用管理堵云中漏洞

有的人放心大膽地用，有的人卻謹慎打量，擔心安全問題，這就是云存儲正在面對的糾結現狀，也是所有云廠商都要面對的困境。事實上，要想保證數據安全，做好企業內部的管控是一個重要的方面，萬網近日出現的紕漏就是證明。該事件當事人透露，并非是技術漏洞導致網站數據被刪，而是因為萬網的銷售人員弄錯了合同日期，又沒有及時與客戶聯絡溝通，導致系統按錯誤到期時間自動刪除了客戶的數據。

由此可見，管理不善往往才是安全漏洞的禍首，“人”的因素必須受到云存儲廠商的重視。

服務商：穩定壓倒一切

2012年，亞馬遜AWS、Google App Engine、蘋果iCloud都發生過宕機事故，給業界敲響了警鐘。這一年，國內的云平臺也屢次碰到麻煩，包括京東商城充值平臺出現漏洞造成慘重損失、盛大云服務發生因機房服務器磁盤損壞而導致用戶資料丟失等。“出現事故大多一半是因為天災，一半則是因為人禍。”阿里云一位負責人張先生說，其實宕機事故和安全威脅沒有必然的聯系，各家云服務商在設計上都盡可能地屏蔽了外部的安全威脅。但因為云平臺是個非常復雜的系統，當發生設計上未考慮過的情況，或者運維人員在操作手冊規定之外做出一個誤操作，都可能帶來“蝴蝶效應”。

“用戶最擔心的問題是平臺服務的穩定性。”張先生肯定地說，云存儲用戶關心的問題較多，包括數據可靠性、訪問速度、接口的易用性等等，但是穩定問題壓倒一切。從目前情況來看，國內現有的很多云服務都存在風險，讓不少企業對是否進入云端很猶豫，云存儲廠商必須完善自身的安全管理，以得到市場的認可。而要想實現數據安全，一定要明白“三分靠技術，七分靠管理”的原則。

首先，作為服務提供商需要從技術的角度做周全準備，在云平臺構建之初，必須盡可能全面考慮可能遭遇的情況，并把每個問題對應的解決策略都做好，這樣才會有備無患。其次，產品層面同樣要有充分設置，為云平臺提供安全檢測、防攻擊等服務，面向用戶使用時，則以加密對來保證用戶數據的安全訪問，尤其對于指定為私有的數據，必須要求只有使用加密對才能訪問，同時用戶也可以隨時設定自己的數據訪問權限。百度云服務也依托分布式存儲引擎Mola系統，以達到支持可擴展性強、訪問并發性強的業務的目的。

此外，云服務商對于運維過程的監管以及法規的建立，應該投入更多的關注度和力度。尤其是在系統維護過程中，一定要與用戶及時溝通，切實滿足用戶的實際需求，否則出現萬網那樣的事故就在意料之中了。據知情人士透露，正是因為一直沒有把管理問題理順做細，所以萬網已經不是第一次丟失客戶數據，此前還發生過將某小區業主論壇數據誤刪的事故，只不過因為小區論壇版主自己保留了備份，萬網才能有機會補救。不難看出，不少云安全事故本來是可以避免的，服務商只要有足夠的責任心，就能為消弭用戶對于云計算的顧慮做出貢獻。

用戶：增強把控能力

廠商和用戶都有必要認識到：云計算和其他基礎設施一樣，不可能是萬無一失的，雙方都需做好自身的管理。云系統和應用在設計時就應該為故障做好準備，而用戶也應該做好自己的系統設計，以備意外，提高自身對于云計算的認知和把控能力，而不是把一切扔到云端就萬事大吉。

業內專家認為，企業在選擇云服務產品時，應該為云計算建立或購買一個風險評估框架。這個框架應該包括：定義云服務使用時的信息安全策略，對企業數據進行分類，判斷哪些數據適合存儲在云計算環境，哪些數據會面臨較大的風險。評估一旦數據的保密性、完整性和可用性受損后，對企業業務的沖擊情況；其次，將公共云服務安全風險內容建檔保存，列出降低云服務安全風險的控制方案，升級信息安全合約，解決采用云服務后帶來的安全和操作上的問題。服務等級協議未達標的補償方式、信息系統審計和調查取證的權力等，都必須寫入與云服務供應商簽訂的合約中。還應對云服務產品進行滲透測試，對云服務供應商的安全控制能力進行審查，選擇最能符合企業安全需求的云服務供應商；最后，建立公共云服務退出策略，企業必須建立一套云服務退出策略，以便在企業必須將所有數據和應用遷移回企業內部或改換云服務商時，避免被云服務供應商綁定而無法退出。

應該相信，隨著云計算市場規模的不斷擴大，其法規監管制度會日漸完善，但要想讓云計算真正落到實處，讓用戶放心、安心地使用，還需要來自服務提供商、設備供應商以及用戶和政府等多個層面的共同推動。尤其需要看到，運作云存儲服務需要足夠的資金、技術作為支撐，巨頭公司在這個領域的優勢其實更加明顯，已經獲取一定市場地位的云服務企業應該珍惜自己的積累，即使是對于剛收購不久的企業，也要盡快妥善解決管理問題。

鏈接

如何更好地部署云安全

1. 了解自己和云提供商的基礎設施。對于供應商的設置了解得越少，就越容易陷入被動。

2. 詢問安全和法律團隊，審查與云服務供應商所簽訂的合同，確認其對于安全保證具有法律約束力。

3. 研究供應商的服務水平協議，確保可以監控應用程序，同時在發生安全漏洞事件時服務供應商會第一時間通知你。

4. 在訂立合同時，咨詢供應商的相關雇用政策和雇員監察的做法，因為內部人員的惡意攻擊往往就意味著安全風險。

5. 研究安全控制方案，并確保云提供商在恰當的地方進行有效控制。另外，了解供應商如何處理違規行為。

6. 要知道你的企業對于系統的保密性和完整性負有最終責任。如果可能的話，在供應商的幫助下定期進行基于云系統的滲透測試，識別漏洞。

7. 部署自己的安全工具，如復雜的密碼、數據加密和數據訪問管理軟件，集成云基礎設施。

（資料來源：《計算機世界》根據網上資料整理）