人人需知的云计算安全知识

cloud-umbrella
尽管国内大笔投资的云计算落地似乎并不太顺利,不过真正的云计算往往比较低调,甚至并不愿冠以“云”这个名头。其实从广义上讲,使用基于互联网的信息托管服务,便是在使用云计算。在云端托管服务已经有了多年的历史,但是直到今天,仍然有不少互联网安全的问题,除了终端之外,它们当然也属于云计算的安全问题范畴。

当您连到互联网上,您便是在使用云计算,所以所有人都应该了解云计算的安全问题。昆明亭长朗然科技有限公司云计算观察员James Dong说:企业IT层面正在不断发生变革,在终端层面,自带计算设备BYOD日益流行;在网络层面,WLAN的部署使得网络通讯异常简单;在服务器层面,云端的托管即便宜又有弹性;在应用层面,WEB化和移动化已成趋势;今天我们已经可以看到传统上不断扩张的IT机房开始逆势缩减,更多的空间给了云计算。

在云端托管信息服务的问题在于安全,我们看到太多在线服务被黑客入侵然后曝光客户资料的事情,所以把企业内部敏感信息放在云端的服务器上,目前来讲,还不是很明智,除非我们是以互联网为主业的公司。

我们谈商业安全,谈信息数据的安全,也不能绕过承载这些信息数据的服务器和存储,基于平台即服务PaaS的云计算就是在出租服务器计算能力和数据存储空间。使用PaaS这类服务考验的是厂商的服务质量和用户的云计算使用水平,当然传统的操作系统管理仍然没有太大的变化。

除非您的公司足够大,否则别考虑所谓严肃的“私有云”以及“个人云”,它们虽然看起来安全一些,但是代价太高,和云计算“经济实惠”、“按需付费”的宗旨背道而驰。

上述几点关系更多的是IT决策层,不过云计算让我们面临更多安全威胁的是大量最终用户。昆明亭长朗然科技有限公司James称:企业内部IT应用的建设进度往往要落后于最终用户的需求和市场可提供的服务,这就给员工们“非法”使用基于互联网的云计算带来空间和机会,想要有效控管,除非断网,否则公司的各类信息数据都有可能流向云端,进而面临丢失等各类安全威胁。

如何有效避免敏感信息数据的外流呢?亭长朗然公司James给出几点建议:

1.教育员工在张贴、上传和分享数据之前三思而后行,不要上传有版权争议的文件,不要分享任何涉密甚至和公司和工作有关的内容。
2.加强互联网使用监控和引导,搜集业务相关的云计算使用需求并帮助进行评估和选择合适的厂商及服务。
3.强化公司相关信息的互联网监测和响应,和舆情监测不同的是关注的焦点是公司相关信息数据特别是涉密敏感数据。

云服务的安全性尽管饱受诟病,但不可否认的是它是一个大趋势。计算终端越来越小并且容易携带,移动应用和高速网络让我们无需大量本地存储,强化云计算使用方面的安全防范意识,便成了保障云计算信息安全的关键要素,云计算的安全问题,最终是人员的安全意识问题。

昆明亭长朗然科技有限公司制作了几部互联网安全相关互动式的在线教程和动画视频,有教育意义,有趣,也能启发受众对安全的重视和思考,希望对您有所帮助。如果您想预览它或在培训中使用,请联系我们洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

减轻互联网安全风险的方法探讨

cyber-security-risk-mitigation

当今商业领域不得不面临严峻的网络攻击问题,越有争议的事务、越知名的产品、使用率越高的服务则越容易成为攻击者的目标。如何有效应对来自互联网的各类安全风险呢?

一句“网络有风险,上网需谨慎”的警告语并不足够,我们需要在保障安全的同时满足业务战略拓展需求。昆明亭长朗然科技有限公司互联网安全分析师James Dong整理了几点互联网信息安全风险应对策略。

首先,要强化高层领导,主管业务的总监经理们有时可能并不会将互联网安全放在足够重要的地位,但是出现安全事故后他们是必须负责的。要有效降低互联网安全风险,获得高层的大力赞助和支持是关键。除非高层是十足的商业赌徒或者是油盐不进的冒险家,否则我们都应该向CEO、CFO、CIO等等宣讲互联网安全的重要性,并获得他们的理解和认可,更关键的是要高层给予适当的领导支持、管理支持和资金支持。

其次,通过不断的监控来持续优化信息资产监管、识别风险并进行分类分级、分析和评估风险应对措施、以及测量风险控管的效果。信息安全威胁不断演变,互联网安全环境也日益恶化,打造动态的威胁应对空间是有效降低信息安全风险的关键措施。

然后,制定业务持续性计划和灾难恢复计划,尽管在风险控管上有使用PDCA等科学方式进行不断的计划、实施、监控、测试和改进,我们仍然需要防范万一。在强大而猛烈的互联网信息安全威胁的袭击之下,没有任何信息系统能够万无一失。我们需要对最坏的情况有所准备,如何在受到确认的网络袭击之后,能够迅速恢复业务运作,将与数据、金钱和信誉等相关的损失降至最低。

最后,则是信息安全教育培训,越早将正确的信息安全观念和指南引入各个商业流程及信息系统,越能省出精力和获得更好的安全风险控管绩效。可是人们往往不懂这个浅显的道理,非要在信息安全事件发生并带来严重损失后方才重视。要说这些风险控管道理以及信息安全基础为人们所理解和支持,各类型组织机构应该在员工培训方面发力。为了让培训真正获得必要的效果,我们应该为所有的员工提供适当水平的安全意识培训。

需知,仅仅提供员工信息安全培训并不足够,我们需要建立一个衡量培训有效性的矩阵并付诸实施。如果旧的培训模式并不好使,则应该勇于尝试新的更适合组织(公司)的方法,直到找到更有效的方法。昆明亭长朗然科技有限公司采用国际领先的综合信息安全水平评估体系,可以帮助各类型的组织机构不断衡量和改进信息安全培训绩效,从而有效减轻互联网安全风险。除了自制大量信息安全培训内容资源外,我们也开发制作了多种在线信息安全意识平台,包括在线考试、意识评估、模拟钓鱼、社工渗透、线上学习、网络竞赛等等。搭配各种创新的安全意识宣教方案,不仅能用于模拟测量员工的信息安全意识水平、衡量当前培训模式的有效性,更让安全意识宣传活动变得丰富多彩,网络安全理念深入人心。欢迎有兴趣和需要的朋友联系我们,在线亲身体验我们的作品、平台,以及洽谈宣传计划和项目合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898