信息安全的威脅一直圍繞著IT產(chǎn)業(yè)。隨著云計(jì)算越來(lái)越廣泛的應(yīng)用，企業(yè)數(shù)據(jù)也面臨一些云計(jì)算時(shí)代才有的風(fēng)險(xiǎn)。本文中云計(jì)算安全公司Perspecsys就列舉了七個(gè)你一定會(huì)犯的云安全錯(cuò)誤以及相應(yīng)的預(yù)防措施。

1. 將敏感數(shù)據(jù)的控制權(quán)交給云服務(wù)提供商

使用公有云服務(wù)就意味著將所有的數(shù)據(jù)控制權(quán)交給了云服務(wù)提供商，這些數(shù)據(jù)也包括商業(yè)敏感數(shù)據(jù)。

安全措施：對(duì)于用戶(hù)，在訂閱用于工作的云應(yīng)用時(shí)，應(yīng)當(dāng)遵守企業(yè)的信息安全政策。對(duì)于企業(yè)來(lái)說(shuō)，應(yīng)充分了解企業(yè)內(nèi)部及云端所使用的數(shù)據(jù)安全工具，特別是云數(shù)據(jù)加密和記號(hào)化工具。

2. 丟失對(duì)數(shù)據(jù)的追蹤

了解數(shù)據(jù)進(jìn)行存儲(chǔ)和處理的物理位置有助于遵守有關(guān)數(shù)據(jù)儲(chǔ)存的法規(guī)。

安全措施：請(qǐng)確保你了解云服務(wù)提供商的主數(shù)據(jù)中心以及后備數(shù)據(jù)中心的地理位置，此外還要了解這些國(guó)家或地區(qū)有關(guān)數(shù)據(jù)隱私的現(xiàn)行法律法規(guī)。如果數(shù)據(jù)儲(chǔ)存的位置是企業(yè)應(yīng)用云計(jì)算時(shí)考慮的要點(diǎn)，那就需要使用技術(shù)手段來(lái)確保數(shù)據(jù)只儲(chǔ)存在一定的地點(diǎn)。

3. 忽視云應(yīng)用條款

訂閱云應(yīng)用時(shí)通常需要表示同意相應(yīng)的條款，但云服務(wù)提供商所制定的條款與你所在企業(yè)所遵守的數(shù)據(jù)相關(guān)政策很可能有所不同。

安全措施：如果云計(jì)算提供商維護(hù)的數(shù)據(jù)需要特定的保護(hù)，則應(yīng)堅(jiān)持與云服務(wù)提供商商議合約的條款。例如在第三方云平臺(tái)中存儲(chǔ)敏感信息就需要有附加的安全措施以提升保護(hù)等級(jí)。

4. 使用弱密碼

弱密碼對(duì)于黑客來(lái)說(shuō)根本就是形同虛設(shè)。研究人員Mark Burnett從過(guò)去十年間的數(shù)據(jù)泄露事故中收集了一千萬(wàn)個(gè)密碼，他發(fā)現(xiàn)流行密碼排名的前一百位很少發(fā)生變動(dòng)。

安全措施：不同服務(wù)不要設(shè)置相同的密碼，常換換密碼。

5. 認(rèn)為密碼是萬(wàn)能的

密碼使人很容易對(duì)安全問(wèn)題掉以輕心，2015年網(wǎng)絡(luò)攻擊變得更活躍，安全事故也持續(xù)增加。好消息是“強(qiáng)密碼不足以確保數(shù)據(jù)安全”這一認(rèn)識(shí)的接受度在提高，安全人員也在實(shí)施多重防護(hù)。

安全措施：保證網(wǎng)絡(luò)和云應(yīng)用的安全需要多重身份驗(yàn)證，數(shù)據(jù)加密和記號(hào)化這樣的技術(shù)也應(yīng)被用在保證數(shù)據(jù)傳輸過(guò)程中的安全。

6. 不備份數(shù)據(jù)

如果數(shù)據(jù)沒(méi)有備份，一旦發(fā)生事故可就只能抓瞎了，所以必須確保云服務(wù)提供商允許本地備份。請(qǐng)注意并不是所有的云計(jì)算提供商都允許用戶(hù)進(jìn)行本地備份，所以在使用前需要先調(diào)查清楚。

安全措施：無(wú)論是否使用云服務(wù)數(shù)據(jù)都應(yīng)該進(jìn)行備份，將數(shù)據(jù)存儲(chǔ)在不同的云服務(wù)提供商處可以降低大量數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

7. 沒(méi)計(jì)劃

在制定向云平臺(tái)遷移的計(jì)劃時(shí)，應(yīng)該提前考慮可能受到的影響，比如越來(lái)越嚴(yán)格的數(shù)據(jù)隱私法規(guī)。

安全措施：對(duì)云數(shù)據(jù)要有一個(gè)全局的概念，多注意數(shù)據(jù)會(huì)在哪些國(guó)家進(jìn)行存儲(chǔ)和處理并評(píng)估對(duì)數(shù)據(jù)的處理是否會(huì)給你帶來(lái)法律上的問(wèn)題。“宜未雨而綢繆，毋臨渴而掘井”。