如何练就云计算的保密性完整性可用性

云计算的概念本意上是围绕基础架构设计的企业外部共享资源池。云计算作为一种能够减少企业成本和提升IT灵活性的有效途径,最近得到了更多企业的关注和长足发展的动力。但不容忽视的是云计算的应用也伴随着安全性的风险,诸如企业应用的风险,可用性和数据完整性等。

企业应用咨询公司的首席分析师Josh Greenbaum强调说,多数企业对云计算的风险还没有给予足够的重视。“如果数据中心的管理者们去关注机房里的主要设施,看到服务器之外都配置了一个备用电源,他们就认为没有问题了”Greenbaum表示。他认为云计算应该也没有什么不同。

在某些情况下,如果风险太大就不能过于依赖云计算。企业在决定要把一些服务器和应用软件放在云上时,必须考虑清楚如何对可能的风险进行管理。

Gartner咨询公司副总裁兼分析家David Cearley表示使用云计算的局限是企业必须认真对待的敏感问题,企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量。举例来说,企业通过放弃对某些数据的控制来获取经济上的交换成本节约。对于IT部门里那些C级别的高层管理者来说,他们必须对这种交易是否值得做出决策。Cearley表示每件事务最终都能作为云服务提供,但是对于任何独立的企业而言,并非每件事务都能从云上获取。

“在企业外部的共享资源池中,用户对资源在何处运行一无所知也无从控制。如果你认为数据所在的位置和来源对你很重要,那么这就成为你不使用云计算的一个原因”Cearley强调说。

安全标准与云无关

Greenbaum表示,IT业界有大量的行业标准。举例来说,诸如像SAS公司的交互关系管理(SAS Interaction Management)这样的服务标准广泛应用于IT安全和法规遵从和企业交互关系的管理。然而随着时间的流逝,交换式关系管理也将被转移到云上。

同时,在针对云计算体系架构的安全模式和标准出台以前,多数可能面临的风险和损失就直接落在了IT企业的肩上,而不是由云计算服务供应商来承担。“Salesforce.coms和NetSuites都无法提供由标准化制度保障的风险管理机制”Greenbaum补充说。

针对云计算的最佳实践指南

IBM公司安全和风险管理部门总监Kristin Lovejoy认为,享受云服务的消费者最终要负责对数据的保密性,完整性和可用性的维护。

Lovejoy引用健康保险便利及责任法案(Health Insurance Portability and Accountability Act, HIPAA) 的事实为例解释说,健康保险便利及责任法案没有对数据安全有特别规定。取而代之的是,法案的第164.308和164.314章节中只是简单的要求企业要确保来自任何第三方处理数据的安全性。Lovejoy强调说。

至于对云配置的时间加以限制的做法,Lovejoy建议说企业应该按照杰弗里。摩尔的“相对核心”理论去做(摩尔是TCG顾问公司的创建者兼商业战略家)。

Lovejoy解释说,核心商业惯例提倡的是竞争差异化。而相对惯例传递的是企业内部行为的理念,诸如人力资源服务和薪资制度。核心惯例和相对惯例能被分为关键任务应用软件和非关键任务应用软件。“如果非关键任务应用软件脱机,企业依然能继续生存”。

Lovejoy还强调说,摩尔的理论是“如果企业实践是相对和非关键任务的,可以把它放在云上,如果是相对又是关键任务的,可以用云激活。如果是核心业务而不是关键任务,你可以考虑把它置于防火墙的保护下;如果它即是核心业务又是关键任务,你就必须把它放在防火墙的保护下”。

从容进行安全保护

Gartner咨询公司首席安全分析师John Pescatore表示,云计算的方法最初没有考虑安全性的设计。

Pescatore最担心的部分是如何快速实现云服务的升级和转变。他引用微软公司进行软件开发的生命周期为例,假设关键任务应用软件的开发需要经历3到5年的周期,在这段时间里不会有大的变化。

“在云上,每个两周就要增加一种新的特性,随时都要会对应用软件进行调整。但是安全的软件开发生命周期是不能建立在云上完成的”Pescatore认为“更糟的是企业用户无法忍受使用过时的版本,在云上你必须接受新版软件,而这些版本可能就存在着不安全因素”。

随着云计算的不断发展,安全成为企业高端,金融机构和政府IT部门的核心和关键性任务,这些领域都需要添加自己的安全层。这就意味着云计算并不比内部运行应用软件要便宜。

但是如果大型企业无法以来云提供的安全服务,小规模的企业却能从云上获得更好的安全保护,Pescatore介绍说。原因之一就是云服务供应商能比个体和小型公司在安全上投入更多的资金,因为这种费用能分摊到数百名用户上。另一个原因是一旦云服务供应商为安全漏洞进行修补,所有的用户就能立即得到保护,不必去下载补丁程序。

掌控数据来源

还有一个问题或多或少的会对用户产生影响,那就是他们数据的来源。Pescatore表示,由于不同国家适用的数据管理和隐私保护的相关法律不尽相同,所以数据来源对从事跨国业务的企业尤其重要。比如欧盟就对个人数据的存储和公民隐私保护有着严格的规定。许多银行业行规也要求用户的金融数据要保留在本国。许多遵从法规还要求数据之间不能相互混淆,诸如共享服务器或数据库等。

如今我们对数据在云上存储的位置一无所知。关于数据的私密性和安全性衍生出的问题随时在发生。但是这种不确定的数据来源状况开始发生改变了。举例来说,谷歌要求用户详细说明Google Apps数据的存储位置,这主要归功于谷歌对电子邮件安全公司Postini的收购。再比如瑞士银行要求用户数据文档要存储在瑞士,谷歌现在就能做到这一点。

Pescatore表示,更深入的做法是从物理上将企业数据和云上多用户体系架构基础上的其他用户数据相分离。而且Pescatore预测说这种隔离能够通过目前尚处于初级阶段但发展日益强大的虚拟化技术来实现。

云计算的概念本意上是围绕基础架构设计的企业外部共享资源池。云计算作为一种能够减少企业成本和提升IT灵活性的有效途径,最近得到了更多企业的关注和长足发展的动力。但不容忽视的是云计算的应用也伴随着安全性的风险,诸如企业应用的风险,可用性和数据完整性等。

企业应用咨询公司的首席分析师Josh Greenbaum强调说,多数企业对云计算的风险还没有给予足够的重视。“如果数据中心的管理者们去关注机房里的主要设施,看到服务器之外都配置了一个备用电源,他们就认为没有问题了”Greenbaum表示。他认为云计算应该也没有什么不同。

在某些情况下,如果风险太大就不能过于依赖云计算。企业在决定要把一些服务器和应用软件放在云上时,必须考虑清楚如何对可能的风险进行管理。

Gartner咨询公司副总裁兼分析家David Cearley表示使用云计算的局限是企业必须认真对待的敏感问题,企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量。举例来说,企业通过放弃对某些数据的控制来获取经济上的交换成本节约。对于IT部门里那些C级别的高层管理者来说,他们必须对这种交易是否值得做出决策。Cearley表示每件事务最终都能作为云服务提供,但是对于任何独立的企业而言,并非每件事务都能从云上获取。

“在企业外部的共享资源池中,用户对资源在何处运行一无所知也无从控制。如果你认为数据所在的位置和来源对你很重要,那么这就成为你不使用云计算的一个原因”Cearley强调说。

安全标准与云无关

Greenbaum表示,IT业界有大量的行业标准。举例来说,诸如像SAS公司的交互关系管理(SAS Interaction Management)这样的服务标准广泛应用于IT安全和法规遵从和企业交互关系的管理。然而随着时间的流逝,交换式关系管理也将被转移到云上。

同时,在针对云计算体系架构的安全模式和标准出台以前,多数可能面临的风险和损失就直接落在了IT企业的肩上,而不是由云计算服务供应商来承担。“Salesforce.coms和NetSuites都无法提供由标准化制度保障的风险管理机制”Greenbaum补充说。

针对云计算的最佳实践指南

IBM公司安全和风险管理部门总监Kristin Lovejoy认为,享受云服务的消费者最终要负责对数据的保密性,完整性和可用性的维护。

Lovejoy引用健康保险便利及责任法案(Health Insurance Portability and Accountability Act, HIPAA) 的事实为例解释说,健康保险便利及责任法案没有对数据安全有特别规定。取而代之的是,法案的第164.308和164.314章节中只是简单的要求企业要确保来自任何第三方处理数据的安全性。Lovejoy强调说。

至于对云配置的时间加以限制的做法,Lovejoy建议说企业应该按照杰弗里。摩尔的“相对核心”理论去做(摩尔是TCG顾问公司的创建者兼商业战略家)。

Lovejoy解释说,核心商业惯例提倡的是竞争差异化。而相对惯例传递的是企业内部行为的理念,诸如人力资源服务和薪资制度。核心惯例和相对惯例能被分为关键任务应用软件和非关键任务应用软件。“如果非关键任务应用软件脱机,企业依然能继续生存”。

Lovejoy还强调说,摩尔的理论是“如果企业实践是相对和非关键任务的,可以把它放在云上,如果是相对又是关键任务的,可以用云激活。如果是核心业务而不是关键任务,你可以考虑把它置于防火墙的保护下;如果它即是核心业务又是关键任务,你就必须把它放在防火墙的保护下”。

从容进行安全保护

Gartner咨询公司首席安全分析师John Pescatore表示,云计算的方法最初没有考虑安全性的设计。

Pescatore最担心的部分是如何快速实现云服务的升级和转变。他引用微软公司进行软件开发的生命周期为例,假设关键任务应用软件的开发需要经历3到5年的周期,在这段时间里不会有大的变化。

“在云上,每个两周就要增加一种新的特性,随时都要会对应用软件进行调整。但是安全的软件开发生命周期是不能建立在云上完成的”Pescatore认为“更糟的是企业用户无法忍受使用过时的版本,在云上你必须接受新版软件,而这些版本可能就存在着不安全因素”。

随着云计算的不断发展,安全成为企业高端,金融机构和政府IT部门的核心和关键性任务,这些领域都需要添加自己的安全层。这就意味着云计算并不比内部运行应用软件要便宜。

但是如果大型企业无法以来云提供的安全服务,小规模的企业却能从云上获得更好的安全保护,Pescatore介绍说。原因之一就是云服务供应商能比个体和小型公司在安全上投入更多的资金,因为这种费用能分摊到数百名用户上。另一个原因是一旦云服务供应商为安全漏洞进行修补,所有的用户就能立即得到保护,不必去下载补丁程序。

掌控数据来源

还有一个问题或多或少的会对用户产生影响,那就是他们数据的来源。Pescatore表示,由于不同国家适用的数据管理和隐私保护的相关法律不尽相同,所以数据来源对从事跨国业务的企业尤其重要。比如欧盟就对个人数据的存储和公民隐私保护有着严格的规定。许多银行业行规也要求用户的金融数据要保留在本国。许多遵从法规还要求数据之间不能相互混淆,诸如共享服务器或数据库等。

如今我们对数据在云上存储的位置一无所知。关于数据的私密性和安全性衍生出的问题随时在发生。但是这种不确定的数据来源状况开始发生改变了。举例来说,谷歌要求用户详细说明Google Apps数据的存储位置,这主要归功于谷歌对电子邮件安全公司Postini的收购。再比如瑞士银行要求用户数据文档要存储在瑞士,谷歌现在就能做到这一点。

Pescatore表示,更深入的做法是从物理上将企业数据和云上多用户体系架构基础上的其他用户数据相分离。而且Pescatore预测说这种隔离能够通过目前尚处于初级阶段但发展日益强大的虚拟化技术来实现。


相关文章

  • 计算机网络安全导论
  • 攻击类型:主动攻击.被动攻击 安全审计与通告:1. 最具有价值的安全通告与培训内容是安全策略与安全管理(70%),接下来是访问控制系统(64%),数字凭证是一种规范.验证.和传达身份及简介信息的有效机制,它也包含了验证其可信度的方法.分为活 ...查看


  • 互动用电方式下的信息安全风险与安全需求分析
  • 第35卷 第2期2011年1月25日Vol.35 No.2 ,Jan.252011 互动用电方式下的信息安全风险与安全需求分析 刘 念,张建华 ()华北电力大学电气与电子工程学院,北京市102206 摘要:互动用电是智能电网的基本特征之一, ...查看


  • 计算机网络基础知识
  • 计算机是迄今为止人类历史上最伟大.最卓越的技术发明之一.人类因发明了电子计算机而开辟了智力和能力延伸的新纪元.人类近代特别重视研究信息和利用信息,是从20世纪40年代研究通信技术开始的.电子计算机的诞生,为信息的采集.存储.分类以及适合于各 ...查看


  • 构建企业信息安全保密技术防范体系
  • 构建企业信息安全技术防范措施 杜洪伟 天津第七市政公路工程有限公司,天津(300113) 摘 要:随着计算机网络的快速发展,网络资源共享也更加广泛.计算机网络面临着信息泄露.黑客攻击.病毒感染等多种威胁, 信息安全保密工作面临着严峻挑.本文 ...查看


  • 建设完整的气象信息安全管理体系
  • 一.引言 没有安全,何以生存,遑论发展:而信息时代安全的核心内容之一,便是信息安全.盖缘于此,世界上主要发达国家始终十分重视信息安全工作. 1998年5月22日,美国克林顿政府颁布了<保护美国关键基础设施>总统令(PDD63), ...查看


  • 信息安全复习题带答案
  • 密码学的目的是 . [ C ] A.研究数据加密 B.研究数据解密 C.研究数据保密 D.研究信息安全 注:密码学是以研究数据保密为目的的.答案A和c是密码学研究的两个方面,密码学是信息安全的一个分支.密码学以研究数据保密为目的,必然要有高 ...查看


  • 计算机职业道德_复习资料
  • 1. 我们经常说的信息技术主要包括哪些技术? • 答:电子技术 计算机技术 软件技术 芯片技术 人工智能 网络技术 其他重要信息技术,包括信息采集技术.信息搜索技术.信息保密技术等. 2. 职业道德准则能够发挥哪些功能? 1. 激励 伦理准 ...查看


  • 涉密计算机安全策略文件
  • 厦门冠宇科技股份有限公司 涉密计算机及信息系统安全策略文件 1 概述 涉密计算机及信息系统安全策略文件属于顶层的管理文档,是计算机系统与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件.涉密计算机及信 ...查看


  • 对于计算机网络安全的决策解析
  • 摘 要:在现代的社会,网络的发展可谓是突飞猛进,因此计算机网络安全也越来越受到人们的关注.计算机网络安全是一个在防火墙和杀毒软件之后的防御计算机网络安全的又一重点.计算机的发展是和我们的生活有着息息相关,相辅相成的结果.但是计算机网络安全是 ...查看


热门内容