企業(yè)如何正確理解云計算的風(fēng)險?
責(zé)編:admin |2014-09-01 19:45:39理解云計算的風(fēng)險所在是保護(hù)以云計算為中心的企業(yè)的關(guān)鍵。在本文中,Ravila Helen White解釋了云計算風(fēng)險的三個必知內(nèi)容。
云計算的高速發(fā)展也為試圖重新聚焦關(guān)鍵業(yè)務(wù)目標(biāo)的企業(yè)帶來了許多利好,例如提高產(chǎn)品上市的速度、增加企業(yè)競爭的優(yōu)勢以及降低資本和/或運行的開支等等。
通常來說,對諸如軟件即服務(wù)(SaaS)或基礎(chǔ)設(shè)施即服務(wù)(IaaS)的云計算技術(shù)進(jìn)行投資就能夠降低對企業(yè)內(nèi)部傳統(tǒng)信息技術(shù)部門的服務(wù)需求。而由企業(yè)業(yè)務(wù)部門管理(例如培訓(xùn)、人力資源、工資和醫(yī)療管理等)的服務(wù)也會隨著云計算的應(yīng)用而逐步減少。
雖然投資資本與運營運行的成本有所降低,但是由于黑暗網(wǎng)絡(luò)中信息經(jīng)紀(jì)人的興起云計算的風(fēng)險也有所增加。這些惡意的組織會交易和銷售包括個人身份、金融信息乃至知識產(chǎn)權(quán)在內(nèi)的所有信息。
從傳統(tǒng)意義上來說,只有保存在公司內(nèi)部的信息才是安全的,因此實施云計算必然會加劇信息泄露的風(fēng)險。此外,那些專門從事信息中介業(yè)務(wù)的人士也讓云計算供應(yīng)商成為了他們的目標(biāo),因為他們非常了解他們所控制寶庫的相關(guān)信息。為了管理好云計算風(fēng)險,首先了解風(fēng)險到底是什么將是非常重要的。
云計算風(fēng)險的來龍去脈
所謂風(fēng)險,也就是指我們不希望發(fā)生的事件發(fā)生的概率。在信息安全領(lǐng)域,風(fēng)險就是一個惡意或非惡意暴露機(jī)密信息事件、或威脅數(shù)據(jù)一致性以及干擾系統(tǒng)和信息可用性事件發(fā)生的概率。任何接入互聯(lián)網(wǎng)的組織都處于風(fēng)險之中,他們都應(yīng)考慮黑暗網(wǎng)絡(luò)的彈性特性和擴(kuò)展私有云計算和公共云計算網(wǎng)絡(luò)的能力。數(shù)據(jù)交換有合法的和非法的,而一家企業(yè)的互聯(lián)網(wǎng)接入就為合法的數(shù)據(jù)交換(例如電子郵件、VPN以及FTP等)以及諸如惡意軟件、信息收集和竊聽等敵對性的數(shù)據(jù)交換提供了的信息傳輸回路。
敵對數(shù)據(jù)交換并不是一家組織或者甚至個人所希望進(jìn)行的數(shù)據(jù)交換。通常情況下,其結(jié)果就是等待恢復(fù)的停機(jī)時間、收入損失、數(shù)據(jù)丟失、影響人力資本以及相關(guān)名譽受損。如果某個組織是一個受管制行業(yè)中的一員,那么這個組織就有可能由于發(fā)生敵對事件的原因而受到處罰。即便企業(yè)沒有受到相關(guān)處罰,但是他們也無法承受因發(fā)生安全事件丑聞而造成客戶流失和商業(yè)合作伙伴失去信心這樣的嚴(yán)重后果。
一直以來,云計算所倡導(dǎo)的就是:我們可以做得更好,更便宜。你來關(guān)注你的核心業(yè)務(wù)問題,而我們來更具成本效益地管理你的技術(shù)并保護(hù)你的數(shù)據(jù)。雖然這有可能是真的,但是云計算供應(yīng)商也與其他企業(yè)面臨著相同的挑戰(zhàn)。鑒于其特殊的業(yè)務(wù)模式,云計算供應(yīng)商可能比一家典型企業(yè)面臨著更多的挑戰(zhàn)。例如,云計算供應(yīng)商可能會迎合一個利基行業(yè),如信用卡業(yè)。如果大家都知道這家云計算供應(yīng)商掌握了所有客戶持有的信用卡信息,那么它也就會成為黑暗信息經(jīng)紀(jì)人的目標(biāo)。信息經(jīng)紀(jì)人會兜售客戶身份或信用卡或者制造偽造的信用卡,而一個成功的黑客可能會從中受益。
云計算供應(yīng)商的風(fēng)險還存在于使用云計算服務(wù)的客戶中。無論客戶的物理、邏輯和虛擬隔離和細(xì)分的量有多少,云計算基礎(chǔ)設(shè)施都共享了共同的能源、硬件、應(yīng)用程序以及網(wǎng)絡(luò)資源。當(dāng)云計算服務(wù)供應(yīng)商提供SaaS服務(wù)時,它會信任企業(yè)用戶并讓用戶自己確保其用戶ID和密碼的安全性。與之類似,用于訪問SaaS的計算資源也必須是安全的。如果企業(yè)用戶遭到入侵,諸如用戶ID和密碼等信息被泄露,那么一個經(jīng)驗豐富的信息收集者就有可能會憑此訪問SaaS應(yīng)用程序并確定訪問其他客戶數(shù)據(jù)的方法。頃刻之間,其它企業(yè)用戶的云計算環(huán)境的保密性、完整性以及可用性都岌岌可危了。
- 360助力“奧運冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書