Thursday, May 24, 2012

雲端保安

雲端運算搞得越來越熱烈,網上資訊科技評論要向它極度傾斜,文章不絕。最新一篇文章又談雲端保安,不是警告,而是調查結果,情況令人驚訝。

近來雲端服務湧現,我們看到的宣傳口號都是標榜其安全性。林林總總的保安設計可保證你的資料不會遺失又有私隱。這些高科技公司保安相當有水準,一些個人的保安要求可算是無話可說。但對一些公司來說,敏感資訊是其生命線,而它們要面對的惡意襲擊亦比家庭用家更嚴重。對一間公司來說,移民雲端只是將數據和程式轉移,資訊科技基建改換了形式,但公司原有的保安水平應該不能降低。調查的結果卻顯示很多公司去了雲端後,保安意識低落,只信賴雲端供應商的既有設備就算了。調查的數字說:31.2%的公司只由雲端供應商提供保安;21.3%的公司自己保護其雲端伺服器,但多是手動而非常設;20%的公司沒有為雲端伺服器做保安。

公司原本有內部儲存設備,對數據有嚴密掌控。當數據去了雲端,由他人管理,雖然程序簡化了,但數據不知身在何方。雲端供應商有防範,連客戶自己都要跟隨既定程序才能讀取資訊。因此,公司應該更有保安意識,在雲端以外加強保安,例如將雲端數據再加密或加上額外驗證程序。現時已有保安公司提供額外雲端保安服務,使用另一團雲去控制雲端。其保安程式不用購買,而是以服務方式SaaS (Software as a service)來收月費。

但為何很多公司去了雲端保安反而鬆懈了?調查得到的印象是雲端服務使公司內的資訊科技部門影響力下降。移民雲端的誘因多是因為可降低成本和簡化內部資訊科技工序,而決定則是基於對雲端科技的安全保證。額外保安工作的資源要由CFO或COO決定,在此,CIO的地位已下降。這是一個危險的趨勢,需要有災難發生才能使形勢逆轉。

這幾年來,政府亦向雲端發展。OCGIO成立了數據中心,邀請各部門將一些中小型系統轉往使用。這是一個私家雲端,因為名義上不使用互聯網體系而有獨立連線。但數據中心要遙距連接,其實亦要使用公共電訊網絡,只是中繼鏈接時受保護和被優先處理;而其技術基礎仍是TCP/IP機制。因此,雲端的保安問題仍然存在。聽聞這個私家雲端的用家從未使用額外保安措施,一些對外的系統如EGRIN很容易就被入侵。現只能希望OCGIO的道行高超;但政府系統是高危一族,因為全世界的黑客都以它們為首要目標。

No comments:

Post a Comment