撥開迷霧入“云端”

孫杰賢

“撥開迷霧入云端”這是安永第十四屆全球信息安全調查報告的主題。作為全球歷史最悠久、認可度最高的信息安全調查，安永的每一次報告發布都備受關注。

安全是個永恒的話題，而當越來越多的企業將公司的運營建立在信息化之上，安全也因此變得史無前例得重要。試想，如果企業未能做好信息安全工作，那么他們的客戶如何能信任其提供的信息甚至其所有業務呢？

安永全球信息科技風險咨詢服務主管合伙人Paul van Kessel表示，當前的全球商業環境發生了前所未有的變化，出現了諸多基于新技術的新商業模式?！拔覀兛吹皆絹碓蕉嗟膫鹘y和非傳統企業將信息，甚至將全部業務模式移人‘云中。然而，以云計算為代表的新技術、新應用以及新業務模式的出現也帶來了新的風險。因此，今年的調查報告應該為那些尚未認識和解決相關風險的企業敲響一記警鐘，云計算安全是我們關注的重點”。

安全新挑戰

的確，從來沒有哪種IT技術能像云計算這樣受關注，受青睞。由于對人力、物力和財力的解放，無論公有云還是私有云都是企業c10研究和追逐的一個重點。云計算不但顛覆了IT的交付模式，也影響到了企業的整體戰略規劃。傳統的IT模式要求我們建立龐大的基礎設施和復雜的應用程序架構，這僅僅是為了運行我們最基本的業務流程。云計算造就了新一代的企業用戶：成熟消費者可以像用菜單點菜一樣便捷地選擇所需要的消費服務或服務組合。由于企業認識到走入云端的益處，加之對云計算商業模式的信心持續增強，他們將把更多的重要職能，甚至整個IT基礎設施和應用平臺移入云中，從而徹底改變其商業模式和IT職能。這樣，企業將有可能大幅減少，甚至消除IT業務。

根據安永的調查，61%的受訪者目前正在使用、評估或計劃在未來一年內使用云計算服務。是的，越來越多的企業正在進入一個以云計算為代表的新技術所營造的這個充滿誘惑與挑戰的虛擬世界，而且可以肯定的是后續跟進的企業將會更多。但有一點企業必須意識到，在這個新的虛擬世界中，信息安全模式已經發生了顯著的變化，對許多企業來說，是否能提供適當的信息安全就像獲得“經營許可證”一樣重要。

信息安全是企業成功走入云計算的一個關鍵組成部分和重要的促成因素。令人倍受欣慰的是，根據安永的調查，59%的受訪者計劃在未來12個月內增加其信息安全預算。但種種跡象顯示，預算資金可能并未得到合理的支出，因為僅有51%的受訪者表示其企業已制訂了信息安全策略。

安永信息科技風險咨詢服務總監林育民認為，數字化和信息化的趨勢所帶來的挑戰需要企業制定縝密的策略和采取穩妥的應對措施。他說：“臨時的解決方案可能在過去還能發揮作用，但在未來不具有可持續性。因此，重要的是要認識到：如果未能抓住工作重點，單純增加投資并不能為安全保護提供任何保證。企業必須采取務實、積極的措施而不是被動地應對。董事會應更多地探討信息安全問題，制定明確的戰略以支持云計算服務及其他業務。只有信息安全成為服務和產品提供的不可或缺的部分，并納入管理層的日常考慮事項，它才會被視為提升企業績效的一個戰略因子。”

避免盲目風險

盡管云計算的應用極其富有吸引力，但許多企業仍不清楚云計算的意義，因此林育民指出，企業首先需要加強對云計算的影響和風險的認知。在安永關注的16個信息安全領域中，受訪者表示云計算是未來12個月的首要投資重點，在最有可能獲得更多投資的類別中，云計算排在第二位。為了獲取高配置、能快速部署并由外部管理的應用程序，企業的通常做法是對云計算的收益和風險進行權衡，并最終會選擇一個折中的方案，這是一種冒險的做法，因為這樣做會讓審計與合規等監管機構認為企業缺乏專業知識和經驗，從而將這些折中方案視為危險舉措。同時，企業對第三方云服務的偏好加大了其對對方的依賴，同時令自己淡化了對核心業務應用程序內部運行的考慮。另外，由于企業與其第三方云服務提供商的合作愈發緊密，因而他們還面臨合規風險、合約風險、法律風險以及整合風險。

“企業應該知道，進入云計算不僅是一個變革計劃，而是業務流程包括與其相關風險在內的一次徹底變革?！绷钟裾f，“因此企業在選擇第三方云服務提供商時需要對他們的有足夠的了解，不僅僅是產品?！倍鄶凳褂迷朴嬎愕钠髽I目前正在使用SaaS服務，但是他們所購買的SaaS可能來自于正在使用PaaS能力的云服務提供商，而這種PaaS能力則來自于提供IaaS服務的云服務提供商。這類似于汽車制造商將發動機生產外包給一家公司，而這家公司又將鋼鐵鑄造外包給另外一家供應商。各供應商之間的界限相當模糊，而在數據能夠在供應商之間自由流動的世界里，信任就變成了一種寶貴的商品。因此，企業必須要與云服務提供商建立信任關系，以打消對能否信任和依賴其管理業務和數據流程的疑慮。

另外，隨著云計算不斷發展，服務供應商也越來越有能力提供高價值、方便使用的解決方案，但企業仍面臨將外部云計算融入其企業營運的種種問題。這也導致對控制方案不確定的企業僅選擇和實施了一部分可用的控制措施，有的企業甚至未實施任何控制措施。最常見的措施就是加大力度監管與云服務供應商的合約管理流程，但這可能存在一定的盲目性。

建立信任關系

在缺乏明確指導的情況下，許多企業容易做出不明智的決策，要么未適當考慮相關風險就過早地進入云，要么完全不考慮云服務。如何建立企業與第三方云服務提供商之間信任的關系呢？幾乎所有人都贊成外部認證，“選擇認證比信任更重要”。事實上，有關云認證的指導近期已取得了很大的進展。許多企業開始制訂管理流程，這些流程基于類似在金融服務行業使用的服務認證和審核框架。另外，在建立一致的信任模式方面已經取得了較大的進展（例如：云安全聯盟），許多企業會發現與可信任聯盟中的供應商合作會更加安心。當然，云服務行業自身需要進一步發展。目前，對可擴展性、按客戶情況“量體裁衣”和低成本的要求是推動企業使用云服務的因素。但是，由于確實存在風險，因此是否使用云服務應該在考慮其帶來的優勢的情況下進行權衡。

隨著云行業的發展，信任能力亦必須發展，這將通過制定受監管的信任標準來實現。目前，許多聯盟在努力實現這一目標，包括企業層面和國家層面。企業必須繼續遵循這些企業制訂的指導，與行業實踐保持一致，鼓勵在服務供應商中實施標準化規范。依賴外部企業不足以徹底解決所有與云計算相關的風險。這些風險可能意味著企業運營方式將發生重大變化，因此必須由正規的企業和IT風險管理程序來管理。

對于企業自身而言，需要調整企業信息安全策略，制訂業務連續性計劃，選擇在系統恢復方面可提供透明服務的供應商，而在簽訂云服務協議之前要了解風險責任人，當然不能忘了繼續使用曾對其他技術發揮有效作用的、規范的安全流程和技術。