“影子IT”信息安全隱患大 云計算發(fā)展受阻
近幾年來,云市場越來越大,越來越多的服務商投入到了云行業(yè)中來。當然個各個云服務商的水平高低也參差不齊。
近日某家云計算服務監(jiān)控公司發(fā)表了一份“歐洲市場云計算使用風險”報告,該報告采集了超過100萬的公司員工,涉及40多家企業(yè),涵蓋了金融服務、醫(yī)療保健、高新科技、制造業(yè)、媒體等。該公司對這些行業(yè)使用的云服務進行了量化,并對其風險進行了評估。
調查中發(fā)現,企業(yè)平均要使用588個云服務。拋開歐洲的法律先不提,這其中只有9%的云服務提供了企業(yè)級的安全保護,而剩下的91%存在著中到高的安全風險。如果從數據隱私和數據儲存的角度看,只有1%的云服務能夠提供企業(yè)級的安全保障,以及符合當前歐洲的法律要求。剩下的99%或多或少都存在數據存儲不夠嚴格的問題,或者沒有符合國家數據隱私保護的相關法律,且沒達到企業(yè)級的安全保障。
“影子IT”造成的安全隱患
什么是“影子IT”,“影子IT”是指業(yè)務部門跨過IT部門而直接使用云服務。在歐洲,大部分的公司使用云計算都是在CIO或者CISO的監(jiān)管之下,致使“影子IT”的現象非常普遍,并且很難控制。員工在使用云應用的時候,通常是不會考慮安全因素,以及對企業(yè)更上層的業(yè)務策略產生的影響。當CIO們在檢查云服務使用情況時,往往會發(fā)現“影子IT”的數量,是他們之前設想的10倍之多。
報告中主要總結了以下幾點問題:
1、只有5%的云服務在歐洲通過了ISO 27001認證,很多企業(yè)對于員工使用未認證的服務并不知情。
2、排在25到30名的云服務供應商,提供的內容共享和文件共享協議是建立在其他國家標準之上的(美國、俄羅斯、中國)這些國家的隱私標準與歐洲是有差別的,所以對于歐洲國家來說,這些標準是不合格的。
3、有49種不同的服務在跟蹤員工的上網行為,這對企業(yè)來說很容易受到水坑攻擊。
來自該公司的CEO表示:“云計算有著敏捷、靈活、高效的特點,企業(yè)也應該鼓勵員工去使用云計算來提高生產效率。然而從調查的結果顯示,有太多的員工沒有這一方面的風險意識,這很可能會給企業(yè)帶來嚴重的安全隱患。就以數據存儲服務為例,在我們的調查結果中顯示,有72%的服務是在美國,這對于在歐洲的公司來說可能就會產生一些法律問題。云是企業(yè)發(fā)展的趨勢,但需要充分的了解云服務如何使用和存在的風險。并且企業(yè)要指導員工如何安全的使用云計算。”
云服務風險防范 數據加密提供最可靠支持
除了信息技術領域的企業(yè)員工,其他領域的員工未必都對信息安全與云計算有深刻的了解,因此這些企業(yè)需要首先對員工進行適當的教育培訓,提高信息安全意識與風險意識,要明確的知道工作中的哪些行為會為企業(yè)帶來安全隱患。
其實,若是想要從根本解決“影子IT”造成的安全隱患,免除風險困擾,除了企業(yè)員工意識教育這一方面,對企業(yè)系統中的數據本源進行加密,就為企業(yè)數據安全建造了更加牢固的防護墻。
加密直接作用于數據本身,在最壞的情況下,即使重要文件通過惡意攻擊手段丟失被竊了,加密依然為文件起防護作用,由于現在解密算法越來越難以實現,所以一經加密就可保證不被泄露。在加密基礎上,國際先進的多模加密技術采用對稱算法和非對稱算法相結合的技術,在確保的加密質量的同時,其多模的特性能讓用戶自主地選擇加密模式從而更靈活地應對各種防護需求和安全環(huán)境。同時作為這項技術使用的典型代表山麗防水墻的多模加密模塊還采用了基于系統內核的透明加密技術,從而進一步確保了加密防護的便利性和完整性。
對于擁有大量核心數據的企業(yè),最基本的要選擇安全等級高的云服務,首先從這一方面降低安全風險,其次提高員工的信息安全意識,最重要的是動用技術手段為企業(yè)提供最安全的技術防護,這種時候使用有針對性且保護本源安全的加密軟件是最好的辦法!
提交
供應鏈中的信息安全 淺談ERP系統的防護要領
針對NSA對云計算安全影響 數據加密是硬道理
看不見的危機 細數云計算的數據安全隱患
信息化與網絡安全 這個時代無法逃避的話題
未雨綢繆 企業(yè)數據安全防護需要做好萬全準備