拨开迷雾入“云端”

孙杰贤

“拨开迷雾入云端”这是安永第十四届全球信息安全调查报告的主题。作为全球历史最悠久、认可度最高的信息安全调查，安永的每一次报告发布都备受关注。

安全是个永恒的话题，而当越来越多的企业将公司的运营建立在信息化之上，安全也因此变得史无前例得重要。试想，如果企业未能做好信息安全工作，那么他们的客户如何能信任其提供的信息甚至其所有业务呢？

安永全球信息科技风险咨询服务主管合伙人Paul van Kessel表示，当前的全球商业环境发生了前所未有的变化，出现了诸多基于新技术的新商业模式。“我们看到越来越多的传统和非传统企业将信息，甚至将全部业务模式移人‘云中。然而，以云计算为代表的新技术、新应用以及新业务模式的出现也带来了新的风险。因此，今年的调查报告应该为那些尚未认识和解决相关风险的企业敲响一记警钟，云计算安全是我们关注的重点”。

安全新挑战

的确，从来没有哪种IT技术能像云计算这样受关注，受青睐。由于对人力、物力和财力的解放，无论公有云还是私有云都是企业c10研究和追逐的一个重点。云计算不但颠覆了IT的交付模式，也影响到了企业的整体战略规划。传统的IT模式要求我们建立庞大的基础设施和复杂的应用程序架构，这仅仅是为了运行我们最基本的业务流程。云计算造就了新一代的企业用户：成熟消费者可以像用菜单点菜一样便捷地选择所需要的消费服务或服务组合。由于企业认识到走入云端的益处，加之对云计算商业模式的信心持续增强，他们将把更多的重要职能，甚至整个IT基础设施和应用平台移入云中，从而彻底改变其商业模式和IT职能。这样，企业将有可能大幅减少，甚至消除IT业务。

根据安永的调查，61%的受访者目前正在使用、评估或计划在未来一年内使用云计算服务。是的，越来越多的企业正在进入一个以云计算为代表的新技术所营造的这个充满诱惑与挑战的虚拟世界，而且可以肯定的是后续跟进的企业将会更多。但有一点企业必须意识到，在这个新的虚拟世界中，信息安全模式已经发生了显著的变化，对许多企业来说，是否能提供适当的信息安全就像获得“经营许可证”一样重要。

信息安全是企业成功走入云计算的一个关键组成部分和重要的促成因素。令人倍受欣慰的是，根据安永的调查，59%的受访者计划在未来12个月内增加其信息安全预算。但种种迹象显示，预算资金可能并未得到合理的支出，因为仅有51%的受访者表示其企业已制订了信息安全策略。

安永信息科技风险咨询服务总监林育民认为，数字化和信息化的趋势所带来的挑战需要企业制定缜密的策略和采取稳妥的应对措施。他说：“临时的解决方案可能在过去还能发挥作用，但在未来不具有可持续性。因此，重要的是要认识到：如果未能抓住工作重点，单纯增加投资并不能为安全保护提供任何保证。企业必须采取务实、积极的措施而不是被动地应对。董事会应更多地探讨信息安全问题，制定明确的战略以支持云计算服务及其他业务。只有信息安全成为服务和产品提供的不可或缺的部分，并纳入管理层的日常考虑事项，它才会被视为提升企业绩效的一个战略因子。”

避免盲目风险

尽管云计算的应用极其富有吸引力，但许多企业仍不清楚云计算的意义，因此林育民指出，企业首先需要加强对云计算的影响和风险的认知。在安永关注的16个信息安全领域中，受访者表示云计算是未来12个月的首要投资重点，在最有可能获得更多投资的类别中，云计算排在第二位。为了获取高配置、能快速部署并由外部管理的应用程序，企业的通常做法是对云计算的收益和风险进行权衡，并最终会选择一个折中的方案，这是一种冒险的做法，因为这样做会让审计与合规等监管机构认为企业缺乏专业知识和经验，从而将这些折中方案视为危险举措。同时，企业对第三方云服务的偏好加大了其对对方的依赖，同时令自己淡化了对核心业务应用程序内部运行的考虑。另外，由于企业与其第三方云服务提供商的合作愈发紧密，因而他们还面临合规风险、合约风险、法律风险以及整合风险。

“企业应该知道，进入云计算不仅是一个变革计划，而是业务流程包括与其相关风险在内的一次彻底变革。”林育民说，“因此企业在选择第三方云服务提供商时需要对他们的有足够的了解，不仅仅是产品。”多数使用云计算的企业目前正在使用SaaS服务，但是他们所购买的SaaS可能来自于正在使用PaaS能力的云服务提供商，而这种PaaS能力则来自于提供IaaS服务的云服务提供商。这类似于汽车制造商将发动机生产外包给一家公司，而这家公司又将钢铁铸造外包给另外一家供应商。各供应商之间的界限相当模糊，而在数据能够在供应商之间自由流动的世界里，信任就变成了一种宝贵的商品。因此，企业必须要与云服务提供商建立信任关系，以打消对能否信任和依赖其管理业务和数据流程的疑虑。

另外，随着云计算不断发展，服务供应商也越来越有能力提供高价值、方便使用的解决方案，但企业仍面临将外部云计算融入其企业营运的种种问题。这也导致对控制方案不确定的企业仅选择和实施了一部分可用的控制措施，有的企业甚至未实施任何控制措施。最常见的措施就是加大力度监管与云服务供应商的合约管理流程，但这可能存在一定的盲目性。

建立信任关系

在缺乏明确指导的情况下，许多企业容易做出不明智的决策，要么未适当考虑相关风险就过早地进入云，要么完全不考虑云服务。如何建立企业与第三方云服务提供商之间信任的关系呢？几乎所有人都赞成外部认证，“选择认证比信任更重要”。事实上，有关云认证的指导近期已取得了很大的进展。许多企业开始制订管理流程，这些流程基于类似在金融服务行业使用的服务认证和审核框架。另外，在建立一致的信任模式方面已经取得了较大的进展（例如：云安全联盟），许多企业会发现与可信任联盟中的供应商合作会更加安心。当然，云服务行业自身需要进一步发展。目前，对可扩展性、按客户情况“量体裁衣”和低成本的要求是推动企业使用云服务的因素。但是，由于确实存在风险，因此是否使用云服务应该在考虑其带来的优势的情况下进行权衡。

随着云行业的发展，信任能力亦必须发展，这将通过制定受监管的信任标准来实现。目前，许多联盟在努力实现这一目标，包括企业层面和国家层面。企业必须继续遵循这些企业制订的指导，与行业实践保持一致，鼓励在服务供应商中实施标准化规范。依赖外部企业不足以彻底解决所有与云计算相关的风险。这些风险可能意味着企业运营方式将发生重大变化，因此必须由正规的企业和IT风险管理程序来管理。

对于企业自身而言，需要调整企业信息安全策略，制订业务连续性计划，选择在系统恢复方面可提供透明服务的供应商，而在签订云服务协议之前要了解风险责任人，当然不能忘了继续使用曾对其他技术发挥有效作用的、规范的安全流程和技术。