让企业数据在公共云环境保持安全(2)

　　采用公共云计算机服务时的数据安全建议

在采用公共云服务时，为了将安全风险尽量降低，企业可以进行以下动作：

建立一个云服务项目的部署工作表，所记录的内容包括：

· 采用云服务的决策制定过程

· 云服务涉及的企业业务以及成本的考量

· 确定可靠的数据存放范围并通过数据流程图和工序流程表深刻理解端到端的业务流程。

· 对云服务使用的认识 – 你的服务采购团队和架构人员必须具备足够的云服务知识和技能来选择云服务并提供相应的支持工作。

· 一个云服务注册器，记录企业使用公共云服务的消费状况。

为云计算建立或购买一个风险评估框架。这个框架应该包括：

· 定义云服务使用时的信息安全策略

· 对企业数据进行分类，判断哪些数据适合存储在云计算环境，哪些数据会面临较大的风险。

· 评估一旦数据的保密性、完整性和可用性受损后，对企业业务冲击情况。

· 将公共云服务安全风险内容建档保存

· 列出降低云服务安全风险的控制方案(可以采用风险--方案的方式制定每个潜在风险的详细应对策略)

· 升级信息安全合约，解决采用云服务后带来的安全和操作上的问题。服务等级协议未达标的补偿方式，信息系统审计和调查取证的权力等，都必须写入与云服务供应商签订的合约中。

· 对云服务产品进行渗透测试，对云服务供应商的安全控制能力进行审查，选择最能符合企业安全需求的云服务供应商。考虑使用SAS 70 type II 报告或类似的 IS审计报告来审查服务供应商的安全控制能力。

建立公共云服务退出策略

企业必须建立一套云服务退出策略，以便在企业必须将所有数据和应用迁移回企业内部或改换云服务商时，避免被云服务供应商绑定而无法退出。

总结

在公共云环境下，数据安全是需要云服务供应商和数据所有人共同承担的责任。但同时数据拥有者必须独自对数据隐私和保护承担全部责任。如果他们对数据的隐私保护不能达到监管要求，将可能会承担巨额罚金。因此很多企业已经提前投资采用了信息安全风险管理和控制工具。这些工具可以平衡基于云架构的安全风险，帮助企业实现最大的投资回报。所以，在采用公共云服务时更常见的情况是，需要鉴别和理解某个特定云服务的安全风险，并针对这类风险开发出所需的安全控制方案，从而将该类风险降到最低水平，不对企业采用云服务造成影响。

所以企业有足够的理由选择云计算服务，但同时企业也有足够的理由将自己防御的更严密，以便在新技术环境下发展的更快更安全。



服务器托管、租用，VPS,请联系——
亿恩科技-明宇
QQ:1613285598
电话：0371-63322220

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]