云计算安全:对服务提供商的信任最重要- 企业风险管理- TT CIO ...
正在加载数据...

  虽然云的应用和推广已经势在必行,但是从诞生开始,它的安全就一直为人们所诟病。当所有的计算行为和数据存储都散布在聚散无形虚无缥缈的云中的时候,人们将会普遍感到失控的恐慌,并毫无例外地产生云是否会破坏他们的隐私进而损害他们的权益的质疑。

  现在很多人谈到云安全问题,会拿银行的例子去进行类比,到底是放在家里比较好,还是存在银行xxx。相信最初的时候,一些人也会不放心把钱存在银行里,觉得不如自己藏在家里某个地方踏实,但现在几乎所有人的钱都放在银行里,没有人把几百万或几亿的现金放在家里,说明银行已经逐步取得人们的信任,提供了一个强大的信用作保障。反过来说,数据与存款的不可复制不同,云用户的信息或数据可以被拷贝而不易被察觉,服务提供商的信誉与监管就显得更为重要了。

  来自埃森哲的调查报告显示,59%的中国受访者表示“十分担心”云中数据的安全性、私密性和机密性,高于美国的50%以及中国以外其他国家的42%。相比其他国家,更高比例的中国受访者认为其所在企业和机构拥有不得外泄的敏感数据。中国高管尤其担心数据遭黑客盗窃,或是意外泄露给同一云供应商的其他用户或本企业的非授权员工。中国企业反对将敏感资料透露给其他国家,更愿意将资料委托给国内云服务供应商。 

  提到服务提供商,应该说现在最成功的云计算案例当属亚马逊,被全世界大部分的供应商作为标准,但是服务提供商“没有责任”,这一点在亚马逊的合约上讲的非常清楚,“你的资料放在我的云中,出事和我一点关系也没有”。

  CSA(云安全联盟)是在2009年的RSA大会上宣布成立的,企业成员达到33个,自成立后迅速获得了业界的广泛认可。云安全联盟成立的目的就是在云计算环境下提供{zj0}的安全方案。

  CSA(Cloud Security Alliance,)在其发布的“Security Guidance for Critical Areas of Focus in Cloud Computing”中指出:在安全控制方面,云与其它IT环境相比并没有很大的不同;但是,在服务模型、运营模型以及用于提供服务的相关技术等方面,云可能会导致与以往不同的风险。

  业界比较认可的对云计算的分类就是IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service)。

- SaaS:为用户提供在云架构上运行的应用的服务。用户可以从多种多样的终端设备经由web浏览器对应用进行访问,而不必知道管理或控制底层的云架构(包括网络、服务器、操作系统、存储,甚至包括个别的应用能力)。

- PaaS:为用户提供将其应用部署在云架构上的服务,而创建这些应用的编程语言和工具必须得到服务提供商的支持。

- IaaS:为用户提供处理、存储、网络以及其它基础计算资源的服务。

  从这三种云服务模型的定义中,不难看出尽管用户已经将他们的计算和存储都托付给了云,但是在享受服务的过程中他们并不可以做甩手掌柜,特别是在安全策略方面,更是{jd1}不能寄希望于云提供商去解决所有的问题。三种云服务模型的安全防护在方法和责任上都有所不同:SaaS为云提供商提出了{zg}的安全要求,使得他们需要建立从顶层应用到底层硬件的整体防护体系以确保服务的安全,从而承担了绝大部分安全责任,但是这也限制了用户的自由发挥;相反的,IaaS给予了用户足够的自由度构建自己所需的计算环境进而开发或部署所需的应用,但是它也要求用户必须自行管理计算系统层次架构中除底层硬件以外的所有层次,而提供商只需考虑硬件层的安全问题;PaaS位于其它两种服务模型之间,既需要服务提供商提供基本的安全防护,又需要用户针对实际需求进行有差异的安全配置,才能构成完备的防护体系,但这也使得提供商和用户之间的责任边界变得模糊。

  其实关于安全的问题,不仅仅是技术层面的问题,如果企业真的决定把数据放在云上,还需要政府相当部门的支持,并有相关法律法规的规范和标准的制定。这样,云计算才能在中国得到广泛应用。

BI实际上是帮助企业提高决策能力和运营能力的概念、方法、过程以及软件的集合,其主要目标是将企业所掌握的信息转换成竞争优势,提高企业决策能力、决策效率、决策准确性。随着信息化的发展,商业智能( busissness inteligence )越来越多地成为关注的焦点。本手册介绍商业智能在企业应用中的一些常见问题。

ITIL(IT Infrastructure Library)是CCTA(英国国家计算机和电信局)于20世纪80年代末开发的一套IT服务管理标准库,它把英国各个行业在IT管理方面的{zj0}实践归纳起来变成规范,IT基础设施库(ITIL)旨在帮助CIO和其他IT专业人员改善其IT组织的流程。ITIL的第3版在这一概念基础上继续扩展,对于如何进行这些流程给出了指导意见。ITIL是公司的一个具有价值的资产,它可以改善公司外部和内部的IT流程,提高IT效率等。

本专题侧重介绍六西格玛定义、六西格玛的使用成本和节约成本、我们可以用到有关六西格玛的哪些技术和工具、定义六西格玛Black Belt,此外还概述了六西格玛的是如何改善客户服务的以及和Lean西格玛之间的区别。

2009年CIO如何转变IT外包的发展方向?怎样从IT外包提供商那里获取{zd0}的利润?丑闻笼罩下如何预防IT外包遭遇风险?在本次专题中专家一一进行了分析。

现在CIO已经成了一个热门话题,政府、企业以及学术界都对CIO这个话题投入了广泛的关注。CIO应该是连接组织业务和IT的重要纽带,他既要负责IT的供给,又要负责IT的需求。CIO的这样一种角色,决定了CIO既要懂技术,又要懂业务,同时CIO作为组织层面的{ldz}还必须具备领导能力。本手册中提供了一些小测试,如果你已经是CIO,本测试集可以帮你进行企业IT管理;如果你不是CIO,本测试集可以帮你检查你离CIO还有多远。

郑重声明:资讯 【云计算安全:对服务提供商的信任最重要- 企业风险管理- TT CIO ...】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——