云來了，安全怎么辦

文/本刊記者 盧敏

要想在云端充滿信心，IT部門必須采取措施以確保其對于信息及應用的控制能力與目標始終保持一致的能力。

10月21日，賽門鐵克公司公布了《2011云端現狀調查》結果。該調查重點關注企業如何部署云計算以及如何處理云計算給IT管理帶來的變化等。調查顯示，企業對于云安全問題持矛盾態度——大多數企業將安全性同時列為邁入云端的最大擔憂和首要目標。調查結果同時表明，企業可能還沒有充分做好邁入云端的準備，因為幾乎一半的受訪者聲稱其IT員工目前還沒做好實現云計算的準備工作。

“此次調查結果進一步驗證了用戶目前的態度和需求，安全性是其邁入云計算領域的最大擔憂，”賽門鐵克企業產品和服務集團總裁Francis deSouza指出，“想要在云端充滿信心，IT部門必須采取措施以確保其對于信息及應用的控制能力與目標始終保持一致的能力，無論企業已經實現云計算環境，還是仍停留在原有的基礎架構上。”

在提到報告對中國企業的借鑒意義時，賽門鐵克中國區技術支持部首席解決方案顧問林育民介紹說，報告提供了對信息安全市場前景策略的預期。將研究成果分享給業界，尤其是IT負責人，將能為企業對自身網絡安全維護工作進行自我評價提供一個衡量標準。國內比較重視對傳統網絡安全的防護，像病毒控制、防火墻等的安全投入，國外有近一半開始關注合規管理到安全策略的制定與執行，并應對新型安全威脅的攻擊。這對提高國內企業的信息安全防范意識有很好的借鑒意義，并使安全體系做得更健全、更健康。

林育民：將研究成果分享給業界，尤其是IT負責人，將能為企業對自身網絡安全維護工作進行自我評價提供一個衡量標準。

根據調查顯示，企業在準備防范和應對網絡攻擊方面仍有改善的余地。只有略超半數的受訪者表示，企業在部署常規安全措施方面表現非常出色。認為企業在應對安全攻擊和破壞方面做得非常好的受訪者數量略低一些。同時，不足半數的受訪者表示企業合規性方面表現良好，在采取創新型或戰略性安全措施應對威脅方面，則表現欠佳。

報告也就企業安全的保障需要技術和管理相結合，制定并執行IT策略，以確保企業的員工能夠增強安全意識等問題給企業提供了以下幾點建議：

首先，企業需要制定并執行IT策略。通過在所有地點優先考慮風險及定義策略，企業能夠以內置自動化和工作流程來實施政策，從而保護信息、識別威脅，在事故發生時盡力避免損失，或者在事故還沒有發生時及時預測。

其次，企業需要采取以信息為中心的方式來主動保護信息。采用內容感知的方法來保護信息是非常重要的，它可以幫助企業識別保密信息和敏感信息并對它們進行分類，同時了解這些信息的存儲位置和訪問者，知道這些信息是如何進入或者離開企業等。主動為終端加密也可以幫助企業將設備丟失導致的各種損失降至最低。

再次，為幫助控制訪問，IT管理人員需要驗證并保護用戶身份、整個企業的場地和設備等。此外，他們還需要提供受信任的鏈接，并在適當的時候對交易進行驗證。

最后，IT管理人員需要保護所有的端點，包括日益增加的移動設備以及消息和網絡環境，從而保護其基礎架構。為關鍵的內部服務器提供保護并進行數據備份和恢復，也是非常重要的。此外，企業需要獲得可見性、安全智能，還需要對環境進行持續的惡意軟件評估，從而對威脅做出快速響應。

此外，對于安全廠商而言，云計算的浪潮給他們帶了了諸多挑戰，首先是傳統的終端設備變得更加多樣并且更具移動性，其次是如何有效保護虛擬化環境的安全，原有物理機上的防病毒無法直接搬到虛擬機上。在此，數據不再只是在普通設備上，而是分布在各個分支機構。