企业云未注重云安全后果是什么？

　　紧随云计算、云存储之后，云安全也出现了。云安全是我国企业创造的概念，在国际云计算领域独树一帜[1]。“云安全（CloudSecurity）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

　　虽然传统安全措施的有效性取决于所采用的云模式，但是很多安全供应商仍然需要在他们的工具中增加云交付功能。

　　云迁移所带来的价值主张主要涉及速度、敏捷性、成本降低以及管理云迁移口中所说的更多安全控制措施。

　　在本地和云环境中使用传统安全控制措施所带来的云风险包括从对数据和应用程序的不可视性到过度依赖第三方供应商的强大安全策略以及暴露他们的安全状态和应急事件响应能力。

　　正如技术记者JaikumarVijayan在他封面故事中所说的那样，迁移至云服务让安全管理人员更难以，而不是更容易地了解企业中正在发生的一切。用户可以使用主要云供应商所提供的常用安全性策略的想法根本就是一个神话，SANS研究所的JohnPescatore告诉Vijayan：“基础设施永远不会保护自己…但可以以不同的方式交付和管理。”

　　虽然现有控制措施的有效性取决于所使用云的模式(具体为基础设施即服务、软件即服务或平台即服务)，但是传统数据中心工具供应商们将需要在他们的产品中增加云交付功能。

　　启动是管理云迁移风险的一个方法。当执行编辑RobWright遇上WesternUnion的信息安全高级经理MikeBartholomy时，他们就讨论起金融服务供应商最大限度减少影子IT所付出的努力以及提供其员工(其中约六成为80后)实际使用的工具。WesternUnion信息安全启用计划(或WISE)是旨在批准云服务并制定合适的安全控制措施。

　　“我们认为这是一个更好的方法，而不是试图禁止和阻止一切。所以，我工作的一部分就是确保他们能够以一种安全的方式使用那些云计算服务，”Bartholomy说。

　　云安全（Cloudsecurity），《著云台》的分析师团队结合云发展的理论总结认为，是指基于云计算[3]商业模式应用的安全软件，硬件，用户，机构，安全云平台的总称。

　　“云安全”是“云计算”技术的重要分支，已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。整个互联网，变成了一个超级大的杀毒软件，这就是云安全计划的宏伟目标。[2]

　　云安全示意图

　　在云计算的架构下，云计算开放网络和业务共享场景更加复杂多变，安全性方面的挑战更加严峻，一些新型的安全问题变得比较突出，如多个虚拟机租户间并行业务的安全运行，公有云中海量数据的安全存储等。由于云计算的安全问题涉及广泛，以下仅就几个主要方面进行介绍：

　　用户身份安全问题

　　云计算通过网络提供弹性可变的IT服务，用户需要登录到云端来使用应用与服务，系统需要确保使用者身份的合法性，才能为其提供服务。如果非法用户取得了用户身份，则会危及合法用户的数据和业务。

　　共享业务安全问题

　　云计算的底层架构（IaaS和PaaS层）是通过虚拟化技术实现资源共享调用，优点是资源利用率高的优点，但是共享会引入新的安全问题，一方面需要保证用户资源间的隔离，另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略，这与传统的硬件上的安全策略完全不同。

　　用户数据安全问题

　　数据的安全性是用户最为关注的问题，广义的数据不仅包括客户的业务数据，还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中，数据是离用户很“近”的，数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中，需要对数据采用有效的保护措施，如多份拷贝，数据存储加密，以确保数据的安全。

　　当安全管理人员努力在云迁移和内部部署安全性之间实现平衡，企业应当准备好保护与云风险和网络安全预备相关的行动。技术记者AlanEarls报道说，更多的企业在寻找董事级的网络安全专家，特别是在高调违规后。一项能够让管理人员和董事会负责准备网络安全性的立法案(类似于金融和其他受托决策的Sarbanes-Oxley法案)在一年前被提出，并可能被国会通过。无论是哪种方式，关于董事会级网络安全专家的争论可能会为安全管理人员特别是审计委员会提供良机。

　　“云安全（CloudSecurity）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

　　更多详细内容，尽在课课家教育，我们期待您的咨询！