云安全——三分技术 七分管理

在经历了近三年的基础设施大规模扩张之后,微软等软件平台的进入,让中国企业级云计算的应用终于进入倒计时。

ITValue和英特尔共同发起的一项针对CIO的调查结果显示,有19%的企业已经在部署或应用云计算,28%的企业考虑近期部署云计算,53%的企业目前尚无部署云计算的时间表。对于公共云,CIO们的顾虑主要集中在安全与隐私,以及与企业其他信息系统的集成问题。

云计算面临临门一脚,“私有数据”的信息安全问题依然是最终用户绕不过去的心理门槛。世纪互联(北京世纪互联宽带数据中心有限公司,21VianetGroup,Inc.NASDAQ:VNET)云计算首席专家李志霄博士评论说:“云安全三分靠技术,七分靠管理。以安全问题或法规壁垒为借口(例如政务内网不允许云化)会拖慢企业整个IT进化的进程。”

对此,李志霄博士的解释是:“CIO所等待的完美的安全解决方案并不存在,这一点用三个问题就可以说明:1、只有技术,没有安全政策,企业风险评估与用户认知行吗?2、高可用性,保密性,正确性,三者有可能同时尽善尽美吗?3、有完全无法窃听的传输介质吗?很显然,至今仍没有一家公司可以给出完全肯定的答案。”

李志霄博士认为,企业对于使用云技术的心理障碍来自于对云计算实际应用场景的认知缺乏。“数据安全是相对的。无论是否使用云,企业数据都有可能受到攻击。地球上只要有黑客,安全永远做不到100分,安全问题会始终存在。但在体制与专业技术的支持下,公共银行的安全性并不会比私人的保险箱更差。”

微软一项针对中小企业的调查显示,由于云服务是由供应商进行管理,安全上的好处是云服务它将安全管理时间每周削减了18个小时。在过去的三年中,使用云服务的企业享有在安全方面支出减少5倍以上的优势,使用云服务的公司中有20%表示他们减少了安全管理成本,但在不使用这项服务的公司中,这一数量只有4%。

李志霄博士认为:“云安全其实是不求上进的CEO,CIO的借口,不应该成为企业拒绝云化的理由。在此基础之上,CIO需要对残酷的现实有所认知:1、安全,好用,低价,三者只能取其二;2、攻击不会停止,安全问题永远存在;3、隐患不全从外部来,还会从内部涌现。”

实际上,企业开始考虑启用云计算平台之前,CIO就应当对可能面临的风险与利益进行全面的评估。安全不是防火墙,不是杀毒软件,也不是DDoS清洗,与云服务供应商共同制定完善的安全防御机制是管理权重占据70%的意义所在。

“我们能做的只有在政策与认知的基础上,利用产品做好纵深防御,消除单点故障。同时,安全需要用户、产品供应商、云服务商,甚至全社会的共同努力,需要完善的法规监管。云安全是一个不断成熟的生态体系,是旅程,不是目的地。”世纪互联李志霄博士认为云安全管理不仅仅是某一家企业或者云服务商的责任,CIO对于云安全的观念转变会推进公有云和企业私有云的落地应用。