云應用的普遍使用給負責管理企業(yè)云平臺的IT和安全人員帶來了很多阻礙和挑戰(zhàn)。據Ponemon Institute所做的調查顯示超過半數受訪者所在企業(yè)正在向云端轉移機密或敏感數據，然而57%的運維人員承認自己對于敏感信息的存儲并沒有一個全面的認識。

　　云計算正在全球范圍內向各行各業(yè)擴展，顯而易見基于云的SaaS應用會越來越多地取代現有的關鍵業(yè)務系統(tǒng)和服務。很多企業(yè)都看到了應用云計算的好處，但挑戰(zhàn)與顧慮是難免的。本文中列舉了幫助企業(yè)應對有關云計算的隱私、法規(guī)及安全問題的18個小貼士，希望可以使企業(yè)更順利地使用云計算。

　　問題

　　用戶的風險意識：商業(yè)用戶只看到云應用提高生產力的一面，而IT部門又不十分了解企業(yè)數據在應用中的使用方式。有些商業(yè)用戶還會撇開IT與安全政策自己去訂閱云服務。

　　云服務條款：企業(yè)所遵守的數據相關政策標準與云服務提供商所遵守的并不相同,但用戶在訂閱云應用時看到使用條款就直接點同意了。

　　虛擬化：虛擬化技術是SaaS和云平臺的核心，但它自身也有一定的安全風險。作為云計算用戶，應主動了解云服務提供商所使用的虛擬化技術并在必要時采取適當的措施以降低風險。

　　身份驗證與訪問控制：Perspecsys公司的研究顯示31%的受訪企業(yè)不允許員工通過移動設備訪問云應用中的企業(yè)數據,但堵不如疏，積極主動地采取安全措施才能保證無論存儲于何處都保證數據處于保護中。

　　數據控制權：云計算技術應用中碰到的數據隱私問題正在阻礙云計算的應用,使用公有SaaS云服務就相當于將數據交給云服務提供商，因此企業(yè)正面臨敏感信息的控制權問題。

　　數據存儲位置：某些客戶信息需要存儲于特定的地理位置，這是企業(yè)經常碰到的一個問題。如此一來企業(yè)就很難使用在世界其他地區(qū)運營的云服務，監(jiān)管和數據隱私顧慮使得數據存儲位置成了企業(yè)應用云計算過程中的一個重大挑戰(zhàn)。

　　數據隱私：商業(yè)敏感數據通常需要更嚴格的保護。無論儲存在企業(yè)內部或是云端，數據發(fā)生泄露倒霉的都是企業(yè)自身。所以無論數據儲存在哪里都有必要采取嚴格的安全措施。

　　法律法規(guī)：企業(yè)對于敏感信息的使用和保護必須要遵守相關的法律法規(guī)。

　　數據保護條款：越來越多的企業(yè)要求對云服務提供商所維護的數據進行一定的處理，例如采取更嚴格的安全措施。

　　應對

　　開放：企業(yè)IT部門需要尋找在遵守行業(yè)標準等方面持開放態(tài)度的云技術，同時也需要相互之間能夠進行對接集成的安全解決方案以使云端環(huán)境在使用中可以得到完全的信任。

　　追蹤企業(yè)數據：今天的數字經濟時代，信息可以自由地流動，這使得追蹤敏感信息變得越來越難。所以企業(yè)應當了解企業(yè)內部及云端所使用的數據安全工具，特別是云數據加密和記號化工具。

　　測試：Caliber Security Partners的John Overbaugh表示：對網絡和架構進行測試是重要的安全策略。雖然部署到云上與傳統(tǒng)的部署方式相比有一些變化，但還是有辦法做測試的，重點是提前規(guī)劃、修改測試的策略以及管理領導層的期望，但最重要的還是在進行測試之前和測試中做好與云服務提供商和安全機構的溝通工作。

　　備份：無論數據是否儲存在云端，備份都是一個好主意。

　　使用多個云服務：使用多個不同云服務的策略可以降低數據丟失或系統(tǒng)宕機的風險，企業(yè)可以開發(fā)在不同云環(huán)境中實施統(tǒng)一的數據保護政策的安全平臺，如果可以簡化密匙和政策管理就更好了。

　　安全教育：除了流程和技術，人的因素對信息安全也有著關鍵的影響，提前對企業(yè)雇員進行安全教育才能避免他們犯下大錯。

　　建立全面的數據管理政策：為了符合企業(yè)內部和法律上的數據隱私要求，必須建立起行之有效的數據管理政策，數據應根據敏感性進行分類并根據其分類施以相應的安全手段。

　　實施數據安全服務：企業(yè)可以考慮在公司內部以軟件即服務的形式實現加密和記號化這樣的功能，如此便可以減少在云端儲存和處理數據的安全風險。

　　正確的加密方式：密匙和數據應分開儲存。IT部門應負責密匙的保管并確保加密算法的強度，同時還應確保數據加載到內存之后仍然得到有效保護。

　　通常數據在處理過程中不會云端的加密算法所保護，所以企業(yè)最好自己掌控敏感數據的加密過程。