很遗憾,因您的 浏览器版本过低导致无法获得最佳浏览体验,推荐下 载安装谷歌浏览器!

云唯IT培训,关于云 计算风险来源及如何管理?

2018-06-19  来自: 云计算培训 浏览次数:357

的高速 发展为试图重新聚焦关键业务目标的企业带来了许多利好,例如提 高产品上市的速度、增加企 业竞争的优势以及降低资本和/或运行的开支等等。

通常来说,对诸如软件即服务(SaaS)或基础设施即服务(IaaS)的云计算技术进行投资就能够 降低对企业内部传统信息技术部门的服务需求。而由企 业业务部门管理(例如培训、人力资源、工资和医疗管理等)的服务 也会随着云计算的应用而逐步减少。

22

虽然投 资资本与运营运行的成本有所降低,但是由 于黑暗网络中信息经纪人的兴起云计算的风险也有所增加。这些恶 意的组织会交易和销售包括个人身份、金融信 息乃至知识产权在内的所有信息。

从传统意义上来说,只有保 存在公司内部的信息才是安全的,因此实 施云计算必然会加剧信息泄露的风险。此外,那些专 门从事信息中介业务的人士也让云计算供应商成为了他们的目标,因为他 们非常了解他们所控制宝库的相关信息。为了管 理好云计算风险,首先了 解风险到底是什么将是非常重要的。

云计算 风险的来龙去脉

所谓风险,也就是 指我们不希望发生的事件发生的概率。在信息安全领域,风险就 是一个恶意或非恶意暴露机密信息事件、或威胁 数据一致性以及干扰系统和信息可用性事件发生的概率。任何接 入互联网的组织都处于风险之中,他们都 应考虑黑暗网络的弹性特性和扩展私有云计算和公共云计算网络的能力。数据交 换有合法的和非法的,而一家 企业的互联网接入就为合法的数据交换(例如电子邮件、VPN以及FTP等)以及诸如恶意软件、信息收集和窃,听等敌 对性的数据交换提供了的信息传输回路。

敌对数 据交换并不是一家组织或者甚至个人所希望进行的数据交换。通常情况下,其结果 就是等待恢复的停机时间、收入损失、数据丢失、影响人 力资本以及相关名誉受损。如果某 个组织是一个受管制行业中的一员,那么这 个组织就有可能由于发生敌对事件的原因而受到处罚。即便企 业没有受到相关处罚,但是他 们也无法承受因发生安全事件丑闻而造成客户流失和商业合作伙伴失去信心这样的严重后果。

一直以来,云计算所倡导的就是:我们可以做得更好,更便宜。你来关 注你的核心业务问题,而我们 来更具成本效益地管理你的技术并保护你的数据。虽然这有可能是真的,但是云 计算供应商也与其他企业面临着相同的挑战。鉴于其 特殊的业务模式,云计算 供应商可能比一家典型企业面临着更多的挑战。例如,云计算 供应商可能会迎合一个利基行业,如信用卡业。如果大 家都知道这家云计算供应商掌握了所有客户持有的信,用卡信息,那么它 也就会成为黑暗信息经纪人的目标。信息经 纪人会兜售客户身份或信用卡或者制造伪,造的信用卡,而一个成功的黑客可能会从中受益。

云计算 供应商的风险还存在于使用云计算服务的客户中。无论客户的物理、逻辑和 虚拟隔离和细分的量有多少,云计算 基础设施都共享了共同的能源、硬件、应用程 序以及网络资源。当云计 算服务供应商提供SaaS服务时,它会信 任企业用户并让用户自己确保其用户ID和密码的安全性。与之类似,用于访问SaaS的计算 资源也必须是安全的。如果企 业用户遭到入侵,诸如用户ID和密码等信息被泄露,那么一 个经验丰富的信息收集者就有可能会凭此访问SaaS应用程 序并确定访问其他客户数据的方法。顷刻之间,其它企 业用户的云计算环境的保密性、完整性 以及可用性都岌岌可危了。

最后的 风险就存在于云计算供应商及其技术专业的水平了。供应商 们必须接受风险转移,并理解 和遵守相关规定。他们也 面临着与其他所有企业相同的挑战,其中尤 其是吸引和留住人才。当人力 资本不再是云计算供应商成功吸引和留住人才的主要因素时,整个云 计算环境就有可能由于一个蚁穴而崩溃。缺乏可扩展性、无法提 供丰富的功能集或者无法提供足够的安全性和私密性保障都会影响云计算供应商吸引和留住客户的能力。

风险转 移是云计算的一个组成部分,因为供 应商必须以合同协议的形式承诺提供一定的服务水平。该服务 的一部分涉及到确保信息资产的安全性。如果由 于云计算供应商未能对行业最佳实践和法规开展尽职的调查而发生相关恶性事件,那么它 就应负责通知受事件影响的相关人员并展开诉讼行动。一家云 计算供应商必须做好准备通过审核和认证,以确认 其云计算基础设施将仍然保持可用性和安全性。它还必 须为响应安全事件而做好准备。即便他 们的初衷是良好的,但是诸 如零日漏洞攻击这样的事件还是会发生,并渗透 到最佳安全架构中。

同样,了解必 要的法规也是非常重要的。出于隐 私性方面的考虑,金融诚 信和国家安全组织通常至少必须遵守一项规定。大多数 的组织都会有多个规定需要遵守。以下,让我们 来看看一个管理信用卡数据的全国性组织的例子。这家组 织必须遵守联邦政府的要求以及那些可能比联邦法律更为严格的特定地区法规。而全球 性组织则还需增加一层复杂性,即他们 必须遵守美国的法规以及他们开展业务的所在国家的国际性法规。云计算 供应商们必须在理解法规以及如何遵守法规方面有大的投入,因为他 们的违规也意味着企业用户的违规,而他们 有为他们的客户和法规提供合规性保障的最终责任。

风险管理的三项内容

业务专 家理解和接受与云计算客户和云计算供应商相关的风险。无论你 担任了什么样的角色,要管理 什么样不想要发生的潜在事件,都必须实施风险管理。在云计 算关系的特定情况下,双方的 风险管理工作都是必要的,其中企 业用户和云计算供应商都必须拥有成熟的风险管理计划。成熟度 是通过一个有管理、有周期 性报告以及维持低风险状态定量证据的计划来证明的。

而风险 管理则是通过三个内容来实现的:风险识别、风险评 估以及风险控制。

风险识别——企业用 户必须明确通过云计算投资引入的各种风险。这就能 够让企业确保在云计算服务采购过程中务必执行必要的业务控制措施。此外,还应创建和/或更新 合适的过程以支持由于云计算相关停用而造成的中断事件。

云计算 供应商必须识别风险以确定它最,好能够 提供哪些云计算服务。一些供 应商可能会确定他们更喜欢服务某个特定的行业,因此而 成为一个利基供应商,从而减少监管环境。为各种 行业的用户提供云计算服务所带来的风险可能会过高。

风险评估——一家企 业用户必须了解它的哪些资产价值过高而不能冒把它们外包给第三方服务供应商的风险。相反,当第三 方供应商的专业人士能够管理和保护好数据时,此举可 有助于企业用户认识到第三方供应商能够提供更好的服务并保护目标的丰富资产。

风险控制——一旦风险已通过识别、评估并进行了量化,我们就可以选择合适的 控制措施以便于进行风险控制。在云计算模式中,这是一 个需要云计算客户和供应商共同分担的责任,因此他 们双方应具有互补的风险管理程序。为云计 算供应商的应用程序控制设定期望是云计算用户的责任。而作为云计算供应商,他们应 当根据用户的期望来确保控制措施的实施与维护,并为服 务等级协议和合规性需求控制提供认证。

对于一些人来说,云计算是有风险的,因为他 们认为企业用户需要把企业的资产托付给第三方进行照顾、维护以及保护。但是,鉴于云 计算技术在诸如医疗保健、电子商 务以及政府管理等领域已得到的高度认可,大家都 希望它能够继续保持作为一个降低成本和简化业务运行的外包技术的特色。使用云 计算的第一步就是要了解其风险以及应如何进行风险管理。

关键词: 云计算培训   云计算实训   IT培训   IT实训  
在线客服 ×

职业规划师李老师

18010167689

3月就业学员喜报

平均薪资9417元

只需一个决心

4个月0基础转行

截止开班

仅剩5个名额

友情链接:    汇旺彩票  分分PK10   豫彩通彩票app   辽宁11选5走势图  一袋金彩票-安全购彩