安全问题无处不在 云服务安全问题不可忽视

  云计算应用的安全问题似乎是一个永远不会过时的问题，因为，不论行业成熟度发展到什么程度，安全问题永远会伴随其左右。前不久，国内一家网络服务公司因为数据丢失导致了一系列问题，这让国内云服务市场蒙上一层阴影。

  这家公司是国内的域名服务公司万网。据了解，由于管理疏漏，将采用其云平台服务的某电子商务网站数据误删除，导致该网站注册会员信息丢失，被迫暂停业务数日，进而影响了该网站的融资计划。尽管，事后万网方面表示数据通过技术手段可以找回，但这一事件无疑给一直宣称安全系数高、投资成本低的云服务蒙上一层阴影。

  基于云计算时代的信息安全考虑，近日，知名研究机构安永发布的第十五次全球信息安全年度调查显示，云计算是业务模式创新的主要驱动因素之一，在过去两年中，应用云计算的企业数量已经翻倍。

  然而，安永调查发现，仍有38%的受访者表示其所在的企业没有采取任何措施应对风险;例如诸多企业并未对云计算服务提供商的合同管理开展相对更严格的监管流程，以及采用加密技术。

  信息安全无处不在

  尽管企业正在采取措施加强信息安全管理，但是绝大多数还跟不上日新月异的风险环境。该调查建议，仅靠短期的渐进式变革和修补式解决方案是不够的，企业缩小差距的唯一办法就是从根本上实现信息安全功能的转型。

  安永大中华区信息科技风险与审计咨询服务合伙人阮祺康对《中国联合商报》表示，“实施信息安全转型旨在缩小脆弱性现状和安全性目标之间日趋扩大的差距，这不依靠复杂的技术解决方案，而是需要领导力、承诺、能力和行动的勇气，不是在一两年之后而是当下。”

  调查报告显示，企业在信息安全所面临的挑战不可小觑，主要的挑战如下：

  外部威胁有增无减，令企业深感担忧： 77%受访者表示其所在企业面临的外部威胁正不断增加;安全防范措施未能同步追随云计算快速应用的步伐：从2010年至2012年，云计算的应用增长已翻倍，但仍有38%的受访者表示所在企业没有采取任何措施，缓解云计算所带来的安全风险;移动应用大幅增长，但安全防护技术部署明显滞后： 44%的受访企业允许员工在工作中使用企业或者个人的平板电脑，但其中只有40%的企业对移动设备采用了加密技术;社交媒介广泛普及，成为企业安全隐患：31%的受访者表示其企业并未采取相应的机制来处理社交媒介的安全风险;安全预算和能力匮乏，差距持续扩大：62%的受访问企业表示预算受限，是信息安全工作的主要障碍之一。此外，44%的企业表示，安全管理和执行人员的能力偏低，严重阻碍了安全目标的实现。

  该报告的结论指出，企业只有从根本上转变信息安全管理策略，才能有效应对现有安全威胁，及由新兴技术带来的新的安全风险。

  除此之外，移动互联领域也是高风险区。在移动互联网发展趋势下，企业员工购买并使用智能手机与数据服务的情况将越来越多。利用个人设备接入企业应用，有助于企业降低整体的设备采购成本，并有助于提高员工的工作效率，且能激发员工的创造力。然而，风险总是与机遇并存。企业亟须找到引导员工正确使用工作设备与个人设备的解决方案，为此也必须深入考虑其中的信息安全问题。

  安永大中华区信息科技风险与审计咨询服务总监林育民对《中国联合商报》表示，“在2011年的调查中，BYOD(Bring Your Own Device)比率仅为20%;而今年的调查结果显示，有44%的企业允许员工在工作中使用企业或者个人的平板电脑。这导致企业内外信息交互量激增，也令相应的安全管控变得更加困难。”然而，在快速发展的移动应用环境中，对应的安全技术与软件的使用率仍然较低，调查中发现，只有40%的企业对其移动设备采用了加密技术。

  加之，社交媒体在创造众多机遇的同时，也带来许多新的挑战;通过社交媒体，企业能迅速建立品牌与开拓市场，同样也可以快速地对企业形象造成重大的负面冲击。

  此外，随之而来的挑战，还包括数据安全、隐私隐患、监管与合规要求，以及对员工生产力的影响。今年的调查结果显示，约31%的受访者表示其所在的企业，没有设计相应的机制来应对社交媒介使用所带来的风险;这不但造成企业整体风险的上升，更严重冲击企业未来全面利用社交媒体渠道行销的能力。

  信息安全亟待提升

  从股东与投资人角度来看，信息安全应该成为他们关注的重点之一，安全管理应得到充分的支持;然而，信息安全的资源与能力问题，依旧困扰着信息安全工作。在安永今年的调查报告中显示，62%的受访问企业表示预算受限，是信息安全工作的主要障碍之一;此外，44%的企业表示，安全管理和执行人员的能力偏低，严重阻碍了安全目标的实现。

  林育民说，“对于有些企业来说，安全专业人士、安全成熟度或安全预算也许在决策过程中起到一定作用;然而，这些修补式或简单叠加的应付方案，看似满足了短期的信息安全需求，但也掩盖了潜在的巨大安全隐患 .”

  此次调查也显示，目前企业仅采用治标式和修补式的解决方案提高信息安全能力，却忽略了对信息安全威胁的整体与全面的应对;仅约8%的受访者表示在过去两年中，企业发生的信息安全事故的数量有所减少，因此建立一个强健的安全体系成为企业的当务之急。

  但令人担忧的是，约有63%的受访者称其所在企业尚未建立信息安全整体架构体系，只有约16%的受访者认为其所在企业的信息安全职能完全符合业务需求。

  展望未来，阮祺康先生总结道，“尽管我们已经发现信息安全现状与企业的目标之间存在着不小差距，但是随着新的政府监管要求的出现与安全威胁的不断变化，此差距还会进一步扩大。如果企业不立刻采取措施建立全面的信息安全体系，那么现有的问题加上未知的隐患，只会让企业面临的信息安全环境更加恶化。应对这样的形势，缩小差距的唯一途径只有对信息安全进行结构性的转变。”

  实现这样的调整并不一定需要复杂的技术解决方案，它需要的是领导力及承诺，再加上能力与行动的决心。“不要总说在未来如何做，关键是当下的创新实践。”阮祺康建议说，企业应该采取将信息安全战略与企业战略相联系，重新设计架构，持续实施转型，深入了解新技术的风险与机遇等重要举措。

  显然，唯有如此，企业才能够根本性地转变其信息安全部门运作的方式，更有效地缩小不断扩大的信息安全风险差距。