用管理堵云中漏洞

　　有的人放心大胆地用，有的人却谨慎打量、担心云存储的安全，这就是云存储正在面对的纠结现状，也是所有云厂商也都要面对的困境。事实上，要想保证数据安全，做好企业内部的管控是一个重要的方面，万网出现的纰漏就是证明。该事件当事人透露，并非是技术漏洞导致网站数据被删，而是因为万网的销售人员弄错了合同日期，又没有及时与客户联络沟通，导致系统按错误到期时间自动删除了客户的数据。

　　由此可见，管理不善往往才是安全漏洞的祸首，“人”的因素必须受到云存储厂商的重视。

　　服务商：稳定压倒一切

　　2012年，亚马逊AWS、Google App Engine、苹果iCloud都发生过宕机事故，给业界敲响了警钟，这一年，国内的云平台也屡次碰到麻烦，包括京东商城充值平台出现漏洞造成惨重损失、盛大云服务发生因机房服务器磁盘损坏而导致用户资料丢失等。“出现事故大多一半是因为天灾，一半则是因为人祸。”阿里云一位负责人张先生说，其实宕机事故和安全威胁没有必然的联系，各家云服务商在设计上都尽可能地屏蔽了外部的安全威胁。但因为云平台是个非常复杂的系统，当发生设计上未考虑过的情况，或者运维人员在操作手册规定之外做出一个误操作，都可能带来蝴蝶效应。

　　“用户最担心的问题是平台服务的稳定性，没有之一。”张先生肯定地说，云存储用户关心的问题较多，包括数据可靠性、访问速度、接口的易用性等等，但是稳定问题压倒一切。从目前情况来看，国内现有的很多云服务都存在风险，让不少企业对是否进入云端很犹豫，云存储厂商必须完善自身的安全管理，以得到市场的认可，而要想实现数据安全，一定要明白“三分靠技术，七分靠管理”的原则。

　　首先，作为服务提供商需要从技术的角度做周全准备，在云平台构建之初，必须尽可能全面考虑可能遭遇的情况，并把每个问题对应的解决策略都做好，这样才会有备无患。其次，产品层面同样要有充分设置，以阿里云的“云盾”为例，它可以为云平台提供安全检测、防攻击等服务，面向用户使用时，则以加密对来保证用户数据的安全访问，尤其对于指定为私有的数据，会要求只有使用加密对才能访问，同时用户也可以随时设定自己的数据访问权限，保证了使用的灵活性。百度云服务也依托分布式存储引擎Mola系统，以达到支持可扩展性强、访问并发性强的业务的目的。这样的产品构建能力可以说是云服务安全的基础保障。

　　此外，云服务商对于运维过程的监管以及法规的建立，应该投入更多的关注度和力度。尤其是在系统维护过程中，一定要与用户及时沟通，切实满足用户的实际需求，否则出现万网那样的事故就在意料之中了。据知情人透露，正是因为一直没有把管理问题理顺做细，所以万网已经不是第一次丢失客户数据，此前还发生过将某小区业主论坛数据误删的事故，只不过因为小区论坛版主自己保留了备份，万网才能有机会补救。不难看出，不少云安全事故本来是可以避免的，服务商只要有足够的责任心，就能为消弭用户对于云计算的顾虑做出贡献。

　　用户：增强把控能力

　　云服务厂商和云存储用户都有必要认识到：云计算和其他基础设施一样，不可能是万无一失的，双方都需做好自身的管理。云系统和应用在设计时就应该为故障做好准备，而用户也应该做好自己的系统设计，以备意外，提高自身对于云计算的认知和把控能力，而不是把一切扔到云端就万事大吉。

　　业内专家认为，企业在选择云服务产品时，应该为云计算建立或购买一个风险评估框架。这个框架应该包括：定义云服务使用时的信息安全策略，对企业数据进行分类，判断哪些数据适合存储在云计算环境，哪些数据会面临较大的风险。评估一旦数据的保密性、完整性和可用性受损后，对企业业务的冲击情况；其次，将公共云服务安全风险内容建档保存，列出降低云服务安全风险的控制方案(可以采用风险—方案的方式制定每个潜在风险的详细应对策略)，升级信息安全合约，解决采用云服务后带来的安全和操作上的问题。服务等级协议未达标的补偿方式，信息系统审计和调查取证的权力等，都必须写入与云服务供应商签订的合约中。还应对云服务产品进行渗透测试，对云服务供应商的安全控制能力进行审查，选择最能符合企业安全需求的云服务供应商；最后，建立公共云服务退出策略，企业必须建立一套云服务退出策略，以便在企业必须将所有数据和应用迁移回企业内部或改换云服务商时，避免被云服务供应商绑定而无法退出。

　　应该相信，随着云计算市场规模的不断扩大，其法规监管制度会日渐完善，但要想让云计算真正落到实处，让用户放心、安心地使用，还需要来自服务提供商、设备供应商以及用户和政府等多个层面的共同推动。尤其需要看到，运作云存储服务需要足够的资金、技术作为支撑，巨头公司在这个领域的优势其实更加明显，已经获取一定市场地位的云服务企业应该珍惜自己的积累，即使是对于刚收购不久的企业，也要尽快妥善解决管理问题。

　　链接

　　如何更好地部署云安全

　　1.了解自己的和云提供商的基础设施。对于供应商的设置了解得越少，就越容易陷入被动。

　　2.询问安全和法律团队审查与云服务供应商所签订的合同，确认其对于安全保证具有法律约束力。

　　3.研究供应商的服务水平协议，确保可以监控应用程序，同时在发生安全漏洞事件时服务供应商会第一时间通知你。

　　4.在订立合同时，咨询供应商的相关雇用政策和雇员监察的做法，因为内部人员的恶意攻击往往就意味着安全风险。

　　5.研究安全控制方案，并确保云提供商在恰当的地方进行有效控制。另外，了解供应商如何处理违规行为。

　　6.要知道你的企业对于系统的保密性和完整性负有最终责任。如果可能的话，在供应商的帮助下定期进行基于云系统的渗透测试，识别漏洞。

　　7.部署自己的安全工具，如复杂的密码、数据加密和数据访问管理软件，集成云基础设施。

　　（资料来源：《计算机世界》根据网上资料整理）

　　本报记者 徐昊

关注读览天下微信， 100万篇深度好文， 等你来看……