上個(gè)月信息安全論壇發(fā)布了未來(lái)兩年10大信息安全威脅。雖然整個(gè)列表很有見(jiàn)地，但其中只有一半與云部署涉及的安全和合規(guī)挑戰(zhàn)有關(guān)，在未來(lái)兩年內(nèi)，對(duì)于利用云計(jì)算的人來(lái)說(shuō)，需要注意下面5個(gè)關(guān)鍵安全問(wèn)題：

[[113096]]

1.服務(wù)提供商成為一個(gè)關(guān)鍵漏洞來(lái)源

從最近的新聞來(lái)看，這個(gè)問(wèn)題已經(jīng)很明顯。從其業(yè)務(wù)性質(zhì)來(lái)看，服務(wù)提供商提供的服務(wù)是所有類(lèi)型的敏感/有價(jià)值數(shù)據(jù)的“聚合”。網(wǎng)絡(luò)犯罪分子和黑客已經(jīng)認(rèn)識(shí)到這一點(diǎn)，他們已經(jīng)開(kāi)始將主要目標(biāo)轉(zhuǎn)移到服務(wù)提供商。想想看，如果攻擊者能夠成功滲透服務(wù)提供商的網(wǎng)絡(luò)，他們將獲取信息寶庫(kù)。而事實(shí)上，在未來(lái)兩年，作為大量敏感數(shù)據(jù)的中央存儲(chǔ)庫(kù)的服務(wù)提供商仍然將繼續(xù)發(fā)展，這方面的威脅只會(huì)越來(lái)越大。為了應(yīng)對(duì)這個(gè)問(wèn)題，企業(yè)必須采取措施來(lái)保護(hù)其最敏感和最重要的數(shù)據(jù)，并決定哪些數(shù)據(jù)可以發(fā)送到公共云服務(wù)提供商。

2. 移動(dòng)應(yīng)用成為泄露的主要途徑

隨著攜帶自己設(shè)備到工作場(chǎng)所(BYOD[注])技術(shù)的發(fā)展，員工開(kāi)始越來(lái)越多的使用部署在平板電腦和手機(jī)等移動(dòng)設(shè)備的移動(dòng)應(yīng)用程序，而這讓IT部門(mén)非常難以控制其敏感數(shù)據(jù)在何時(shí)何地以何種方式被誰(shuí)訪問(wèn)。BYOD意味著很多頻繁使用的員工設(shè)備將用于工作環(huán)境，而實(shí)際上，這些設(shè)備通常沒(méi)有企業(yè)設(shè)備相同的安全技術(shù)。再加上云計(jì)算應(yīng)用程序(用于個(gè)人和企業(yè))，這更加提高了企業(yè)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。在這種情況下，IT和安全部門(mén)應(yīng)該部署安全技術(shù)來(lái)差異化對(duì)待其不同的數(shù)據(jù)類(lèi)型，部署不同程度的限制，更好地保護(hù)最敏感的數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。

3. 加密失效

加密是一個(gè)非常廣泛的說(shuō)法，加密使用正在不斷增加，很多企業(yè)越來(lái)越依賴(lài)于加密來(lái)滿(mǎn)足其數(shù)據(jù)安全需求。如果有人問(wèn)我這個(gè)說(shuō)法是否正確：加密會(huì)失效?我不得不說(shuō)，是的，有些加密會(huì)失效。這是因?yàn)椴⒉皇撬屑用芏际且粯拥?。企業(yè)需要明白，有些加密比其他加密更加強(qiáng)大，在加密技術(shù)的部署方面存在差異化。例如在某些公司，他們要求客戶(hù)部署最安全的FIPS 140-2驗(yàn)證的加密技術(shù)，同時(shí)物理地保存加密密鑰。這兩點(diǎn)對(duì)于成功的加密很重要。另外，企業(yè)還可以利用令牌，這是另一種安全方法。

4. 首席執(zhí)行官已經(jīng)了解云安全問(wèn)題，現(xiàn)在你必須努力解決這個(gè)問(wèn)題

我們現(xiàn)在都聽(tīng)說(shuō)云計(jì)算安全是一個(gè)董事會(huì)級(jí)的問(wèn)題，這意味著，首席執(zhí)行官必須了解這方面的問(wèn)題。我們現(xiàn)在已經(jīng)開(kāi)始看到越來(lái)越多的預(yù)算被分配到云計(jì)算保護(hù)和安全項(xiàng)目，IT和安全部門(mén)具有比過(guò)去更多的資源來(lái)幫助抵御安全風(fēng)險(xiǎn)?，F(xiàn)在IT和安全部門(mén)需要找到最好的技術(shù)和解決方案來(lái)滿(mǎn)足其企業(yè)的獨(dú)特需求。

5.信息安全無(wú)法滿(mǎn)足新一代員工的需求

這可能是最重要的一點(diǎn)。干擾或阻止員工與云計(jì)算交互的安全解決方案將不會(huì)成功，為什么呢?因?yàn)閱T工總是會(huì)找到方法來(lái)解決?；蛘咴诹硪环N情況下，IT和安全團(tuán)隊(duì)將會(huì)收到最終用戶(hù)的投訴和操作問(wèn)題，造成企業(yè)的分歧(例如，員工會(huì)說(shuō)“這些人正在阻止我進(jìn)行工作”)以及降低生產(chǎn)效率。企業(yè)必須想辦法讓云數(shù)據(jù)控制網(wǎng)關(guān)對(duì)最終用戶(hù)保持透明和可見(jiàn)，讓他們可以根據(jù)需求利用云應(yīng)用程序，以及繼續(xù)執(zhí)行搜索數(shù)據(jù)等功能，即使當(dāng)數(shù)據(jù)已經(jīng)被加密。

相信這5個(gè)安全問(wèn)題預(yù)測(cè)將幫助企業(yè)思考在未來(lái)幾年內(nèi)如何改善和鞏固其企業(yè)IT和安全政策。(鄒錚編譯)