張禮立：沒有風險意識就沒有雲安全

信息

安全

沒有風險意識 就沒有雲安全

文／張禮立

根據ChinaByte比特網的數據顯示，2016年網路安全事故比2015年增加約三成半，網路犯罪讓全球經濟損失超過4500億美元。全球企業增長諮詢公司弗若斯特沙利文研究顯示，2016年互聯網新增資料庫泄露、網頁被篡改、伺服器被攻擊等信息危害事件數量超過一萬個。在目前網路安全人才極度匱乏，大量企業開始實施應用與基礎架構大規模雲化之際，我們應當加強雲計算風險意識與管理。

從哲學的高度審視，信息其自身是物質的普遍屬性，也是客觀存在事物有序性的度量。任何事物只要存在一定的「序」，它就包含著一定的信息。因此，信息是客觀世界無私地「饋贈」於人類的無形的寶藏。接著，如果信息的安全出了問題，於是就無法保護信息的價值，這就好比人生如果失去安寧，那就失去做人的價值一樣。

人們在判定哪些應用適合遷移到雲計算系統上，以及在選擇使用哪些雲計算提供商的過程中，都會遇到各種各樣不同的觀點。所有的這些顧慮都是不可或缺的也是將會是一個永恆的課題，無論雲計算或是信息安全技術發展到哪個階段和水平。這些觀點和可能遇到的問題大致涉及系統和數據的安全性、信息監管和服務等級協議以及自身業務與雲計算服務商綁定三個方面。

信息安全是一個龐大的概念，同時信息安全管理也是企業和IT管理的一項重要的活動，它致力於控制信息的供應並防止未經授權的使用。所有的安全措施最主要的目標是要保護信息的價值，這種價值取決於保密性、完整性和可用性三個重大方面。安全管理實際上是一個由計劃、實施、檢查和改進所組成的一個無限循環。

一般而言，我們從邏輯上來判斷，數據中心的數據安全級別與投入成正比，換言之就是在安全和信息保護方面的投入越大它的安全級別就越高，數據就相對越安全。與那些傳統企業的IT相比，若不是你在充足的資金，技術，管理和法令條規的支撐下，要實現全業務鏈的信息安全，也就是從上而下，由里到外的業務信息安全體系是幾乎無法建立和維護的。這就從根本上大大限制了大多數企業的業務的安全級別。

在信息安全領域，大約80%的信息安全事故和淵源都源自企業內部。系統和數據面臨的最大風險是來自於藏匿在企業防火牆後面或雲計算系統內部的非技術類入侵的危險，系統安全防範在技術上越來越嚴密，這樣使得攻擊者利用技術上的漏洞變得越來越困難。於是，越來越多的人改變了方向，利用人為因素的手段----社會工程學來進行攻擊。 社會工程犯罪是其中的一個極其嚴重的問題。

社會工程學（Social Engineering）,是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等各種心理陷阱進行諸如欺騙、傷害等危害行為，取得自身利益的不正當手法，近年來已成迅速上升的趨勢甚至濫用的趨勢. 社會工程學陷阱就是通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統的秘密，例如：用戶名單、用戶密碼及網路結構等等。

無論哪個企業在部署應用雲計算系統時，IT部門都應該清醒地認識到雲計算提供商是很容易被社會工程犯罪攻擊這點的。高德納集團信息安全與風險研究主任Rich Mogull認為：「社會工程學是未來10年最大的安全風險，許多破壞力最大的行為是由於社會工程學而不是黑客或破壞行為造成的。」根據一些信息安全專家預言，社會工程學將會是未來信息系統入侵與反入侵的非常重要對抗領域。

大量安全行為出現在騙取內部人員（信息系統管理、使用、維護人員等）的信任，從而輕易繞過所有技術上的保護。信任代表著一切安全的基礎，對於保護與審核的信任，通常被人們認為是整個安全鏈條中最薄弱的一環。

其次，提升管理人員的職業素養是防護社會工程犯罪最有效的方式之一，並運用相關法律手段來進一步進行維護、管理用戶信息。這種說法不禁令人感慨，人們在技術上發揮到了極致，然而卻在人本身的信任面前不堪一擊，但事實如此，不過這反過來也足夠說明，雲在技術層面上的安全度在大多數人的預想之上。

雲計算服務提供商不再關注具體的應用表現形式，而集中精力於相關底層技術，如監控技術的實現，為其客戶提供各種底層介面；而客戶不用再關注具體的底層實現，轉而更多是關注具體應用的邏輯設計，通過雲計算服務提供商提供的各種底層介面從而獲取自身想要的數據。這種分層方法不但將有助於系統工作人員縮短判斷系統問題的時間，同時可以集中更多精力花費在解決與應用相關的問題上。

大數據時代，日誌文件將顯得尤為重要

PHILOSOPHY

從眾多的監控和管理方式來看，日誌始終扮演著相當重要的角色。日誌文件的含義是用於記錄系統操作事件的記錄文件或文件集合，就比如操作系統有操作系統日誌文件，資料庫系統有資料庫系統日誌，應用系統也有其相應的日誌。日誌的功能和優點集中表現在可以處理歷史數據，互聯網行為，用戶登錄以及.可以追蹤搜索等多種用途。

當然，在雲計算與大數據時代，日誌文件將顯得尤為重要，因為它記錄了客戶的每一步操作。在許多案例中，如果提供雲計算服務的系統未能提供相應的服務等級管理措施，那麼日誌文件的重要性就尤為凸顯。甚至當一個內部系統出現宕機或者響應時間變慢時，客戶往往只需通過查看日誌文件就能輕鬆地知道業務的運行情況。

安全性和監管在技術層面的情況並不如人為層面，但服務等級則更多與人為這一層面發生聯繫。內部系統的性能與內部組織成員的業務素質及專業技能有直接關係。

一般來說，大企業提供專業素質很高的技術人員的同時，也能提供技術先進的數據中心，但絕大部分的企業卻依然將面臨建立數據中心資金缺乏、自動化技術不完善、缺乏專業的操作人員等棘手問題。

儘管這些技術人員也盡了自己最大的努力，但他們仍不能保證服務質量和系統運行的可靠性，但只要這些企業應用一旦接入雲計算中心，服務的質量和可靠性就將得到保障。企業在應用在遷入計算中心之前，應該仔細估測一下被雲計算服務提供商綁定的風險。

「

張禮立簡介

管理學博士，信息化工作老兵。

2016信息產業年度經濟人物，IT治理與管理年度人物。