針對雲計算實踐指南：安全標準與雲無關

企業應用諮詢公司的首席分析師JoshGreenbaum強調說，多數企業對雲計算的風險還沒有給予足夠的重視。 "如果資料中心的管理者們去關注機房裡的主要設施，看到伺服器之外都配置了一個備用電源，他們就認為沒有問題了"Greenbaum表示。 他認為雲計算應該也沒有什麼不同。

&HTTP://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   在某些情況下，如果風險太大就不能過於依賴雲計算。 企業在決定要把一些伺服器和應用軟體放在雲上時，必須考慮清楚如何對可能的風險進行管理。

Gartner諮詢公司副總裁兼分析家DavidCearley表示使用雲計算的局限是企業必須認真對待的敏感問題，企業必須對雲計算發揮作用的時間和地點所產生的風險加以衡量。 舉例來說，企業通過放棄對某些資料的控制來獲取經濟上的交換成本節約。 對於IT部門裡那些C級別的高層管理者來說，他們必須對這種交易是否值得做出決策。 Cearley表示每件事務最終都能作為雲服務提供，但是對於任何獨立的企業而言，並非每件事務都能從雲上獲取。

"在企業外部的共用資源池中，使用者對資源在何處運行一無所知也無從控制。 如果你認為資料所在的位置和來源對你很重要，那麼這就成為你不使用雲計算的一個原因"Cearley強調說。

安全標準與雲無關

Greenbaum表示，IT業界有大量的行業標準。 舉例來說，諸如像SAS公司的交互關係管理（SASInteractionManagement）這樣的服務標準廣泛應用於IT安全和法規遵從和企業交互關係的管理。 然而隨著時間的流逝，交換式關係管理也將被轉移到雲上。

同時，在針對雲計算體系架構的安全模式和標準出臺以前，多數可能面臨的風險和損失就直接落在了IT企業的肩上，而不是由雲計算服務供應商來承擔。 "Salesforce.coms和NetSuites都無法提供由標準化制度保障的風險管理機制"Greenbaum補充說。

針對雲計算的最佳實踐指南

IBM公司安全和風險管理部門總監KristinLovejoy認為，享受雲服務的消費者最終要負責對資料的保密性，完整性和可用性的維護。

Lovejoy引用健康保險便利及責任法案(HealthInsurancePortabilityandAccountabilityAct,HIPAA)的事實為例解釋說，健康保險便利及責任法案沒有對資料安全有特別規定。 取而代之的是，法案的第164.308和164.314章節中只是簡單的要求企業要確保來自任何協力廠商處理資料的安全性。 Lovejoy強調說。

至於對雲配置的時間加以限制的做法，Lovejoy建議說企業應該按照傑佛瑞.摩爾的"相對核心"理論去做（摩爾是TCG顧問公司的建立者兼商業戰略家）。

Lovejoy解釋說，核心商業慣例提倡的是競爭差異化。 而相對慣例傳遞的是企業內部行為的理念，諸如人力資源服務和薪資制度。 核心慣例和相對慣例能被分為要徑任務應用軟體和非要徑任務應用軟體。 "如果非要徑任務應用軟體離線，企業依然能繼續生存"。

Lovejoy還強調說，摩爾的理論是"如果企業實踐是相對和非要徑任務的，可以把它放在雲上，如果是相對又是要徑任務的，可以用雲啟動。 如果是核心業務而不是要徑任務，你可以考慮把它置於防火牆的保護下；如果它即是核心業務又是要徑任務，你就必須把它放在防火牆的保護下"。

(責任編輯：蒙遺善)