“影子IT”信息安全隱患大 云計(jì)算發(fā)展受阻
近幾年來,云市場越來越大,越來越多的服務(wù)商投入到了云行業(yè)中來。當(dāng)然個(gè)各個(gè)云服務(wù)商的水平高低也參差不齊。
近日某家云計(jì)算服務(wù)監(jiān)控公司發(fā)表了一份“歐洲市場云計(jì)算使用風(fēng)險(xiǎn)”報(bào)告,該報(bào)告采集了超過100萬的公司員工,涉及40多家企業(yè),涵蓋了金融服務(wù)、醫(yī)療保健、高新科技、制造業(yè)、媒體等。該公司對(duì)這些行業(yè)使用的云服務(wù)進(jìn)行了量化,并對(duì)其風(fēng)險(xiǎn)進(jìn)行了評(píng)估。
調(diào)查中發(fā)現(xiàn),企業(yè)平均要使用588個(gè)云服務(wù)。拋開歐洲的法律先不提,這其中只有9%的云服務(wù)提供了企業(yè)級(jí)的安全保護(hù),而剩下的91%存在著中到高的安全風(fēng)險(xiǎn)。如果從數(shù)據(jù)隱私和數(shù)據(jù)儲(chǔ)存的角度看,只有1%的云服務(wù)能夠提供企業(yè)級(jí)的安全保障,以及符合當(dāng)前歐洲的法律要求。剩下的99%或多或少都存在數(shù)據(jù)存儲(chǔ)不夠嚴(yán)格的問題,或者沒有符合國家數(shù)據(jù)隱私保護(hù)的相關(guān)法律,且沒達(dá)到企業(yè)級(jí)的安全保障。
“影子IT”造成的安全隱患
什么是“影子IT”,“影子IT”是指業(yè)務(wù)部門跨過IT部門而直接使用云服務(wù)。在歐洲,大部分的公司使用云計(jì)算都是在CIO或者CISO的監(jiān)管之下,致使“影子IT”的現(xiàn)象非常普遍,并且很難控制。員工在使用云應(yīng)用的時(shí)候,通常是不會(huì)考慮安全因素,以及對(duì)企業(yè)更上層的業(yè)務(wù)策略產(chǎn)生的影響。當(dāng)CIO們?cè)跈z查云服務(wù)使用情況時(shí),往往會(huì)發(fā)現(xiàn)“影子IT”的數(shù)量,是他們之前設(shè)想的10倍之多。
報(bào)告中主要總結(jié)了以下幾點(diǎn)問題:
1、只有5%的云服務(wù)在歐洲通過了ISO 27001認(rèn)證,很多企業(yè)對(duì)于員工使用未認(rèn)證的服務(wù)并不知情。
2、排在25到30名的云服務(wù)供應(yīng)商,提供的內(nèi)容共享和文件共享協(xié)議是建立在其他國家標(biāo)準(zhǔn)之上的(美國、俄羅斯、中國)這些國家的隱私標(biāo)準(zhǔn)與歐洲是有差別的,所以對(duì)于歐洲國家來說,這些標(biāo)準(zhǔn)是不合格的。
3、有49種不同的服務(wù)在跟蹤員工的上網(wǎng)行為,這對(duì)企業(yè)來說很容易受到水坑攻擊。
來自該公司的CEO表示:“云計(jì)算有著敏捷、靈活、高效的特點(diǎn),企業(yè)也應(yīng)該鼓勵(lì)員工去使用云計(jì)算來提高生產(chǎn)效率。然而從調(diào)查的結(jié)果顯示,有太多的員工沒有這一方面的風(fēng)險(xiǎn)意識(shí),這很可能會(huì)給企業(yè)帶來嚴(yán)重的安全隱患。就以數(shù)據(jù)存儲(chǔ)服務(wù)為例,在我們的調(diào)查結(jié)果中顯示,有72%的服務(wù)是在美國,這對(duì)于在歐洲的公司來說可能就會(huì)產(chǎn)生一些法律問題。云是企業(yè)發(fā)展的趨勢,但需要充分的了解云服務(wù)如何使用和存在的風(fēng)險(xiǎn)。并且企業(yè)要指導(dǎo)員工如何安全的使用云計(jì)算。”
云服務(wù)風(fēng)險(xiǎn)防范 數(shù)據(jù)加密提供最可靠支持
除了信息技術(shù)領(lǐng)域的企業(yè)員工,其他領(lǐng)域的員工未必都對(duì)信息安全與云計(jì)算有深刻的了解,因此這些企業(yè)需要首先對(duì)員工進(jìn)行適當(dāng)?shù)慕逃嘤?xùn),提高信息安全意識(shí)與風(fēng)險(xiǎn)意識(shí),要明確的知道工作中的哪些行為會(huì)為企業(yè)帶來安全隱患。
其實(shí),若是想要從根本解決“影子IT”造成的安全隱患,免除風(fēng)險(xiǎn)困擾,除了企業(yè)員工意識(shí)教育這一方面,對(duì)企業(yè)系統(tǒng)中的數(shù)據(jù)本源進(jìn)行加密,就為企業(yè)數(shù)據(jù)安全建造了更加牢固的防護(hù)墻。
加密直接作用于數(shù)據(jù)本身,在最壞的情況下,即使重要文件通過惡意攻擊手段丟失被竊了,加密依然為文件起防護(hù)作用,由于現(xiàn)在解密算法越來越難以實(shí)現(xiàn),所以一經(jīng)加密就可保證不被泄露。在加密基礎(chǔ)上,國際先進(jìn)的多模加密技術(shù)采用對(duì)稱算法和非對(duì)稱算法相結(jié)合的技術(shù),在確保的加密質(zhì)量的同時(shí),其多模的特性能讓用戶自主地選擇加密模式從而更靈活地應(yīng)對(duì)各種防護(hù)需求和安全環(huán)境。同時(shí)作為這項(xiàng)技術(shù)使用的典型代表山麗防水墻的多模加密模塊還采用了基于系統(tǒng)內(nèi)核的透明加密技術(shù),從而進(jìn)一步確保了加密防護(hù)的便利性和完整性。
對(duì)于擁有大量核心數(shù)據(jù)的企業(yè),最基本的要選擇安全等級(jí)高的云服務(wù),首先從這一方面降低安全風(fēng)險(xiǎn),其次提高員工的信息安全意識(shí),最重要的是動(dòng)用技術(shù)手段為企業(yè)提供最安全的技術(shù)防護(hù),這種時(shí)候使用有針對(duì)性且保護(hù)本源安全的加密軟件是最好的辦法!
提交
供應(yīng)鏈中的信息安全 淺談ERP系統(tǒng)的防護(hù)要領(lǐng)
針對(duì)NSA對(duì)云計(jì)算安全影響 數(shù)據(jù)加密是硬道理
看不見的危機(jī) 細(xì)數(shù)云計(jì)算的數(shù)據(jù)安全隱患
信息化與網(wǎng)絡(luò)安全 這個(gè)時(shí)代無法逃避的話題
未雨綢繆 企業(yè)數(shù)據(jù)安全防護(hù)需要做好萬全準(zhǔn)備