本文中列舉了幫助企業(yè)應(yīng)對有關(guān)云計(jì)算的隱私、法規(guī)及安全問題的18個(gè)小貼士��,希望可以使企業(yè)更順利地使用云計(jì)算���。
云應(yīng)用的普遍使用給負(fù)責(zé)管理企業(yè)云平臺的IT和安全人員帶來了很多阻礙和挑戰(zhàn)。據(jù)Ponemon Institute所做的調(diào)查顯示超過半數(shù)受訪者所在企業(yè)正在向云端轉(zhuǎn)移機(jī)密或敏感數(shù)據(jù)�����,然而57%的運(yùn)維人員承認(rèn)自己對于敏感信息的存儲并沒有一個(gè)全面的認(rèn)識。
云計(jì)算正在全球范圍內(nèi)向各行各業(yè)擴(kuò)展����,顯而易見基于云的SaaS應(yīng)用會(huì)越來越多地取代現(xiàn)有的關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)。很多企業(yè)都看到了應(yīng)用云計(jì)算的好處��,但挑戰(zhàn)與顧慮是難免的。本文中列舉了幫助企業(yè)應(yīng)對有關(guān)云計(jì)算的隱私��、法規(guī)及安全問題的18個(gè)小貼士��,希望可以使企業(yè)更順利地使用云計(jì)算�。
問題
用戶的風(fēng)險(xiǎn)意識:商業(yè)用戶只看到云應(yīng)用提高生產(chǎn)力的一面,而IT部門又不十分了解企業(yè)數(shù)據(jù)在應(yīng)用中的使用方式�����。有些商業(yè)用戶還會(huì)撇開IT與安全政策自己去訂閱云服務(wù)�����。
云服務(wù)條款:企業(yè)所遵守的數(shù)據(jù)相關(guān)政策標(biāo)準(zhǔn)與云服務(wù)提供商所遵守的并不相同,但用戶在訂閱云應(yīng)用時(shí)看到使用條款就直接點(diǎn)同意了��。
虛擬化:虛擬化技術(shù)是SaaS和云平臺的核心��,但它自身也有一定的安全風(fēng)險(xiǎn)�����。作為云計(jì)算用戶���,應(yīng)主動(dòng)了解云服務(wù)提供商所使用的虛擬化技術(shù)并在必要時(shí)采取適當(dāng)?shù)拇胧┮越档惋L(fēng)險(xiǎn)�����。
身份驗(yàn)證與訪問控制:Perspecsys公司的研究顯示31%的受訪企業(yè)不允許員工通過移動(dòng)設(shè)備訪問云應(yīng)用中的企業(yè)數(shù)據(jù),但堵不如疏���,積極主動(dòng)地采取安全措施才能保證無論存儲于何處都保證數(shù)據(jù)處于保護(hù)中����。
數(shù)據(jù)控制權(quán):云計(jì)算技術(shù)應(yīng)用中碰到的數(shù)據(jù)隱私問題正在阻礙云計(jì)算的應(yīng)用,使用公有SaaS云服務(wù)就相當(dāng)于將數(shù)據(jù)交給云服務(wù)提供商,因此企業(yè)正面臨敏感信息的控制權(quán)問題���。
數(shù)據(jù)存儲位置:某些客戶信息需要存儲于特定的地理位置,這是企業(yè)經(jīng)常碰到的一個(gè)問題�����。如此一來企業(yè)就很難使用在世界其他地區(qū)運(yùn)營的云服務(wù)�,監(jiān)管和數(shù)據(jù)隱私顧慮使得數(shù)據(jù)存儲位置成了企業(yè)應(yīng)用云計(jì)算過程中的一個(gè)重大挑戰(zhàn)。
數(shù)據(jù)隱私:商業(yè)敏感數(shù)據(jù)通常需要更嚴(yán)格的保護(hù)�。無論儲存在企業(yè)內(nèi)部或是云端,數(shù)據(jù)發(fā)生泄露倒霉的都是企業(yè)自身�。所以無論數(shù)據(jù)儲存在哪里都有必要采取嚴(yán)格的安全措施。
法律法規(guī):企業(yè)對于敏感信息的使用和保護(hù)必須要遵守相關(guān)的法律法規(guī)�。
數(shù)據(jù)保護(hù)條款:越來越多的企業(yè)要求對云服務(wù)提供商所維護(hù)的數(shù)據(jù)進(jìn)行一定的處理�,例如采取更嚴(yán)格的安全措施����。
應(yīng)對
開放:企業(yè)IT部門需要尋找在遵守行業(yè)標(biāo)準(zhǔn)等方面持開放態(tài)度的云技術(shù),同時(shí)也需要相互之間能夠進(jìn)行對接集成的安全解決方案以使云端環(huán)境在使用中可以得到完全的信任�����。
追蹤企業(yè)數(shù)據(jù):今天的數(shù)字經(jīng)濟(jì)時(shí)代���,信息可以自由地流動(dòng)��,這使得追蹤敏感信息變得越來越難����。所以企業(yè)應(yīng)當(dāng)了解企業(yè)內(nèi)部及云端所使用的數(shù)據(jù)安全工具�,特別是云數(shù)據(jù)加密和記號化工具。
測試:Caliber Security Partners的John Overbaugh表示:對網(wǎng)絡(luò)和架構(gòu)進(jìn)行測試是重要的安全策略���。雖然部署到云上與傳統(tǒng)的部署方式相比有一些變化�,但還是有辦法做測試的��,重點(diǎn)是提前規(guī)劃����、修改測試的策略以及管理領(lǐng)導(dǎo)層的期望��,但最重要的還是在進(jìn)行測試之前和測試中做好與云服務(wù)提供商和安全機(jī)構(gòu)的溝通工作����。
備份:無論數(shù)據(jù)是否儲存在云端��,備份都是一個(gè)好主意�����。
使用多個(gè)云服務(wù):使用多個(gè)不同云服務(wù)的策略可以降低數(shù)據(jù)丟失或系統(tǒng)宕機(jī)的風(fēng)險(xiǎn)���,企業(yè)可以開發(fā)在不同云環(huán)境中實(shí)施統(tǒng)一的數(shù)據(jù)保護(hù)政策的安全平臺����,如果可以簡化密匙和政策管理就更好了�����。
安全教育:除了流程和技術(shù)��,人的因素對信息安全也有著關(guān)鍵的影響����,提前對企業(yè)雇員進(jìn)行安全教育才能避免他們犯下大錯(cuò)。
建立全面的數(shù)據(jù)管理政策:為了符合企業(yè)內(nèi)部和法律上的數(shù)據(jù)隱私要求�����,必須建立起行之有效的數(shù)據(jù)管理政策��,數(shù)據(jù)應(yīng)根據(jù)敏感性進(jìn)行分類并根據(jù)其分類施以相應(yīng)的安全手段�����。
實(shí)施數(shù)據(jù)安全服務(wù):企業(yè)可以考慮在公司內(nèi)部以軟件即服務(wù)的形式實(shí)現(xiàn)加密和記號化這樣的功能��,如此便可以減少在云端儲存和處理數(shù)據(jù)的安全風(fēng)險(xiǎn)���。
正確的加密方式:密匙和數(shù)據(jù)應(yīng)分開儲存�。IT部門應(yīng)負(fù)責(zé)密匙的保管并確保加密算法的強(qiáng)度����,同時(shí)還應(yīng)確保數(shù)據(jù)加載到內(nèi)存之后仍然得到有效保護(hù)。
通常數(shù)據(jù)在處理過程中不會(huì)云端的加密算法所保護(hù)�,所以企業(yè)最好自己掌控敏感數(shù)據(jù)的加密過程。
相關(guān)閱讀:
云計(jì)算是這樣進(jìn)行加密的
斷線的支付寶:重新審視我們眼中的云計(jì)算
云時(shí)代下,傳統(tǒng)軟件都將有一個(gè)SaaS宿敵
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意����。如您是字體廠商、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材����,請聯(lián)系我們,本站核實(shí)后將立即刪除�!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的�����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�,將不予任何的法律和經(jīng)濟(jì)賠償����!敬請諒解����!
粵公網(wǎng)安備 44030402000264號