当前位置:沙龙国际手机版云安全 → 正文

企业须辩证看待云安全问题

责任编辑:zsheng |来源:企业网D1Net  2018-07-12 15:29:21 本文摘自:西部数码
即便是对安全性问题方面的一个小小建议也都足以让一个沙龙国际手机版项目泡汤,并让整个沙龙国际手机版规划过程及其规划者饱受质疑。为了避免出现这种情况,企业必须以辩证的方法来看待安全性问题,集中精力加强对新风险的管理,并从理念上理解可接受的风险等级。 大多数问题的发生都是由于企业是在理想情况下对沙龙国际手机版安全性进行评估的。很少有企业会考虑在沙龙国际手机版中运行一个全新的应用程序,他们往往会希望把一个现成的成熟应用程序迁往沙龙国际手机版。这就意味着,他们并不会对应用程序的安全性进行完整的评估,而是把沙龙国际手机版安全性与他们目前的数据中心托管安全性进行类比。 从这个角度来看,沙龙国际手机版数据安全性评估就是指确定可接受的风险。如同其他所有类比的风险管理一样,安全性风险管理是一个在风险与成本之间进行权衡的过程。对你在现有的数据中心中运行的现有应用程序进行风险评估并担忧应用程序在沙龙国际手机版中运行的风险是非常重要的,这是因为应用程序在沙龙国际手机版中运行所带来的风险往往会高于你所能接受的程度。此举可确保与沙龙国际手机版安全性相关的成本支出不会导致沙龙国际手机版项目因财务原因而流产,其实在现实生活中,这种情况发生的概率是比较高。 从传统意义上进行分类,应用程序的安全性可分为三个层次:网络拦截、应用程序访问和物理数据安全。下面,我们将逐一进行介绍,并重点关注其中沙龙国际手机版与目前程序的差异。 网络拦截 网络拦截是未授权方通过监控网络流量查看机密数据而存在的风险。当通过Wi-Fi、3G或4G等无线方式访问应用程序时,网络拦截的风险是最高的,但是在大多数情况下,把应用程序迁往沙龙国际手机版并不会改变使用无线技术的用例。例如,如果一家企业希望用户能够更多地通过公共Wi-Fi热点访问基于沙龙国际手机版应用程序,那么就可以使用SSL加密技术以保护数据信息流。对于通过浏览器进行访问的应用程序,就可提供一个安全的https URL,但是请注意,对于使用客户端软件的应用程序,可能必须对应用程序进行二次开发以确保实现基于SSL加密技术的会话。 密钥管理是确保沙龙国际手机版中应用程序安全性的最大问题。最常见的做法就是把应用程序的安全密钥存储在应用程序镜像中。如果是在沙龙国际手机版应用程序中完成这一工作的,那么密钥就成为了沙龙国际手机版供应商所保留的机器镜像的一部分,从而也就存在被具有机器镜像存储设备访问权的恶意人士窃取的可能性。使用公共密钥存储服务或技术可确保沙龙国际手机版中的密钥、应用程序代码以及数据永远不会被窃。 应用程序访问 沙龙国际手机版中的访问安全性通常也是一个广受关注的重要问题,但事实上它完全不是一个日益严重的风险。如果你是使用互联网访问你的应用程序,那么通过互联网访问沙龙国际手机版中同样的应用程序就不会存在更多的风险,当然其前提条件是你能够如上所述正确地管理SSL和加密密钥。如果你打算使用虚拟专用网络访问来代替互联网访问,尤其是创建一个互联网VPN,那么就会出现新的挑战。 互联网VPN通常会使用IPsec加密系统,这是一种不同于SSL的安全技术,它会创建一个用户群,这个用户群中用户的数据流量都是通过他们与网络之间的软硬件进行加密和解密处理的。当企业在他们自己的内部VPN上使用Ipsec技术时,对于沙龙国际手机版是不存在任何额外安全性风险的;但是,沙龙国际手机版供应商们通常是不会支持在他们的沙龙国际手机版数据中心[注]中增加安全设施的,因此就可能需要一个软件以支持至每一个沙龙国际手机版应用程序的IPsec VPN连接。一般而言,这可能是每个应用程序机器镜像的一部分,是一种中间件。请与你目前的IPsec供应商确认,以确保你有一个沙龙国际手机版兼容的IPsec功能可以使用。 物理数据安全 数据资产的物理安全是绝大多数用户所共同关心的最大问题,同时这也是规划者最难以解决的一个问题。如果机密信息被存储在沙龙国际手机版中,那么验证你的沙龙国际手机版供应商的安全性资质就是非常重要的了。虽然已经出现了大批的沙龙国际手机版安全合规性框架,如沙龙国际手机版安全联盟(CSA)的开放认证框架(OCF);但问题是,这些框架都还未完全开发完成。如果你计划把机密信息存储在沙龙国际手机版中,那么你就需要确认你的沙龙国际手机版供应商提供何种框架以及这一框架是否能够满足你的实际需求。绝大多数的沙龙国际手机版项目规划者所面临的最大问题就是确定沙龙国际手机版供应商的框架是否支持你的合规性要求和政府法规,这项审查工作应由你的内部审计或法务办公室完成,如有必要可与政府监管部门合作进行。 在沙龙国际手机版项目中,也许可以通过杜绝存储机密数据而减少数据物理安全性问题的产生。如果应用程序使用结构化数据访问方法(DBMS/RDBMS 查询处理)而不是块级别的访问读写操作,那么就可以在把应用程序迁往沙龙国际手机版的同时把数据储存模块保留在企业内部。 独立审计是沙龙国际手机版项目规划者在研究沙龙国际手机版安全选项时另一个需要考虑的问题。严格遵循合规性需求的公司可能还需要拥有一个经第三方认证的沙龙国际手机版战略。如果你有一家合规审计公司为你的内部IT提供了到位的审计服务,那么这家公司很可能是你进行沙龙国际手机版合规性和安全性审计的最佳选择。如果你不这么做,那么列出一份他们推荐的沙龙国际手机版供应商和安全合规性审计公司的名单。先按照这些公司的表现选出前三名,然后联系这三家公司进行项目竞标。 12
关键字:安全问题 企业 本文摘自:西部数码
企业须辩证看待云安全问题 扫一扫
分享本文到朋友圈
关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士 企业网版权所有©2010-2018 京ICP备09108050号-6
^
沙龙国际手机版