企业或出于降低成本,或出于创新的驱动,正不断迈入云计算。特别是在国内,政府对云计算发展重视有加,政策、资金不断下发促进了云计算产业的发展。近期,有消息指出工信部正在加紧编制云计算产业发展指导意见。
企业或出于降低成本,或出于创新的驱动,正不断迈入云计算。特别是在国内,政府对云计算发展重视有加,政策、资金不断下发促进了云计算产业的发展。近期,有消息指出工信部正在加紧编制云计算产业发展指导意见,并有望于2013年两会后正式出台。因此2013年对于云计算而言,将是大力发展、加速普及的一年。
对此,赛门铁克大中国区技术支持部总监李刚认为,随着云计算发展步入纵深,安全风险问题将逐步揭露并在2013年日益显著,但随着业界重视程度不断增加,云服务和产业环境将会向更安全方向演进。无独有偶,分析机构Gartner报告预计,云计算的增长将会成为2013年各种安全趋势的推动力量,也从侧面印证了2013年将是云计算安全发展的重要一年。
影子IT扩大安全风险
目前,云计算所遭受的质疑声中,最受关注与最大的挑战便是安全。众多研究报告指出安全是阻碍企业迈向云计算的首要因素。同时对于众多中国企业,出于长期自建自用IT资源的思维所致,当前对云计算服务模式接受度并不高,对数据安全性、泄露风险等顾虑重重。这在李刚看来,其实可以转化为企业如何衡量企业IT部门与业务部门的价值比重问题。
“企业决策者需要考虑IT系统本身的价值和首要价值是什么,其次,明确企业自身提供的核心价值输出是什么。”李刚表示,当IT部门是企业竞争力的重要体现时,可以通过云的方式将非核心价值部分交付给云服务供应商,从而可以集中更多资源集中在竞争价值上。
企业通过云计算服务模式使其不用担心自建IT设施所花费成本,并提升信息化水平,对于厂商、供应商而言,也能创造更多的市场机会,是一个双赢的选择。但鉴于云计算仍处于发展初期阶段,还需要一段时间进行企业思维模式转换及市场培育。
同时对于即将或已将进入云的企业而言,企业需要意识到云进入到企业内部后为企业带来的安全管控变化。目前随着企业可以选择的云服务逐渐增多,并且比传统IT系统使用起来更为方便,并有利于公司业务的快速响应,一些企业部门、个人便放弃了需要长时间开发的传统IT服务,转投立即使用的外部云端服务。源于此,也出现了许多不受IT部门管控的影子IT服务(Shadow IT)。这在李刚看来,这些影子IT并没有融入企业IT治理的合规流程,在将企业数据托管在云端服务器的过程中,合规评估、风险评估将变得十分困难。
李刚举例表示,目前许多企业人员都喜欢采用Dropbox云端存储服务方便地随时存取档案,但其中很可能将公司一些项目敏感数据、设计、知识产权等信息脱离公司管控。这对于企业而言将是一个很大的风险泄露渠道。据国外一家存储管理软件公司Nasuni最近针对企业使用Dropbox的调查报告显示,受访1300多位商业人士中,每5人就有1人在工作中使用Dropbox存储商业文件,而且大部分人员均绕过IT部门私下使用,其中,高层主管还是最大的使用族群。
在上述情况下,企业既不能不允许采用影子IT服务,因为很可能竞争对手也正在采用此类云服务以提高生产效率,但采用后,又存在许多潜在隐患。“这便需要一种折中的方案,使得企业内部有能力将自身的IT管理、遵从方法扩张到云上去。”李刚表示,目前赛门铁克针对这样的需求已有相应解决方案,其实质是一种云安全网关。企业内部员工在使用云服务,通过企业网络连向外部时,其就能够识别出使用的云服务,然后对云服务进行管控,并查看部门和员工使用云服务的过程中,是否符合公司的安全的策略,是否有信息未经审批透露出去等。
法规缺失制肘云服务普及
另外,企业对云服务模式采用的增加还有赖于法律、法规环境的进一步加强。对于企业而言,将非核心业务交付给云供应商后,需要法律、法规对于服务水平、安全性、可靠性以及服务中断等问题及责任进行界定,但目前区别于美国等地,对信息服务有明确的规章制度,目前我国相关法律、法规建设还在摸索阶段。
网友评论