有的人放心大膽地用，有的人卻謹(jǐn)慎打量，擔(dān)心安全問題，這就是云存儲正在面對的糾結(jié)現(xiàn)狀，也是所有云廠商都要面對的困境。事實(shí)上，要想保證數(shù)據(jù)安全，做好企業(yè)內(nèi)部的管控是一個(gè)重要的方面，萬網(wǎng)近日出現(xiàn)的紕漏就是證明。該事件當(dāng)事人透露，并非是技術(shù)漏洞導(dǎo)致網(wǎng)站數(shù)據(jù)被刪，而是因?yàn)槿f網(wǎng)的銷售人員弄錯(cuò)了合同日期，又沒有及時(shí)與客戶聯(lián)絡(luò)溝通，導(dǎo)致系統(tǒng)按錯(cuò)誤到期時(shí)間自動刪除了客戶的數(shù)據(jù)。

由此可見，管理不善往往才是安全漏洞的禍?zhǔn)祝叭恕钡囊蛩乇仨毷艿皆拼鎯S商的重視。

服務(wù)商：穩(wěn)定壓倒一切

2012年，亞馬遜AWS、Google App Engine、蘋果iCloud都發(fā)生過宕機(jī)事故，給業(yè)界敲響了警鐘。這一年，國內(nèi)的云平臺也屢次碰到麻煩，包括京東商城充值平臺出現(xiàn)漏洞造成慘重?fù)p失、盛大云服務(wù)發(fā)生因機(jī)房服務(wù)器磁盤損壞而導(dǎo)致用戶資料丟失等。“出現(xiàn)事故大多一半是因?yàn)樘鞛?zāi)，一半則是因?yàn)槿说湣！卑⒗镌埔晃回?fù)責(zé)人張先生說，其實(shí)宕機(jī)事故和安全威脅沒有必然的聯(lián)系，各家云服務(wù)商在設(shè)計(jì)上都盡可能地屏蔽了外部的安全威脅。但因?yàn)樵破脚_是個(gè)非常復(fù)雜的系統(tǒng)，當(dāng)發(fā)生設(shè)計(jì)上未考慮過的情況，或者運(yùn)維人員在操作手冊規(guī)定之外做出一個(gè)誤操作，都可能帶來“蝴蝶效應(yīng)”。

“用戶最擔(dān)心的問題是平臺服務(wù)的穩(wěn)定性。”張先生肯定地說，云存儲用戶關(guān)心的問題較多，包括數(shù)據(jù)可靠性、訪問速度、接口的易用性等等，但是穩(wěn)定問題壓倒一切。從目前情況來看，國內(nèi)現(xiàn)有的很多云服務(wù)都存在風(fēng)險(xiǎn)，讓不少企業(yè)對是否進(jìn)入云端很猶豫，云存儲廠商必須完善自身的安全管理，以得到市場的認(rèn)可。而要想實(shí)現(xiàn)數(shù)據(jù)安全，一定要明白“三分靠技術(shù)，七分靠管理”的原則。

首先，作為服務(wù)提供商需要從技術(shù)的角度做周全準(zhǔn)備，在云平臺構(gòu)建之初，必須盡可能全面考慮可能遭遇的情況，并把每個(gè)問題對應(yīng)的解決策略都做好，這樣才會有備無患。其次，產(chǎn)品層面同樣要有充分設(shè)置，為云平臺提供安全檢測、防攻擊等服務(wù)，面向用戶使用時(shí)，則以加密對來保證用戶數(shù)據(jù)的安全訪問，尤其對于指定為私有的數(shù)據(jù)，必須要求只有使用加密對才能訪問，同時(shí)用戶也可以隨時(shí)設(shè)定自己的數(shù)據(jù)訪問權(quán)限。百度云服務(wù)也依托分布式存儲引擎Mola系統(tǒng)，以達(dá)到支持可擴(kuò)展性強(qiáng)、訪問并發(fā)性強(qiáng)的業(yè)務(wù)的目的。

此外，云服務(wù)商對于運(yùn)維過程的監(jiān)管以及法規(guī)的建立，應(yīng)該投入更多的關(guān)注度和力度。尤其是在系統(tǒng)維護(hù)過程中，一定要與用戶及時(shí)溝通，切實(shí)滿足用戶的實(shí)際需求，否則出現(xiàn)萬網(wǎng)那樣的事故就在意料之中了。據(jù)知情人士透露，正是因?yàn)橐恢睕]有把管理問題理順做細(xì)，所以萬網(wǎng)已經(jīng)不是第一次丟失客戶數(shù)據(jù)，此前還發(fā)生過將某小區(qū)業(yè)主論壇數(shù)據(jù)誤刪的事故，只不過因?yàn)樾^(qū)論壇版主自己保留了備份，萬網(wǎng)才能有機(jī)會補(bǔ)救。不難看出，不少云安全事故本來是可以避免的，服務(wù)商只要有足夠的責(zé)任心，就能為消弭用戶對于云計(jì)算的顧慮做出貢獻(xiàn)。

用戶：增強(qiáng)把控能力

廠商和用戶都有必要認(rèn)識到：云計(jì)算和其他基礎(chǔ)設(shè)施一樣，不可能是萬無一失的，雙方都需做好自身的管理。云系統(tǒng)和應(yīng)用在設(shè)計(jì)時(shí)就應(yīng)該為故障做好準(zhǔn)備，而用戶也應(yīng)該做好自己的系統(tǒng)設(shè)計(jì)，以備意外，提高自身對于云計(jì)算的認(rèn)知和把控能力，而不是把一切扔到云端就萬事大吉。

業(yè)內(nèi)專家認(rèn)為，企業(yè)在選擇云服務(wù)產(chǎn)品時(shí)，應(yīng)該為云計(jì)算建立或購買一個(gè)風(fēng)險(xiǎn)評估框架。這個(gè)框架應(yīng)該包括：定義云服務(wù)使用時(shí)的信息安全策略，對企業(yè)數(shù)據(jù)進(jìn)行分類，判斷哪些數(shù)據(jù)適合存儲在云計(jì)算環(huán)境，哪些數(shù)據(jù)會面臨較大的風(fēng)險(xiǎn)。評估一旦數(shù)據(jù)的保密性、完整性和可用性受損后，對企業(yè)業(yè)務(wù)的沖擊情況；其次，將公共云服務(wù)安全風(fēng)險(xiǎn)內(nèi)容建檔保存，列出降低云服務(wù)安全風(fēng)險(xiǎn)的控制方案，升級信息安全合約，解決采用云服務(wù)后帶來的安全和操作上的問題。服務(wù)等級協(xié)議未達(dá)標(biāo)的補(bǔ)償方式、信息系統(tǒng)審計(jì)和調(diào)查取證的權(quán)力等，都必須寫入與云服務(wù)供應(yīng)商簽訂的合約中。還應(yīng)對云服務(wù)產(chǎn)品進(jìn)行滲透測試，對云服務(wù)供應(yīng)商的安全控制能力進(jìn)行審查，選擇最能符合企業(yè)安全需求的云服務(wù)供應(yīng)商；最后，建立公共云服務(wù)退出策略，企業(yè)必須建立一套云服務(wù)退出策略，以便在企業(yè)必須將所有數(shù)據(jù)和應(yīng)用遷移回企業(yè)內(nèi)部或改換云服務(wù)商時(shí)，避免被云服務(wù)供應(yīng)商綁定而無法退出。

應(yīng)該相信，隨著云計(jì)算市場規(guī)模的不斷擴(kuò)大，其法規(guī)監(jiān)管制度會日漸完善，但要想讓云計(jì)算真正落到實(shí)處，讓用戶放心、安心地使用，還需要來自服務(wù)提供商、設(shè)備供應(yīng)商以及用戶和政府等多個(gè)層面的共同推動。尤其需要看到，運(yùn)作云存儲服務(wù)需要足夠的資金、技術(shù)作為支撐，巨頭公司在這個(gè)領(lǐng)域的優(yōu)勢其實(shí)更加明顯，已經(jīng)獲取一定市場地位的云服務(wù)企業(yè)應(yīng)該珍惜自己的積累，即使是對于剛收購不久的企業(yè)，也要盡快妥善解決管理問題。

鏈接

如何更好地部署云安全

1. 了解自己和云提供商的基礎(chǔ)設(shè)施。對于供應(yīng)商的設(shè)置了解得越少，就越容易陷入被動。

2. 詢問安全和法律團(tuán)隊(duì)，審查與云服務(wù)供應(yīng)商所簽訂的合同，確認(rèn)其對于安全保證具有法律約束力。

3. 研究供應(yīng)商的服務(wù)水平協(xié)議，確保可以監(jiān)控應(yīng)用程序，同時(shí)在發(fā)生安全漏洞事件時(shí)服務(wù)供應(yīng)商會第一時(shí)間通知你。

4. 在訂立合同時(shí)，咨詢供應(yīng)商的相關(guān)雇用政策和雇員監(jiān)察的做法，因?yàn)閮?nèi)部人員的惡意攻擊往往就意味著安全風(fēng)險(xiǎn)。

5. 研究安全控制方案，并確保云提供商在恰當(dāng)?shù)牡胤竭M(jìn)行有效控制。另外，了解供應(yīng)商如何處理違規(guī)行為。

6. 要知道你的企業(yè)對于系統(tǒng)的保密性和完整性負(fù)有最終責(zé)任。如果可能的話，在供應(yīng)商的幫助下定期進(jìn)行基于云系統(tǒng)的滲透測試，識別漏洞。

7. 部署自己的安全工具，如復(fù)雜的密碼、數(shù)據(jù)加密和數(shù)據(jù)訪問管理軟件，集成云基礎(chǔ)設(shè)施。

（資料來源：《計(jì)算機(jī)世界》根據(jù)網(wǎng)上資料整理）