現(xiàn)在的這個(gè)IT時(shí)代，有一些用戶對(duì)于安全問(wèn)題并不是太關(guān)心，的確，部署安全措施并不能帶來(lái)業(yè)務(wù)的增長(zhǎng)，只能是當(dāng)做對(duì)于業(yè)務(wù)風(fēng)險(xiǎn)的防范，為了防止出問(wèn)題才迫不得已去使用。很多的企業(yè)CEO對(duì)于數(shù)據(jù)安全問(wèn)題的認(rèn)識(shí)還只是停留在被黑了找個(gè)人籌建團(tuán)隊(duì)，只要不出事就行，也不會(huì)當(dāng)安全是一件有競(jìng)爭(zhēng)力的事情，自然也就認(rèn)為不重要。

[[206263]]

在還沒(méi)有云計(jì)算技術(shù)的那個(gè)時(shí)代，公司還都在用安全廠商的產(chǎn)品，買個(gè)防火墻、WAF、入侵防御，組建一支安全工程師的團(tuán)隊(duì)，做滲透測(cè)試然后修復(fù)漏洞。在云計(jì)算企業(yè)安全之前，對(duì)于企業(yè)用戶來(lái)說(shuō)，企業(yè)安全包含的內(nèi)容是非常豐富的。

首先，在企業(yè)內(nèi)部，網(wǎng)絡(luò)安全領(lǐng)域就是一個(gè)非常重要的領(lǐng)域，比如劃分網(wǎng)域，使用防火墻控制外部進(jìn)入到內(nèi)部網(wǎng)絡(luò)的端口和IP，比如通常會(huì)遇到的DDoS攻擊。同時(shí)，反欺詐是金融和電商常用到的安全防御，防止一些惡意用戶利用技術(shù)手段獲取利益。舉個(gè)例子，某些網(wǎng)站通過(guò)id等手段進(jìn)行價(jià)格判斷，但存在一定邏輯缺陷。導(dǎo)致可利用低價(jià)商品的ID號(hào)購(gòu)買高價(jià)值的商品。

服務(wù)器的漏洞會(huì)導(dǎo)致服務(wù)器被黑客攻擊引起停機(jī)，信息泄漏，攻擊內(nèi)部其他機(jī)器等風(fēng)險(xiǎn)問(wèn)題，一般會(huì)通過(guò)安裝防病毒軟件，定期的漏洞掃描和修復(fù)，及時(shí)更新和定期改密，密碼使用復(fù)雜的強(qiáng)密碼。

沒(méi)有上云的企業(yè)一般是自建機(jī)房或者托管在IDC機(jī)房中，這就涉及到機(jī)房的安全措施和規(guī)范，不允許沒(méi)有權(quán)限的人進(jìn)入機(jī)房是最基本的規(guī)定，此外還要考慮機(jī)房的溫度、濕度等環(huán)境因素是否會(huì)造成機(jī)房的失火，設(shè)備運(yùn)行不穩(wěn)定等問(wèn)題。對(duì)機(jī)房要做到控制并登記出入人員，24小時(shí)監(jiān)控機(jī)房狀況，防止人為或者物理的威脅。

從甲方角度考慮：云更劃算

云計(jì)算的誕生就是讓用戶能夠像使用水電煤氣那樣去使用云服務(wù)，提升用戶效率的同時(shí)還降低了整體的運(yùn)維成本，那么現(xiàn)階段來(lái)說(shuō)，究竟哪些安全領(lǐng)域問(wèn)題能夠交給云計(jì)算去處理呢?

外網(wǎng)防火墻，使用云主機(jī)就可以使用云平臺(tái)提供的外網(wǎng)防火墻。提供簡(jiǎn)單的功能，比如對(duì)端口和IP進(jìn)行放行或者攔截的限制。未來(lái)云計(jì)算發(fā)展應(yīng)該會(huì)提供更豐富好用的防火墻。

高防服務(wù)。對(duì)于抗DDoS來(lái)說(shuō)，使用云平臺(tái)的高防服務(wù)是省錢省力的一件事情。遇到DDoS攻擊不會(huì)是每天都發(fā)生的事情，如果自己組建個(gè)團(tuán)隊(duì)再部署一個(gè)清洗機(jī)房，拉好幾百G的帶寬來(lái)做這件事情成本高精力花的多，得不償失。

服務(wù)器審計(jì)系統(tǒng)。也就是堡壘機(jī)。使用云上的堡壘機(jī)一個(gè)不容易宕機(jī)，另外一點(diǎn)是數(shù)據(jù)不容易被篡改，堡壘機(jī)作為第三方提供的服務(wù)，數(shù)據(jù)存放在自己的設(shè)備上，但是自己人沒(méi)辦法上去修改設(shè)備中的數(shù)據(jù)。更安全。

代碼審計(jì)，滲透測(cè)試，代碼框架的安全功能。這些屬于有點(diǎn)"繁瑣"的工程，大部份甲方團(tuán)隊(duì)都沒(méi)有足夠的人力去應(yīng)付產(chǎn)品線交付的數(shù)據(jù)量龐大的代碼，沒(méi)有能力去實(shí)踐完整的SDL，這也是比較有挑戰(zhàn)的安全業(yè)務(wù)，而且還在持續(xù)增長(zhǎng)中。

云計(jì)算目前還不能防護(hù)的領(lǐng)域

辦公網(wǎng)安全。需要企業(yè)提升員工的安全意識(shí)，對(duì)接整個(gè)公司的各個(gè)部門，將紙質(zhì)文檔，客戶隱私，內(nèi)部郵件等等有意識(shí)的保護(hù)起來(lái)。

安全品牌營(yíng)銷，渠道維護(hù)。比如為品牌的安全形象進(jìn)行市場(chǎng)宣傳，尤其金融公司，使用者都非常關(guān)心金融公司的安全性，是否能夠保障資金的安全。

過(guò)一些安全資質(zhì)的評(píng)審，比如信息安全評(píng)審，或者三級(jí)等級(jí)保護(hù)評(píng)審。

對(duì)業(yè)務(wù)形成自己的風(fēng)控及安全管理方法論，要有自主評(píng)估和修復(fù)的能力。