审慎评估供应商 确保数据安全及可靠
- DigiTimes企划
-
云端运算概念成形已久,各种云端服务在市场上也有许多实务典范可供参考,但许多企业仍然对于导入云端技术或服务踯躅不前,最主要的问题关键之一,就是「数据放在云端运算领域的安全型和可靠性」。
有趣的是,其实目前早已有许多的敏感信息放在云端之中,网络银行、政府信息、个人身份认证等,许多重要信息早已不是透过「实体」方式传输,就以即将展开的个人综合所得税申报为例,早已有数以百万计的纳税义务人选择用「网络报税」,这些攸关个人财产的重要统计,也都是在云端之间存储及处理。
因此,真正的问题,其实还在于提供云端技术或服务的企业,是否能够取得客户的信任,而不是技术本身是否够成熟。因为目前虽有亚马逊、IBM、惠普等「大企业」提供云端技术或服务,但同时也有成百上千的「中小企业」,也会提供各种类似的云端技术或服务的解决方案,只要有任何涉及到信息安全的情事发生,就很容易让市场怀疑云端技术或服务的安全性及可靠性。
应制定需求方案说明书
事实上,每一位客户在选择解决方案时,应该要设法队这些服务提供者进行相关调查,而且不只是技术能力而已,还应该包括财务稳定状况、发展前景以及长期的经营和营利状况等。
THINK网站的战略主管兼软件服务及云端运算顾问Jeff Kaplan在《SaaS指南》一书中谈到,服务品质和数据中心的安全性,能直接决定云端服务提供者的营运状况。因此,使用者在调查云端服务提供者的方案可行性、可靠性及安全性时,最关键的环节,就是要制定出一份较完善的需求方案说明书。
标准的需求方案说明书应该包括服务提供者的财务状况和可行性两部分信息。在收集信息的过程中,由于许多大型服务提供者早已具备更高的知名度、公认度和信誉度,而新的服务提供者普遍存在着消费者基础薄弱、财务状况不稳定且信誉度很低等问题,因而收集新业者的信息会更有价值。
需求方案说明书中,除了上述两部分信息以外,还应该包括服务提供者的发展年限、拥有消费者的数目、财务状况以及消费者信誉度等信息。这些信息能説明潜在的消费者有效地评价众多服务提供者提出的解决方案,仅仅根据服务提供者的财务状况去预测其未来的发展状况是不可靠的。
云端服务供应商的能力参差不齐,但如果某个服务提供者创立的时间较长,经营得也很好,那麽该提供商在未来的生存能力将会比较强,这些信息可以从需求方案说明书和客户提供的信息上反映出来。而对于一些在相关领域拥有的消费者数目较少,且发展时间比较短的供应商,即使有不错的解决方案,在这个充满挑战的IT产业发展环境下,要与其他大型云端服务供应商抗衡的机会,就比较小了。
审慎评估供应商的网安能力
如果一家企业想要尝试云端服务,较明智的方式就是先从规模比较小的项目开始。这种做法不仅能将一部分IT工作迁移到云端环境中,而且能将自身的风险降至最低;同时,由于专案越小越容易控制,从而可使整个团队成员有足够的精力在专案进程中不断学习并累积经验。
但真正最大的挑战,还是企业早已习惯将数据放在自己的数据中心,以此保证数据的安全性。因此,企业通常会有很强的数据所有权的观念,现在突然要让企业将数据存储在脱离企业管辖区域的数据中心,对数据的安全性不仅是一个挑战,同时也对企业根深蒂固的文化和价值观,形成相当程度的冲击。
Gartnet在2008年6月曾提出一篇名为《云计算的安全风险评估》(Assessing the Security Risks of Cloud Computing)的报告,在该报告中提出了七个安全议题,包括:
1.特权用户的接入:企业需要对处理这些信息的管理员进行充分了解,并要求云端服务供应者提供详尽的管理员信息。
2.可审查性:使用者对自己数据的完整性和安全性负有最终的责任,因为云端服务供应者不可能对客户提供传统IT服务提供者愿意接受的外部审计和安全认证,使用者必须要以更审慎的态度来处理重要信息。
3.数据的存储位置:在使用云端服务时,使用者并不清楚自己的数据存储在哪里,甚至都不知道数据位于哪个国家。因此使用者要了解数据是否存储在专门管辖的位置,以及他们是否要遵循当地的隐私条款。
4.数据隔离:由于在云端运算的体系下,所有使用者的数据都位于共享环境下,如何实现数据隔离就变得很重要。云端服务提供者应该提供相关加密服务。
5.数据恢复:用户应该事先了解云计算服务提供者是否有恢复数据的能力,以及需要多长时间来恢复。
6.不洽当或非法的活动调查能力。由于在云端运算环境下,来自多个使用者的数据可能会存放在一起,并且有可能会在多台主机或数据中心之间转移。如果云端服务提供者不能区隔合法和违法行为的能力,一旦有其他用户发生违法行为,合法用户就可能遭到连累。
7.长期生存性。使用者必须防范云端服务提供者破产或被大公司收购的可能。万一发生类似问题,自己的数据会不会受到影响、如何拿回自己的数据,以及拿回的数据是否能够能被导入到替代方案中,以确保相关业务不会因此中断。
