯示，中國公民已經(jīng)泄漏的個人信息多達(dá)11.27億條，數(shù)目大的驚人。那么讓我們回顧一下過去的2014年，信息泄露事件也是連連不斷，從去年年初的韓國三大信用卡公司信息泄露事件，到鬧得沸沸揚(yáng)揚(yáng)的iCloud云端系統(tǒng)漏洞風(fēng)波，再到年底亞馬遜沃爾瑪?shù)染W(wǎng)站1.3萬信用卡號遭曝光事件，使得不少企業(yè)不敢將數(shù)據(jù)遷移到云端。

但仔細(xì)追蹤這些事件不難發(fā)現(xiàn)，所有的泄露事件都是因為黑客有針對性的入侵造成的。黑客對具體的用戶進(jìn)行了入侵，但并未對云平臺造成威脅。

由于云計算是近年來才興起的數(shù)據(jù)中心模式，大多數(shù)主要的云供應(yīng)商都把安全標(biāo)準(zhǔn)定的很高，需要通過ISO 27001、SSAE-16、PCI、HIPAA、FedRAMP等安全認(rèn)證標(biāo)準(zhǔn)。

要通過此類安全標(biāo)準(zhǔn)云服務(wù)供應(yīng)商必須證明其安全策略達(dá)到或超過了這些協(xié)議所述的控制和策略標(biāo)準(zhǔn)。所以可以說云端存儲相對傳統(tǒng)的數(shù)據(jù)中心更安全。

企業(yè)對于云服務(wù)安全的誤區(qū)

相比在安全性能上更專業(yè)的云平臺，一些企業(yè)更相信本地系統(tǒng)的物理可見性以及可掌控性要比云計算平臺的更可靠，這是一種概念上的混淆，所以我們要清楚，云服務(wù)平臺和用戶在數(shù)據(jù)保護(hù)工作中各自扮演怎樣的角色。

Elastica公司CEO Rehan Jalil說：“必須認(rèn)識到，企業(yè)需要在保護(hù)自身數(shù)據(jù)安全的工作當(dāng)中扮演至關(guān)重要的角色。而了解數(shù)據(jù)的具體訪問方式——即使是在有云服務(wù)供應(yīng)商介入的前提下——對于風(fēng)險管理工作仍然非常關(guān)鍵。大部分云服務(wù)供應(yīng)商會要求將相關(guān)責(zé)任與安全部門進(jìn)行分擔(dān)，而企業(yè)客戶也不能想當(dāng)然地假定一切數(shù)據(jù)泄露問題都該由服務(wù)供應(yīng)商負(fù)責(zé)。”

不可否認(rèn)，雖然企業(yè)都知道安全性至關(guān)重要，但在出現(xiàn)問題前很少有企業(yè)會將足夠的資金和資源放在安全性能維護(hù)上，通常是臨時抱佛腳，出現(xiàn)安全問題后再想對策，這樣往往會損失更多的資金。

而云服務(wù)供應(yīng)商則會提供足夠的資金和資源來放到安全性上。因為云服務(wù)是它們的產(chǎn)品，如果云服務(wù)提供商出現(xiàn)安全漏洞，他們的核心產(chǎn)品的可信賴度則會遭受巨大打擊。這種信任很難恢復(fù)。

企業(yè)自身在安全方面需提升

企業(yè)應(yīng)明確，云服務(wù)的安全標(biāo)準(zhǔn)并不是通用的，在選擇服務(wù)商的時候應(yīng)審核該云服務(wù)商的安全策略是否符合自身安全需求。

作為企業(yè)也應(yīng)該明確，企業(yè)與云服務(wù)商之間的安全責(zé)任，“安全性的實際水平取決于體系中最薄弱的那一環(huán)。盡管客戶與服務(wù)供應(yīng)商之間利用加密機(jī)制保護(hù)數(shù)據(jù)流量、從而確保數(shù)據(jù)完整性及保密性的作法已經(jīng)相當(dāng)普遍，但目前仍沒有多少服務(wù)供應(yīng)商會在企業(yè)自有環(huán)境內(nèi)部對服務(wù)器之間的通信內(nèi)容進(jìn)行加密。有這種情況下，一旦整個體系出現(xiàn)突破口、攻擊者往往能夠抓緊機(jī)會將其作為惡意活動的契機(jī)。”SystemExperts公司高級顧問Paul Hill說。

因此，又回到我們前文所說的，企業(yè)對于自己本地系統(tǒng)的安全性應(yīng)投入足夠的資金和資源上的支持，不給黑客提供可乘之機(jī)，否則，即使使用再安全穩(wěn)定的云服務(wù)也是徒勞。