雲安全——三分技術 七分管理

在經歷了近三年的基礎設施大規模擴張之後，微軟等軟體平臺的進入，讓中國HTTP://www.aliyun.com/zixun/aggregation/13598.html">企業級雲計算的應用終於進入倒計時。

ITValue和英特爾共同發起的一項針對CIO的調查結果顯示，有19%的企業已經在部署或應用雲計算，28%的企業考慮近期部署雲計算，53%的企業目前尚無部署雲計算的時程表。 對於公共雲，CIO們的顧慮主要集中在安全與隱私，以及與企業其他資訊系統的集成問題。

雲計算面臨臨門一腳，「私有資料」的資訊安全問題依然是最終使用者繞不過去的心理門檻。 世紀互聯（北京世紀互聯寬頻資料中心有限公司，21VianetGroup,Inc.NASDAQ:VNET）雲計算首席專家李志霄博士評論說：「雲安全三分靠技術，七分靠管理。 以安全問題或法規壁壘為藉口（例如政務內網不允許雲化）會拖慢企業整個IT進化的進程。 」

對此，李志霄博士的解釋是：「CIO所等待的完美的安全解決方案並不存在，這一點用三個問題就可以說明：1、只有技術，沒有安全政策，企業風險評估與使用者認知行嗎？ 2、高可用性，保密性，正確性，三者有可能同時盡善盡美嗎？ 3、有完全無法竊聽的傳輸介質嗎？ 很顯然，至今仍沒有一家公司可以給出完全肯定的答案。 」

李志霄博士認為，企業對於使用雲技術的心理障礙來自于對雲計算實際應用場景的認知缺乏。 「資料安全是相對的。 無論是否使用雲，企業資料都有可能受到攻擊。 地球上只要有駭客，安全永遠做不到100分，安全問題會始終存在。 但在體制與專業技術的支援下，公共銀行的安全性並不會比私人的保險箱更差。 」

微軟一項針對中小企業的調查顯示，由於雲服務是由供應商進行管理，安全上的好處是雲服務它將安全管理時間每週削減了18個小時。 在過去的三年中，使用雲服務的企業享有在安全方面支出減少5倍以上的優勢，使用雲服務的公司中有20%表示他們減少了安全管理成本，但在不使用這項服務的公司中，這一數量只有4%。

李志霄博士認為：「雲安全其實是不求上進的CEO，CIO的藉口，不應該成為企業拒絕雲化的理由。 在此基礎之上，CIO需要對殘酷的現實有所認知：1、安全，好用，低價，三者只能取其二；2、攻擊不會停止，安全問題永遠存在；3、隱患不全從外部來，還會從內部湧現。 」

實際上，企業開始考慮啟用雲計算平臺之前，CIO就應當對可能面臨的風險與利益進行全面的評估。 安全不是防火牆，不是殺毒軟體，也不是DDoS清洗，與雲服務供應商共同制定完善的安全防禦機制是管理權重佔據70%的意義所在。

「我們能做的只有在政策與認知的基礎上，利用產品做好縱深防禦，消除單點故障。 同時，安全需要使用者、產品供應商、雲服務商，甚至全社會的共同努力，需要完善的法規監管。 雲安全是一個不斷成熟的生態體系，是旅程，不是目的地。 」世紀互聯李志霄博士認為雲安全管理不僅僅是某一家企業或者雲服務商的責任，CIO對於雲安全的觀念轉變會推進公有雲和企業私有雲的落地應用。

(責任編輯：劉芬)