所谓风险,也就是指我们不希望发生的事件发生的概率。在信息安全领域,风险就是一个恶意或非恶意暴露机密信息事件、或威胁数据一致性以及干扰系统和信息可用**件发生的概率。任何接入互联网的组织都处于风险之中,他们都应考虑黑暗网络的弹性特性和扩展私有云计算和公共云计算网络的能力。数据交换有合法的和非法的,而一家企业的互联网接入就为合法的数据交换(例如电子邮件、VPN以及FTP等)以及诸如恶意软件、信息收集和!!等敌对性的数据交换提供了的信息传输回路。
敌对数据交换并不是一家组织或者甚至个人所希望进行的数据交换。通常情况下,其结果就是等待恢复的停机时间、收入损失、数据丢失、影响人力资本以及相关名誉受损。如果某个组织是一个受管制行业中的一员,那么这个组织就有可能由于发生敌对事件的原因而受到处罚。即便企业没有受到相关处罚,但是他们也无法承受因发生安全事件丑闻而造成客户流失和商业合作伙伴失去信心这样的严重后果。
一直以来,云计算所倡导的就是:我们可以做得更好,更便宜。你来关注你的核心业务问题,而我们来更具成本效益地管理你的技术并保护你的数据。虽然这有可能是真的,但是云计算供应商也与其他企业面临着相同的挑战。鉴于其特殊的业务模式,云计算供应商可能比一家典型企业面临着更多的挑战。例如,云计算供应商可能会迎合一个利基行业,如信用卡业。如果大家都知道这家云计算供应商掌握了所有客户持有的信用卡信息,那么它也就会成为黑暗信息经纪人的目标。信息经纪人会兜售客户身份或信用卡或者制造伪造的信用卡,而一个成功的黑客可能会从中受益。
云计算供应商的风险还存在于使用云计算服务的客户中。无论客户的物理、逻辑和虚拟隔离和细分的量有多少,云计算基础设施都共享了共同的能源、硬件、应用程序以及网络资源。当云计算服务供应商提供SaaS服务时,它会信任企业用户并让用户自己确保其用户ID和密码的安全性。与之类似,用于访问SaaS的计算资源也必须是安全的。如果企业用户遭到入侵,诸如用户ID和密码等信息被泄露,那么一个经验丰富的信息收集者就有可能会凭此访问SaaS应用程序并确定访问其他客户数据的方法。顷刻之间,其它企业用户的云计算环境的保密性、完整性以及可用性都岌岌可危了。
云计算服务SaaS软件平台博云网表示,最后的风险就存在于云计算供应商及其技术专业的水平了。供应商们必须接受风险转移,并理解和遵守相关规定。他们也面临着与其他所有企业相同的挑战,其中尤其是吸引和留住人才。当人力资本不再是云计算供应商成功吸引和留住人才的主要因素时,整个云计算环境就有可能由于一个蚁穴而崩溃。缺乏可扩展性、无法提供丰富的功能集或者无法提供足够的安全性和私密性保障都会影响云计算供应商吸引和留住客户的能力。
风险转移是云计算的一个组成部分,因为供应商必须以合同协议的形式承诺提供一定的服务水平。该服务的一部分涉及到确保信息资产的安全性。如果由于云计算供应商未能对行业最佳实践和法规开展尽职的调查而发生相关恶**件,那么它就应负责通知受事件影响的相关人员并展开诉讼行动。一家云计算供应商必须做好准备通过审核和认证,以确认其云计算基础设施将仍然保持可用性和安全性。它还必须为响应安全事件而做好准备。即便他们的初衷是良好的,但是诸如零日漏洞攻击这样的事件还是会发生,并渗透到最佳安全架构中。
同样,了解必要的法规也是非常重要的。出于隐私性方面的考虑,金融诚信和国家安全组织通常至少必须遵守一项规定。大多数的组织都会有多个规定需要遵守。以下,让我们来看看一个管理信用卡数据的全国性组织的例子。这家组织必须遵守联邦**的要求以及那些可能比联邦法律更为严格的特定地区法规。而全球性组织则还需增加一层复杂性,即他们必须遵守美国的法规以及他们开展业务的所在国家的国际性法规。云计算供应商们必须在理解法规以及如何遵守法规方面有大的投入,因为他们的违规也意味着企业用户的违规,而他们有为他们的客户和法规提供合规性保障的最终责任。
|
转播
分享
淘帖
分享到新浪微博
