人人需知的云计算安全知识

cloud-umbrella
尽管国内大笔投资的云计算落地似乎并不太顺利,不过真正的云计算往往比较低调,甚至并不愿冠以“云”这个名头。其实从广义上讲,使用基于互联网的信息托管服务,便是在使用云计算。在云端托管服务已经有了多年的历史,但是直到今天,仍然有不少互联网安全的问题,除了终端之外,它们当然也属于云计算的安全问题范畴。

当您连到互联网上,您便是在使用云计算,所以所有人都应该了解云计算的安全问题。昆明亭长朗然科技有限公司云计算观察员James Dong说:企业IT层面正在不断发生变革,在终端层面,自带计算设备BYOD日益流行;在网络层面,WLAN的部署使得网络通讯异常简单;在服务器层面,云端的托管即便宜又有弹性;在应用层面,WEB化和移动化已成趋势;今天我们已经可以看到传统上不断扩张的IT机房开始逆势缩减,更多的空间给了云计算。

在云端托管信息服务的问题在于安全,我们看到太多在线服务被黑客入侵然后曝光客户资料的事情,所以把企业内部敏感信息放在云端的服务器上,目前来讲,还不是很明智,除非我们是以互联网为主业的公司。

我们谈商业安全,谈信息数据的安全,也不能绕过承载这些信息数据的服务器和存储,基于平台即服务PaaS的云计算就是在出租服务器计算能力和数据存储空间。使用PaaS这类服务考验的是厂商的服务质量和用户的云计算使用水平,当然传统的操作系统管理仍然没有太大的变化。

除非您的公司足够大,否则别考虑所谓严肃的“私有云”以及“个人云”,它们虽然看起来安全一些,但是代价太高,和云计算“经济实惠”、“按需付费”的宗旨背道而驰。

上述几点关系更多的是IT决策层,不过云计算让我们面临更多安全威胁的是大量最终用户。昆明亭长朗然科技有限公司James称:企业内部IT应用的建设进度往往要落后于最终用户的需求和市场可提供的服务,这就给员工们“非法”使用基于互联网的云计算带来空间和机会,想要有效控管,除非断网,否则公司的各类信息数据都有可能流向云端,进而面临丢失等各类安全威胁。

如何有效避免敏感信息数据的外流呢?亭长朗然公司James给出几点建议:

1.教育员工在张贴、上传和分享数据之前三思而后行,不要上传有版权争议的文件,不要分享任何涉密甚至和公司和工作有关的内容。
2.加强互联网使用监控和引导,搜集业务相关的云计算使用需求并帮助进行评估和选择合适的厂商及服务。
3.强化公司相关信息的互联网监测和响应,和舆情监测不同的是关注的焦点是公司相关信息数据特别是涉密敏感数据。

云服务的安全性尽管饱受诟病,但不可否认的是它是一个大趋势。计算终端越来越小并且容易携带,移动应用和高速网络让我们无需大量本地存储,强化云计算使用方面的安全防范意识,便成了保障云计算信息安全的关键要素,云计算的安全问题,最终是人员的安全意识问题。

昆明亭长朗然科技有限公司制作了几部互联网安全相关互动式的在线教程和动画视频,有教育意义,有趣,也能启发受众对安全的重视和思考,希望对您有所帮助。如果您想预览它或在培训中使用,请联系我们洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

安全意识教育的商业价值

安全意识对您的组织重要吗?昆明亭长朗然科技有限公司的一项开放式在线调查结果表明:少量用户20%认为安全意识“不重要”,和认为“非常重要”的19%几乎持平,而多达61%的受访者对此表示并“不关心”。这项公开的调查并不是一项性格测试,所以没必要对受访者进行严格的分类。总体来讲,安全意识对于受访者们来讲是“可有可无”,并非那么紧要的事务。

不少安全从业人员向我们抱怨称公司领导对信息安全的重视度不够,认为只要不发生影响电脑正常使用的恶意病毒事件就万事大吉,但是却重视员工的安全意识培训。安全专业人员对简单的信息安全意识受到高层“过度”的重视表示不理解,的确我们不能否认要搞好企业安全建设,专业人员所拥有的特别安全知识和技能是必需的。

安全专业人员的抱怨并非没有道理,但是也并不全怪领导“不重视”信息安全工作,毕竟领导们多不是信息安全专业出生,他们更不是这个领域的专家。领导们往往站在业务全局或所属部门的角度来审视信息安全,尽管他们对信息安全的认知可能并不足够,但是他们无疑更理解业务或部门对信息安全的需求。

安全专业人员也并非全都是业务方面的“门外汉”,基本的业务流程现多被信息化所驱动,信息安全专员多少都懂些信息系统基础,稍加努力了解一些业务架构和关键的流程,以及对IT安全方面的依赖,便可轻易成为又懂安全又懂业务的职场精英。昆明亭长朗然科技有限公司的安全顾问Alice Wong称:除非安全专家想往业务方面发展,否则多数情况是安全专家只想获得对他们的专业技能的认可和尊重。解决方案很简单——领导们在进行新业务或项目的调查分析之时,或在制定相关决策之前,向安全专家们咨询顾问一下。

安全专家们愿意为公司的成功更多付出专业方面的正能量,但是信息安全专家们显然不愿意也不会为员工终端层面的安全问题负责,他们会认为那些太小儿科,但是问题在于普通员工往往有更关键的工作——创造更多的商业价值,而不是成为安全方面的高手。矛盾出现了,安全专家们纠结了,身处管理层要负责的“领导们”必须得有所作为,他们要成为安全专家与终端员工甚至最终用户之间的沟通桥梁,他们需要让终端员工们掌握基本的必需的安全知识和技能。

信息安全专家,不管是技术方面的还是管理方面的,现在都应该认识到真正的问题和挑战,要为领导们所认可和接受,必须改变以往的傲慢立场,深入一线了解和评估基层员工们的安全认知水平,制定和实施必要的安全意识培训战略和计划……

而业务主管及高层的领导们则应该考虑到专家们所受到的限制,给予所需的必要的支持,让员工安全意识培训计划能够顺利地在整个公司或部门范围内得以顺利落实。