安全意识

cloud-computing-migration

互联网和移动通讯发展迅猛，俨然已经到了“人云亦云”的时代，云计算简单讲，就是通过互联网向用户提供按需即供的计算资源，大批量的企业级用户不用自己搭建和运营专用的数据中心机房，购置服务器硬件和系统软件，甚至不用开发和维护应用程序，因为云计算服务的便利和廉价，可以使客户像用自来水、电、管道天然气或有线电视一样方便地享受到。

互联网的开放性使云计算的经营不可能垄断，这使最终用户可以自由选择，随用随取，用多少付多少，不满意还可随时自由迁移。所以，云计算行业竞争激烈，当然对于传统的IT计算方式，云计算的优势非常明显，尽管目前多数用户仍在观望和进行试探性的实施，尽管目前云计算多数停留在硬件、网络、平台和存储层面，能满足主要商业流程的应用级云计算还不够成熟，我们仍然可以看到云计算必将得到普及的趋势。

云计算要真正得到企业用户的青睐，还需解决另一项关键的问题，就是打消用户的安全顾虑，以美国为首的西方发达国家在云计算的商业化运作方面远远领先于我国，当然这些国家的云计算服务消费者要比我们更重视信息安全，云计算在西方国家能取得成功的重要原因是创新，我们也在不断模仿和学习，通过提供本地化的运作，利用本土优势，相信不久的将来我国的云计算产业会赶追并可能超越西方发达国家。

云计算服务能被美国的领先厂商广泛推广到全球领域并取得成功的另一个重要原因是无疑是安全保障，采用或迁移至基于互联网的“公有”云计算最大的障碍是安全的可控性，一方面是客户对云服务厂商本身的信任，将数据托管到云服务厂商的平台，同时意味着云服务厂商有能力获取用户的这些数据，美国是成熟的法制国家，第三产业占国民生产总值绝大部分，服务的观念早已经深入人心，人们比较容易认同服务收费的模式，同样也会将云计算服务内容和条款法律化，制度化，让买卖双方清晰了解到服务过程中的数据安全保障相关的细节内容如云服务商在什么条件下可以获取客户用户等等。而国内，这种成熟的社会和商业环境还不够成熟，服务商虽然处于舆论导向的强势地位，但对保障云计算服务的安全沟通方面显然欠缺经验，结果越是拍胸脯打保票，却越令客户联想起类似三聚氰胺事件的食品安全问题，如果再发生与云服务客户之间的安全扯皮事故，处理不当的话可能引发社会大众对云计算的信心丧失问题，进而带来人们疯狂拥向香港购买奶粉的现象。

除了担心云服务厂商利用职权或便利获取自身机密数据这一安全问题之外，云服务客户更多担心的是云计算服务厂商的信息安全保障实力，因为用户清楚，将系统和数据放在互联网上，会面临更多的安全威胁，这需要云服务厂商证明新的“公有云”安全保障体系要高于至少不低于自行建设、管理和维护IT系统时代的安全保障体系，然而，云计算服务商要将这些常规的安全控制功能整合进云服务之中，并不断改进，以期安全保障水平能胜于客户自己动手时所达的高度，并不是容易的事，这是因为安全独立厂商在安全控管方面的技术积累和科技创新已经远远成熟和领先于云计算服务开发商，而云服务开发商在相当长一段时间内，可能面临更多的是云服务的功能实现上，而非安全保障之上。

看完云计算服务提供商这一方，该看看客户了，即便是潜在的云计算客户通过合约等方式来规范厂商的数据访问行为和安全服务级别水平，即便是将传统的安全控管手段如防病毒、防火墙等搬迁至云计算平台和系统之中，云计算的企业级客户仍然面临一个重大的问题，就是安全边界的维护和重定义，加之移动计算的普及，传统的安全边界消失了，企业内外网的界线模糊了，网关防火墙主要使用路由器的功能了，企业关键的计算信息已然脱离了原本的物理内部网络控管范围，边界的模糊甚至消失让终端安全问题的重要性日益凸显，终端直接连接到云端，暴露点急剧增多，在安全方面的管控当然需要加强。

云计算大趋势不可阻挡，相信各类创新的安全控管措施会及时跟进，以解决云计算将带来的新问题，满足新时期的各类安全管理需求，云计算的使用者们不用担心这些，只需实时跟进产业变迁，及时评估和采用最合适的安全控管技术、产品或服务即可。

然而，向云计算迁移的客户们在安全方面真的“伤不起”，信息安全保障着企业的成功和持续运营，坚决不能搞“先破坏再修复”或“先污染再治理”，首先要加强云计算服务商、云服务客户和最终用户的沟通协调，将安全问题摆上桌面，敞开讨论和长谈，当然，目标是达到保障安全地使用云计算服务，而沟通的方式当然是信息安全意识培训先行，不论是云服务的乙方卖家针对甲方买家，云服务买家对云服务的最终用户，都需要坦诚相见，告知在新的云计算架构下，我们将面临什么样的安全威胁，我们应该如何防范和应对，为了应对各类安全威胁，我们有做到哪些安全控制措施，未来还需要做到哪些，各方在新的架构下各承担什么样的安全职责，各方需要如何配合……

有了和云计算相关的安全意识和基础的有效沟通，利益相关各方才能建立起基本的信任关系，云计算产业方能健康发展。

昆明亭长朗然科技有限公司致力于云计算应用相关的咨询服务，包括云计算迁移顾问、云计算服务监控、云安全服务管理，云服务流程建设以及云计算相关的信息安全意识培训等等，欢迎有任何云计算安全问题的朋友与亭长朗然的云安全专员取得联系。

越来越多的法律和行业监管制度要求组织加强员工进行安全意识培训，特别强调全员对信息安全的法规遵循。

各类型的组织于是开始从上至下传达新的安全要求，着手部署更严格的安全技术控制措施和建立苛刻的惩罚制度体系来确保这些新规能得到贯彻执行，不被违反。

“哪里有压迫，哪里就有反抗。”

极端的做法造成员工对组织的失望和不满，特别是那些因为因为对规则的无知或大意而违规却受到严厉惩罚的员工，会认为组织安全实施人员的做法太过死板、不够理智且不讲人情，进而害怕、躲避甚至抵制与信息安全相关的具体工作。

实际上，并没有多少员工主观意愿上希望违反组织制定的相关信息安全规则，也不愿意组织的利益由于安全事故而受到损失，更不愿意由于自己的原因而受到处罚。相反，员工们更愿意获得信息安全方面的嘉奖，更愿意遵守最佳的安全行为规范和指南，更愿意组织获得更大的成功。

究其原因，多数组织文化都鼓励开放诚信和积极进取的价值观，员工们讨厌强加于他们头上的各类限制性规章制度，这其中的差距和矛盾主要是由于对信息安全基本规则的沟通不足。

良好的沟通是促进法规遵循的关键，制定法规和相关的细则并不难，困难的是让员工理解这些规则的精神，而要克服困难，重点在于向员工展示法规的遵循能为其带来的价值和好处。

如果使用不同层面的员工能听得懂的语言进行沟通，让员工们明白信息安全最佳操作实践对他们自己及家人的工作和生活带来的好处，他们会兴致勃勃地认真学习、接受这些安全理念甚至积极地对信息安全工作进行反馈和支持。

一旦员工们明白了这些基础的信息安全理念和最佳的操作实践，组织甚至不需要花太多的技术控制措施就能获得员工在安全行为方面的积极变化。同时，记住安全沟通和行为改变绝非一朝一夕可以彻底达成，这是一个持续不断进行的过程。

组织的成功中有很多事情要安全专家来做，但是组织的安全却信赖所有员工，仅仅告诉员工：“组织给了你们安全需要遵守的规则，如果你们违反了，那就是你们的问题，你们要为自己的行为负责。”并不恰当。

员工有不当的安全行为，原因在于人们天生下来并没有适合组织需要的信息安全价值观，这些需要有效的沟通和灌输，一旦人们有了合适的观念认知，他们的行为会随之改变。

security-the-behavior

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频，员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验，便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

QQ: 1767022898

安全意识博客

我心安全，我行安全！

如何改变员工的信息安全行为