破解云安全迷思

尽管“云”一直是IT业界的一个争执话题,但不可否认的是它并不是第一个“新概念”,而且也必将持续下去。忽视它的公司可能会落于已经采用“云”计算的竞争对手之后,这是因为云计算承诺降低IT开支并且提供运营效率,而这两者正是当今宏观经济前景莫测、商业竞争日益激烈的环境下取得成功的关键要素。

尽管如此,云计算的采用并非如人意,关键是概念成份过多,旧的体系尚可维护商业运作,新的云架构又需要一笔大的投资。即使决策人员有信心在未来数年内可以保持总体开支的降低,但是那并非迫不得已的选择。加之国有及上市公司又受到监管层面的严格控管,要求降低信息外包方面的风险,无疑在从法规层面切断关键部门及行业部署“公有云”的可能性。

实际上,各监管机构的顾虑并非过于敏感,核心的“云”计算技术都被美国掌握,采用美国的“公有云”,无疑是将国家的机密数据暴露出给美国政府;同时网络设备及软硬件“间谍门”事件的导出不穷,信息安全的顾虑让关系着国计民生的核心关键领域不敢轻易冒进采用国外的私有“云”技术。

对于大中型私营企业来讲,数据安全和隐私保护方面的觉悟也在提升,将机密数据交给公有云计算,首先失去的是物理方面的控管,排差时没有物理机器可供检查;其次企业还需接受多重标准的监管,包括本地的和云计算服务商所属地的,这些无疑增加了业务机密信息的对外透明度和外泄概率,是在给未来埋上一颗“定时炸弹”。

结果则证实了目前的现状——小型私营企业和家庭个人用户成为大型“云”的主要消费者。小型机构没有和云服务商进行谈判的能力,然而这并不表示小型机构及个人不重视信息安全或在获得不到足够的云安全保障。相反,大型的云计算服务商在保障信息安全方面起点较高,甚至远高过于自身的安全保障和认知水平。所以,有了便宜好用又安全的大型“云计算”服务,为何不用呢?

话说回来,实际上大型机构也并非不能控管云计算中的安全问题。昆明亭长朗然科技有限公司的云安全分析师James Dong称:大型组织有较强的谈判筹码,可以通过了解云计算技术,要求云计算提供商确保云服务的安全性,以便保障他们的关键数据和应用程序的安全。负责云计算项目的CIO或IT总监通过约见云服务商,制定详细的服务级别协议,来获得多层的云计算安全保障,不仅可以用来保障自身敏感数据信息的安全,对于推动整个产业进步也是促进力量。

云计算是一项新生事物,新事物的出现可能会冲击到旧体制,甚至改变传统的利益分配格局,云计算本身的高效和低成本也可能会带来传统IT价值的创新和IT人员角色的转变。此时,诋毁云计算无疑是固步自封,认识云计算不够安全的误解难免是有的,而敞开心扉坦然接受变革,与时俱进抢好位站好队才是破解云安全迷思的正能量和正确选择。

如何开导IT团队和业务创新团队,消除团队成员对云计算的偏见和误解、鼓励团队成员勇于接受新事物和新挑战呢?无疑需要增强团队成员对信息安全的认识,只有得到了充分的认识,人们对云安全的信心才会加强。要加强对信息安全的正确认识,最高效的途径唯有加强团队成员们的信息安全意识培训。

昆明亭长朗然科技有限公司提供最基础、最实用的安全意识培训教程,不仅能够帮助各类型的组织加强内部的信息安全意识沟通,更有多种可以帮助推进信息安全体系建设的主题,比如针对云计算安全的迷思而特别开发的学习课件。

保障云安全,要的不是担心,而是信心,信心源自有效的安全理念沟通和执着的安全知识学习。

信息安全年会关注的焦点是信息安全意识

最近,昆明亭长朗然科技有限公司的一家客户针对全体员工进行了一项年度信息安全意识调查,调查结果令人震惊,几乎没有员工明白安全漏洞和安全威胁的区别,在怀疑或遭遇安全事故时如何正确响应也很不令人乐观。

如果说漏洞、威胁和风险属于专业术语,部分安全从业人员甚至都搞不明白的话,我们更应该原谅这些员工。如果员工在遭遇可疑安全事件时不知如何报告或向谁报告,那显然是安全应急响应体系和流程的缺乏或不足,至少在安全事件报告方面,暴露出安全管理人员未对最终用户进行适当的沟通和培训。

安全管理人员可能会说没有足够的资质来建立安全应急响应体系,拜托,再小的企业也会有突发安全事件吧?何况大些的公司还有专门的安全管理职位和队伍呢!安全应急响应的投入可大可小,但找两个轮流值班的、接电话和查收邮件的保安总可以吧?

为什么要安全应急响应呢?想想如果员工发现工作区域有鬼祟的陌生面孔,立即报告给公司安全部,安全应急响应服务台立即派保安前去盘问和检查好呢?还是员工不当一回事,公司财物丢失了也无人知晓的好呢?

公司的多数安全预算用于购置各类安全设施、安防设备和安全服务,网络信息安全领域也是如此,资源多数花在安全系统和外包安全服务上,而比较忽略内部的安全管理体系如安全流程建设。

提到网络信息安全,人们谈论最多的是病毒和网络黑客,比较少关注信息安全意识。亭长朗然公司的安全顾问James Dong说:就连防病毒和防黑客都不能离开用户的安全意识,更不要说防范内部不满员工和商业间谍等等这些威胁。

针对信息基础架构系统的电子攻击近年来引发政府的关注,水电能源、卫星通讯、交通导航、银行金融等系统在安全等级保护框架下有了较大的改善。甚至在国家层面已经开始关注和谈论互联网战争和网络恐怖活动,这都彰显出国家在信息安全方面已经牢牢掌握主导权。

不能忽视的是在信息安全方面,也同样存在国进民退和国强民弱之说,在国家牢牢控制互联网安全核心架构体系之时,关于信息安全的立法、司法和监管日益成熟。而老百姓的互联网安全能力提升明显偏慢,显然与全球发达国家国民的安全素质差距甚远,甚至有网络观察员称中国的互联网是一小拨网络暴徒绑架着大量无知的普通网民,这和互联网大国的地位很不匹配,而且这样下去无疑将严重影响信息社会的健康发展。

回到亭长朗然公司的这家客户,在分析调查报告结果之后,安全管理团队进行了适当的检讨,认为有必要改进安全应急响应体系,并且加强对全体员工进行信息安全意识教育,特别是强化安全事件的报告。公司安全管理团队为此专门举办了为期一周的信息安全年会,年会后对员工进行随机抽样调查和社会攻击学攻击渗透测试,结果证明:通过培训,被调查员工了解到哪些是信息安全事件,该向谁报告安全事件。有趣的是,针对同一名员工的两次社交工程渗透攻击都被识破并及时报告给了安全服务台,两次的不同是这名员工第一次交谈时显得很腼腆,满脸通红;第二次已经显得很“理直气壮”。

员工的安全意识得到了质的提升,这正是信息安全年会的目标。短短两周的时间,这家公司的信息安全部门已经通过员工的及时报告,快速响应,挽回了一起可能造成重大损失的信息安全悲剧,这起真实的事件得以成功处理,不得不感谢信息安全年会的举办和信息安全事故场景的模拟演练。