信息安全的威脅一直圍繞著IT產(chǎn)業(yè)。隨著云計算越來越廣泛的應(yīng)用，企業(yè)數(shù)據(jù)也面臨一些云計算時代才有的風(fēng)險。本文中云計算安全公司Perspecsys就列舉了七個你一定會犯的云安全錯誤以及相應(yīng)的預(yù)防措施。

1. 將敏感數(shù)據(jù)的控制權(quán)交給云服務(wù)提供商

使用公有云服務(wù)就意味著將所有的數(shù)據(jù)控制權(quán)交給了云服務(wù)提供商，這些數(shù)據(jù)也包括商業(yè)敏感數(shù)據(jù)。

安全措施：對于用戶，在訂閱用于工作的云應(yīng)用時，應(yīng)當(dāng)遵守企業(yè)的信息安全政策。對于企業(yè)來說，應(yīng)充分了解企業(yè)內(nèi)部及云端所使用的數(shù)據(jù)安全工具，特別是云數(shù)據(jù)加密和記號化工具。

2. 丟失對數(shù)據(jù)的追蹤

了解數(shù)據(jù)進(jìn)行存儲和處理的物理位置有助于遵守有關(guān)數(shù)據(jù)儲存的法規(guī)。

安全措施：請確保你了解云服務(wù)提供商的主數(shù)據(jù)中心以及后備數(shù)據(jù)中心的地理位置，此外還要了解這些國家或地區(qū)有關(guān)數(shù)據(jù)隱私的現(xiàn)行法律法規(guī)。如果數(shù)據(jù)儲存的位置是企業(yè)應(yīng)用云計算時考慮的要點(diǎn)，那就需要使用技術(shù)手段來確保數(shù)據(jù)只儲存在一定的地點(diǎn)。

3. 忽視云應(yīng)用條款

訂閱云應(yīng)用時通常需要表示同意相應(yīng)的條款，但云服務(wù)提供商所制定的條款與你所在企業(yè)所遵守的數(shù)據(jù)相關(guān)政策很可能有所不同。

安全措施：如果云計算提供商維護(hù)的數(shù)據(jù)需要特定的保護(hù)，則應(yīng)堅持與云服務(wù)提供商商議合約的條款。例如在第三方云平臺中存儲敏感信息就需要有附加的安全措施以提升保護(hù)等級。

4. 使用弱密碼

弱密碼對于黑客來說根本就是形同虛設(shè)。研究人員Mark Burnett從過去十年間的數(shù)據(jù)泄露事故中收集了一千萬個密碼，他發(fā)現(xiàn)流行密碼排名的前一百位很少發(fā)生變動。

安全措施：不同服務(wù)不要設(shè)置相同的密碼，常換換密碼。

5. 認(rèn)為密碼是萬能的

密碼使人很容易對安全問題掉以輕心，2015年網(wǎng)絡(luò)攻擊變得更活躍，安全事故也持續(xù)增加。好消息是“強(qiáng)密碼不足以確保數(shù)據(jù)安全”這一認(rèn)識的接受度在提高，安全人員也在實(shí)施多重防護(hù)。

安全措施：保證網(wǎng)絡(luò)和云應(yīng)用的安全需要多重身份驗(yàn)證，數(shù)據(jù)加密和記號化這樣的技術(shù)也應(yīng)被用在保證數(shù)據(jù)傳輸過程中的安全。

6. 不備份數(shù)據(jù)

如果數(shù)據(jù)沒有備份，一旦發(fā)生事故可就只能抓瞎了，所以必須確保云服務(wù)提供商允許本地備份。請注意并不是所有的云計算提供商都允許用戶進(jìn)行本地備份，所以在使用前需要先調(diào)查清楚。

安全措施：無論是否使用云服務(wù)數(shù)據(jù)都應(yīng)該進(jìn)行備份，將數(shù)據(jù)存儲在不同的云服務(wù)提供商處可以降低大量數(shù)據(jù)丟失的風(fēng)險。

7. 沒計劃

在制定向云平臺遷移的計劃時，應(yīng)該提前考慮可能受到的影響，比如越來越嚴(yán)格的數(shù)據(jù)隱私法規(guī)。

安全措施：對云數(shù)據(jù)要有一個全局的概念，多注意數(shù)據(jù)會在哪些國家進(jìn)行存儲和處理并評估對數(shù)據(jù)的處理是否會給你帶來法律上的問題。“宜未雨而綢繆，毋臨渴而掘井”。