有的人放心大膽地用，有的人卻謹(jǐn)慎打量，擔(dān)心安全問題，這就是云存儲正在面對的糾結(jié)現(xiàn)狀，也是所有云廠商都要面對的困境。事實上，要想保證數(shù)據(jù)安全，做好企業(yè)內(nèi)部的管控是一個重要的方面，萬網(wǎng)近日出現(xiàn)的紕漏就是證明。該事件當(dāng)事人透露，并非是技術(shù)漏洞導(dǎo)致網(wǎng)站數(shù)據(jù)被刪，而是因為萬網(wǎng)的銷售人員弄錯了合同日期，又沒有及時與客戶聯(lián)絡(luò)溝通，導(dǎo)致系統(tǒng)按錯誤到期時間自動刪除了客戶的數(shù)據(jù)。

由此可見，管理不善往往才是安全漏洞的禍?zhǔn)?，“人”的因素必須受到云存儲廠商的重視。

服務(wù)商：穩(wěn)定壓倒一切

2012年，亞馬遜AWS、Google App Engine、蘋果iCloud都發(fā)生過宕機事故，給業(yè)界敲響了警鐘。這一年，國內(nèi)的云平臺也屢次碰到麻煩，包括京東商城充值平臺出現(xiàn)漏洞造成慘重損失、盛大云服務(wù)發(fā)生因機房服務(wù)器磁盤損壞而導(dǎo)致用戶資料丟失等。“出現(xiàn)事故大多一半是因為天災(zāi)，一半則是因為人禍?！卑⒗镌埔晃回撠?zé)人張先生說，其實宕機事故和安全威脅沒有必然的聯(lián)系，各家云服務(wù)商在設(shè)計上都盡可能地屏蔽了外部的安全威脅。但因為云平臺是個非常復(fù)雜的系統(tǒng)，當(dāng)發(fā)生設(shè)計上未考慮過的情況，或者運維人員在操作手冊規(guī)定之外做出一個誤操作，都可能帶來“蝴蝶效應(yīng)”。

“用戶最擔(dān)心的問題是平臺服務(wù)的穩(wěn)定性?！睆埾壬隙ǖ卣f，云存儲用戶關(guān)心的問題較多，包括數(shù)據(jù)可靠性、訪問速度、接口的易用性等等，但是穩(wěn)定問題壓倒一切。從目前情況來看，國內(nèi)現(xiàn)有的很多云服務(wù)都存在風(fēng)險，讓不少企業(yè)對是否進入云端很猶豫，云存儲廠商必須完善自身的安全管理，以得到市場的認(rèn)可。而要想實現(xiàn)數(shù)據(jù)安全，一定要明白“三分靠技術(shù)，七分靠管理”的原則。

首先，作為服務(wù)提供商需要從技術(shù)的角度做周全準(zhǔn)備，在云平臺構(gòu)建之初，必須盡可能全面考慮可能遭遇的情況，并把每個問題對應(yīng)的解決策略都做好，這樣才會有備無患。其次，產(chǎn)品層面同樣要有充分設(shè)置，為云平臺提供安全檢測、防攻擊等服務(wù)，面向用戶使用時，則以加密對來保證用戶數(shù)據(jù)的安全訪問，尤其對于指定為私有的數(shù)據(jù)，必須要求只有使用加密對才能訪問，同時用戶也可以隨時設(shè)定自己的數(shù)據(jù)訪問權(quán)限。百度云服務(wù)也依托分布式存儲引擎Mola系統(tǒng)，以達到支持可擴展性強、訪問并發(fā)性強的業(yè)務(wù)的目的。

此外，云服務(wù)商對于運維過程的監(jiān)管以及法規(guī)的建立，應(yīng)該投入更多的關(guān)注度和力度。尤其是在系統(tǒng)維護過程中，一定要與用戶及時溝通，切實滿足用戶的實際需求，否則出現(xiàn)萬網(wǎng)那樣的事故就在意料之中了。據(jù)知情人士透露，正是因為一直沒有把管理問題理順做細，所以萬網(wǎng)已經(jīng)不是第一次丟失客戶數(shù)據(jù)，此前還發(fā)生過將某小區(qū)業(yè)主論壇數(shù)據(jù)誤刪的事故，只不過因為小區(qū)論壇版主自己保留了備份，萬網(wǎng)才能有機會補救。不難看出，不少云安全事故本來是可以避免的，服務(wù)商只要有足夠的責(zé)任心，就能為消弭用戶對于云計算的顧慮做出貢獻。

用戶：增強把控能力

廠商和用戶都有必要認(rèn)識到：云計算和其他基礎(chǔ)設(shè)施一樣，不可能是萬無一失的，雙方都需做好自身的管理。云系統(tǒng)和應(yīng)用在設(shè)計時就應(yīng)該為故障做好準(zhǔn)備，而用戶也應(yīng)該做好自己的系統(tǒng)設(shè)計，以備意外，提高自身對于云計算的認(rèn)知和把控能力，而不是把一切扔到云端就萬事大吉。

業(yè)內(nèi)專家認(rèn)為，企業(yè)在選擇云服務(wù)產(chǎn)品時，應(yīng)該為云計算建立或購買一個風(fēng)險評估框架。這個框架應(yīng)該包括：定義云服務(wù)使用時的信息安全策略，對企業(yè)數(shù)據(jù)進行分類，判斷哪些數(shù)據(jù)適合存儲在云計算環(huán)境，哪些數(shù)據(jù)會面臨較大的風(fēng)險。評估一旦數(shù)據(jù)的保密性、完整性和可用性受損后，對企業(yè)業(yè)務(wù)的沖擊情況；其次，將公共云服務(wù)安全風(fēng)險內(nèi)容建檔保存，列出降低云服務(wù)安全風(fēng)險的控制方案，升級信息安全合約，解決采用云服務(wù)后帶來的安全和操作上的問題。服務(wù)等級協(xié)議未達標(biāo)的補償方式、信息系統(tǒng)審計和調(diào)查取證的權(quán)力等，都必須寫入與云服務(wù)供應(yīng)商簽訂的合約中。還應(yīng)對云服務(wù)產(chǎn)品進行滲透測試，對云服務(wù)供應(yīng)商的安全控制能力進行審查，選擇最能符合企業(yè)安全需求的云服務(wù)供應(yīng)商；最后，建立公共云服務(wù)退出策略，企業(yè)必須建立一套云服務(wù)退出策略，以便在企業(yè)必須將所有數(shù)據(jù)和應(yīng)用遷移回企業(yè)內(nèi)部或改換云服務(wù)商時，避免被云服務(wù)供應(yīng)商綁定而無法退出。

應(yīng)該相信，隨著云計算市場規(guī)模的不斷擴大，其法規(guī)監(jiān)管制度會日漸完善，但要想讓云計算真正落到實處，讓用戶放心、安心地使用，還需要來自服務(wù)提供商、設(shè)備供應(yīng)商以及用戶和政府等多個層面的共同推動。尤其需要看到，運作云存儲服務(wù)需要足夠的資金、技術(shù)作為支撐，巨頭公司在這個領(lǐng)域的優(yōu)勢其實更加明顯，已經(jīng)獲取一定市場地位的云服務(wù)企業(yè)應(yīng)該珍惜自己的積累，即使是對于剛收購不久的企業(yè)，也要盡快妥善解決管理問題。

鏈接

如何更好地部署云安全

1. 了解自己和云提供商的基礎(chǔ)設(shè)施。對于供應(yīng)商的設(shè)置了解得越少，就越容易陷入被動。

2. 詢問安全和法律團隊，審查與云服務(wù)供應(yīng)商所簽訂的合同，確認(rèn)其對于安全保證具有法律約束力。

3. 研究供應(yīng)商的服務(wù)水平協(xié)議，確?？梢员O(jiān)控應(yīng)用程序，同時在發(fā)生安全漏洞事件時服務(wù)供應(yīng)商會第一時間通知你。

4. 在訂立合同時，咨詢供應(yīng)商的相關(guān)雇用政策和雇員監(jiān)察的做法，因為內(nèi)部人員的惡意攻擊往往就意味著安全風(fēng)險。

5. 研究安全控制方案，并確保云提供商在恰當(dāng)?shù)牡胤竭M行有效控制。另外，了解供應(yīng)商如何處理違規(guī)行為。

6. 要知道你的企業(yè)對于系統(tǒng)的保密性和完整性負有最終責(zé)任。如果可能的話，在供應(yīng)商的幫助下定期進行基于云系統(tǒng)的滲透測試，識別漏洞。

7. 部署自己的安全工具，如復(fù)雜的密碼、數(shù)據(jù)加密和數(shù)據(jù)訪問管理軟件，集成云基礎(chǔ)設(shè)施。

（資料來源：《計算機世界》根據(jù)網(wǎng)上資料整理）