雲計算發展賴于消除資料安全隱患

2013年我國雲計算規模不斷擴大，年增速遠超國際水準，創新能力顯著增強，產業鏈的構建速度明顯加快。 賽迪預測：2014年我國雲計算將從發展培育階段步入快速成長階段，新的產業格局將會形成。

雲計算能夠使用虛擬機器完成業務集中化管理，因此多數企業選擇雲計算的初衷是節約運營成本。 而雲在發展的同時，圍繞著它的安全環境卻在不斷發生變化。 這對於雲的安全關注點已從原來的端點安全，逐漸轉移到了交付的應用程式、資料和使用者體驗上。 這就要求我們在享有雲提供的資訊完整、開放、良好使用者體驗等優勢的同時，更要保證資料的安全。 若沒有安全的保障，雲應用的價值不僅大打折扣，反而有可能帶來災難。

那麼如何讓雲計算或者說雲技術遠離資料安全的隱患呢，要應對各種複雜多變的環境必須建立起系統化的有效防護體系。

資料防護是核心　人們對於資訊安全的關注通常從設備和鏈路，以及防護、阻截等的角度考慮的較多。 其實內容或者說資料本身的安全防護才是核心。 雲計算環境下尤其如此，衛護好資料本身的安全才能夠真正實現安全。

基礎管控是關鍵　將近六十個保護最重要資產的安全基礎控制，是包括雲環境在內的所有資訊安全的關鍵。 必須得到確認以確保雲技術對您的系統、業務和操作符合安全控制。

安全責任要厘清　很多使用者都會認為，雲服務供應商應該對資料承擔責任，而供應商卻易責怪客戶自身措施不得力。 據調查顯示，超過三分之一的客戶仍然期望其軟體即服務供應商保護應用程式和資料的安全。 其實手段是重要的，如何有效地運用手段同樣重要。 只有供求雙方各自承擔起自己應盡的安全責任才是無懈可擊的根本保證。

評估工作須做好　從傳統互聯網向雲上遷移時，在獲得共用性和降低成本等好處的同時也面臨了更複雜的生態環境。 必須對安全性漏洞進行評估，確保所有控制都到位且運行正常。 同時，在選擇雲服務供應商之前也需要做好調研工作，需要掌握該服務商傳播那些與物理安全、邏輯安全、加密、更改管理和業務持續性以及災害復原等屬於同類型控制項的能力。

加密應該更普遍　這裡說的加密，不僅僅是終端到終端加密，而且還包括在將資料轉移到雲中前，能夠在企業內部加密資料。 雲供應商需要制定強大的加密解決方案，以讓企業確保其資料的安全性。

異常檢測宜儘早　如果攻擊者獲取了帳戶資訊，即使是機密也于事無補。 所以，雲供應商必須部署良好的異常檢測系統，並與客戶共用這些系統的資訊和審計記錄。 使用不同的工具來確保雲供應商滿足客戶的需求，這是一種階層式辦法。

工作負載要關注　通過對設備和應用等資訊工作負載的重點關注，充分考慮其獨特性，制定更有針對性的安全計畫，比傳統的操作提供更安全的保障。

構建日誌更重要　對管理訪問日誌保持審計是非常重要的，即有一定量的日誌資訊可以主動提供給所有需要追蹤的企業來進行各種分析。 但大多數小型雲服務沒有提供這種資訊。

風險控制有計劃　應制定一個正式的風險降低計畫，包括風險的檔、對這些風險的回應、教育和培訓等。 還應該看看彈性需求制訂一個彈性計畫，若想在一場災難或攻擊事件中迅速恢復的話，謹慎確保工作負載可以隨時恢復，以及把業務連續性的影響降到最低，這個計畫是很重要的。

安全服務利用好　獨立的安全服務諮詢、託管等各類服務提供者已經逐漸發展起來，利用好這些專業化的機構或服務商，實行長效的防護乃至事前積極的監測保護，既減輕自身的壓力與固定開銷，也能夠更加主動。

生命週期全程防　敏捷科技提出的全面、全方位、全生命週期的「三全防護」中，全面、全方位主要通過各類資訊安全技術來實現，而全生命週期則需要意識、技術、制度綜合到位、持續進行，有賴於勤于雲技術管理和週期性安全性審查。

混合模式頗有效　採用與提供混合的安全服務模式，將雲的服務與預置的服務混合起來，多種模式同時進行，一方面有助於減輕壓力，另一方面以組合增加了防護的變數，使防護更為行之有效。

雲安全不是短期問題，雲計算想要繼續和長期發展，資料安全問題絕不容小視，本文的這些方法，究其根本，資料本源的安全防護是最重要的。 所以在採用雲技術的同時，採用具有針對性且能靈活應對的加密技術進行核心資料防護應是一個有效的選擇。