信息化觀察網(wǎng)

無論我們喜歡與否，很多企業(yè)都已開始將業(yè)務(wù)轉(zhuǎn)移至云計(jì)算中，或者正在認(rèn)真評(píng)估或計(jì)劃這么做。毋庸置疑，云計(jì)算雖給企業(yè)帶來很多好處，但云計(jì)算自誕生之季就一直存在著安全問題，如果這些問題得不到解決，那么云計(jì)算技術(shù)在未來各個(gè)領(lǐng)域的運(yùn)用效能將受到很大制約。

在云計(jì)算之前，企業(yè)在內(nèi)部服務(wù)器甚至文件柜上來存儲(chǔ)他們的信息?，F(xiàn)在，很多云服務(wù)提供商（CSP）依靠第三方平臺(tái)來容納和保護(hù)他們的信息。由于需要存儲(chǔ)大量的數(shù)據(jù)，公司在這些平臺(tái)提供的服務(wù)器上租用時(shí)間更便宜。

然而，如果這個(gè)平臺(tái)的架構(gòu)沒有正確設(shè)計(jì)，一個(gè)客戶端應(yīng)用程序中的漏洞不僅能讓黑客訪問他們的信息，而且還讓黑客通過這個(gè)漏洞訪問其他客戶端的信息。

在數(shù)字?jǐn)?shù)據(jù)蓬勃發(fā)展的時(shí)代，供應(yīng)鏈和采購網(wǎng)絡(luò)的復(fù)雜性意味著任何時(shí)候都要管理過程和系統(tǒng)。對(duì)于處理重要客戶信息（無論是合同、財(cái)務(wù)記錄或應(yīng)用程序）的CSP，他們需要確信這些信息是安全的，不受黑客窺探。

如果認(rèn)證信息、密碼或個(gè)人數(shù)據(jù)落入錯(cuò)誤的人手中，攻擊者可以竊聽您的活動(dòng)和事務(wù)，操縱你的數(shù)據(jù)，竊取庫存或?qū)⒖蛻舳酥囟ㄏ虻椒欠ňW(wǎng)站。黑客甚至可以劫持賬戶或網(wǎng)站，并擁有所有者的資金。

這些事件再次向供應(yīng)鏈專業(yè)人員敲響了確保數(shù)據(jù)安全的警鐘。以下幾個(gè)變量將會(huì)發(fā)揮作用：如果數(shù)據(jù)以電子方式存儲(chǔ)在內(nèi)部服務(wù)器上，網(wǎng)絡(luò)基礎(chǔ)設(shè)施是否提供了分層級(jí)的安全性？IT人員是否正確加密信息，培訓(xùn)員工的反網(wǎng)絡(luò)釣魚技術(shù)，或進(jìn)行頻繁的安全和漏洞審查。

此外，為了保護(hù)企業(yè)的供應(yīng)鏈，必須在內(nèi)部存在正確的策略和程序，以確保正確的員工才能訪問敏感數(shù)據(jù)，并且對(duì)所采取的每個(gè)行動(dòng)都提供完整的審核跟蹤。所有這些方式以及更多其他的方式，都應(yīng)該是企業(yè)內(nèi)部IT操作的責(zé)任。

在一個(gè)電腦黑客越來越普遍的時(shí)代，供應(yīng)鏈管理和采購專業(yè)人員必須問自己，如果合同或公司的收入來源突然無法訪問了怎么辦？

在一個(gè)2016年行業(yè)調(diào)查中發(fā)現(xiàn)，60%的受訪者在共享的驅(qū)動(dòng)上存儲(chǔ)合同。超過30%的人表示他們?nèi)匀辉谖募裰写鎯?chǔ)合同，這些方式都會(huì)使企業(yè)面臨巨大的風(fēng)險(xiǎn)。

除了明顯的安全問題之外，數(shù)據(jù)泄露不僅危及這些數(shù)據(jù)來源的保密性和可訪問性，而且可能損害CSP和用戶的聲譽(yù)。

當(dāng)你的數(shù)據(jù)存儲(chǔ)在云端，你必須對(duì)這些信息進(jìn)行一些控制。企業(yè)在選擇平臺(tái)或應(yīng)用程序時(shí)，必須考慮到這些負(fù)擔(dān)。

假設(shè)您在第三方基礎(chǔ)設(shè)施（如Amazon）上構(gòu)建應(yīng)用程序，您提供了可靠的安全層，但您仍然可能會(huì)遇到應(yīng)用程序本身的問題。有BUG的代碼極容易被黑客攻擊或創(chuàng)建“后門”，他能夠訪問您組織的信息，是的第三方安全層無效。

選擇購買實(shí)際應(yīng)用程序，其中將存儲(chǔ)重要的數(shù)據(jù)，這意味著您將轉(zhuǎn)向?qū)?yīng)用程序提供商的安全性更多的控制。但是，通過適當(dāng)?shù)奶峁┥?，您的?shù)據(jù)在長期來看將會(huì)更加安全。

最可靠的CSP通常使用以下實(shí)踐來確保其應(yīng)用程序的安全：

內(nèi)部開發(fā)人員構(gòu)建和測(cè)試代碼開發(fā)人員背景檢查，自我檢查過程使用復(fù)雜和簡單代碼的測(cè)試工具，包括動(dòng)態(tài)分析和狀態(tài)分析測(cè)試工具，作為每個(gè)發(fā)布周期的一部分這些只是CSP和他們的用戶應(yīng)該考慮的一小部分，因?yàn)樗麄儧Q定了誰信任敏感數(shù)據(jù)。許多第三方平臺(tái)提供強(qiáng)大的安全層，但如果代碼不好，沒有正式的程序顯示他們?cè)趹?yīng)用程序安全性方面很強(qiáng)，用戶應(yīng)該重新評(píng)估他們的云。

辨別并投向一個(gè)安全的云提供商

隨著企業(yè)在云端尋找能夠容納敏感信息的平臺(tái)，他們必須尋求一個(gè)承諾了安全服務(wù)的提供商。保護(hù)有價(jià)值的信息應(yīng)該是任何平臺(tái)的企業(yè)核心價(jià)值觀，也是任何技術(shù)線路圖的核心要素。

什么是保證文件最具成本效益的方法？企業(yè)不應(yīng)僅僅依靠IT團(tuán)隊(duì)保護(hù)內(nèi)容，而應(yīng)該考慮在云中存儲(chǔ)文檔和信息。

好處如下：

強(qiáng)大的安全和合規(guī)性策略，云計(jì)算公司有專門的安全部門，每年花費(fèi)數(shù)千萬美元使得技術(shù)領(lǐng)先于黑客所有文檔的中央存儲(chǔ)庫，索引，分類，且容易找到簡化合同和其他重要內(nèi)容的可訪問性頻繁的軟件升級(jí)，它提供一個(gè)良好的機(jī)制，以確保安全和風(fēng)險(xiǎn)緩解。頻繁的軟件版本通過以用戶為中心的功能，為您的公司帶來更高的生產(chǎn)力。

合同和其他記錄成為安全漏洞，不僅損害了企業(yè)的價(jià)值，而且還損害了用戶關(guān)系和企業(yè)的發(fā)展能力。與正確的供應(yīng)商合作，不僅讓企業(yè)放心，更能讓其專注于核心競爭力的擴(kuò)展。

（原標(biāo)題：云計(jì)算時(shí)代的安全風(fēng)險(xiǎn)，我們應(yīng)該如何面對(duì)）