云來了，安全怎么辦

文/本刊記者 盧敏

要想在云端充滿信心，IT部門必須采取措施以確保其對于信息及應(yīng)用的控制能力與目標(biāo)始終保持一致的能力。

10月21日，賽門鐵克公司公布了《2011云端現(xiàn)狀調(diào)查》結(jié)果。該調(diào)查重點關(guān)注企業(yè)如何部署云計算以及如何處理云計算給IT管理帶來的變化等。調(diào)查顯示，企業(yè)對于云安全問題持矛盾態(tài)度——大多數(shù)企業(yè)將安全性同時列為邁入云端的最大擔(dān)憂和首要目標(biāo)。調(diào)查結(jié)果同時表明，企業(yè)可能還沒有充分做好邁入云端的準(zhǔn)備，因為幾乎一半的受訪者聲稱其IT員工目前還沒做好實現(xiàn)云計算的準(zhǔn)備工作。

“此次調(diào)查結(jié)果進一步驗證了用戶目前的態(tài)度和需求，安全性是其邁入云計算領(lǐng)域的最大擔(dān)憂，”賽門鐵克企業(yè)產(chǎn)品和服務(wù)集團總裁Francis deSouza指出，“想要在云端充滿信心，IT部門必須采取措施以確保其對于信息及應(yīng)用的控制能力與目標(biāo)始終保持一致的能力，無論企業(yè)已經(jīng)實現(xiàn)云計算環(huán)境，還是仍停留在原有的基礎(chǔ)架構(gòu)上。”

在提到報告對中國企業(yè)的借鑒意義時，賽門鐵克中國區(qū)技術(shù)支持部首席解決方案顧問林育民介紹說，報告提供了對信息安全市場前景策略的預(yù)期。將研究成果分享給業(yè)界，尤其是IT負(fù)責(zé)人，將能為企業(yè)對自身網(wǎng)絡(luò)安全維護工作進行自我評價提供一個衡量標(biāo)準(zhǔn)。國內(nèi)比較重視對傳統(tǒng)網(wǎng)絡(luò)安全的防護，像病毒控制、防火墻等的安全投入，國外有近一半開始關(guān)注合規(guī)管理到安全策略的制定與執(zhí)行，并應(yīng)對新型安全威脅的攻擊。這對提高國內(nèi)企業(yè)的信息安全防范意識有很好的借鑒意義，并使安全體系做得更健全、更健康。

林育民：將研究成果分享給業(yè)界，尤其是IT負(fù)責(zé)人，將能為企業(yè)對自身網(wǎng)絡(luò)安全維護工作進行自我評價提供一個衡量標(biāo)準(zhǔn)。

根據(jù)調(diào)查顯示，企業(yè)在準(zhǔn)備防范和應(yīng)對網(wǎng)絡(luò)攻擊方面仍有改善的余地。只有略超半數(shù)的受訪者表示，企業(yè)在部署常規(guī)安全措施方面表現(xiàn)非常出色。認(rèn)為企業(yè)在應(yīng)對安全攻擊和破壞方面做得非常好的受訪者數(shù)量略低一些。同時，不足半數(shù)的受訪者表示企業(yè)合規(guī)性方面表現(xiàn)良好，在采取創(chuàng)新型或戰(zhàn)略性安全措施應(yīng)對威脅方面，則表現(xiàn)欠佳。

報告也就企業(yè)安全的保障需要技術(shù)和管理相結(jié)合，制定并執(zhí)行IT策略，以確保企業(yè)的員工能夠增強安全意識等問題給企業(yè)提供了以下幾點建議：

首先，企業(yè)需要制定并執(zhí)行IT策略。通過在所有地點優(yōu)先考慮風(fēng)險及定義策略，企業(yè)能夠以內(nèi)置自動化和工作流程來實施政策，從而保護信息、識別威脅，在事故發(fā)生時盡力避免損失，或者在事故還沒有發(fā)生時及時預(yù)測。

其次，企業(yè)需要采取以信息為中心的方式來主動保護信息。采用內(nèi)容感知的方法來保護信息是非常重要的，它可以幫助企業(yè)識別保密信息和敏感信息并對它們進行分類，同時了解這些信息的存儲位置和訪問者，知道這些信息是如何進入或者離開企業(yè)等。主動為終端加密也可以幫助企業(yè)將設(shè)備丟失導(dǎo)致的各種損失降至最低。

再次，為幫助控制訪問，IT管理人員需要驗證并保護用戶身份、整個企業(yè)的場地和設(shè)備等。此外，他們還需要提供受信任的鏈接，并在適當(dāng)?shù)臅r候?qū)灰走M行驗證。

最后，IT管理人員需要保護所有的端點，包括日益增加的移動設(shè)備以及消息和網(wǎng)絡(luò)環(huán)境，從而保護其基礎(chǔ)架構(gòu)。為關(guān)鍵的內(nèi)部服務(wù)器提供保護并進行數(shù)據(jù)備份和恢復(fù)，也是非常重要的。此外，企業(yè)需要獲得可見性、安全智能，還需要對環(huán)境進行持續(xù)的惡意軟件評估，從而對威脅做出快速響應(yīng)。

此外，對于安全廠商而言，云計算的浪潮給他們帶了了諸多挑戰(zhàn)，首先是傳統(tǒng)的終端設(shè)備變得更加多樣并且更具移動性，其次是如何有效保護虛擬化環(huán)境的安全，原有物理機上的防病毒無法直接搬到虛擬機上。在此，數(shù)據(jù)不再只是在普通設(shè)備上，而是分布在各個分支機構(gòu)。