云计算风险问题或愈加显著

企业或出于降低成本，或出于创新的驱动，正不断迈入云计算。特别是在国内，政府对云计算发展重视有加，政策、资金不断下发促进了云计算产业的发展。近期，有消息指出工信部正在加紧编制云计算产业发展指导意见，并有望于2013年两会后正式出台。因此2013年对于云计算而言，将是大力发展、加速普及的一年。

对此，赛门铁克大中国区技术支持部总监李刚认为，随着云计算发展步入纵深，安全风险问题将逐步揭露并在2013年日益显著，但随着业界重视程度不断增加，云服务和产业环境将会向更安全方向演进。无独有偶，分析机构Gartner报告预计，云计算的增长将会成为2013年各种安全趋势的推动力量，也从侧面印证了2013年将是云计算安全发展的重要一年。

影子IT扩大安全风险

目前，云计算所遭受的质疑声中，最受关注与最大的挑战便是安全。众多研究报告指出安全是阻碍企业迈向云计算的首要因素。同时对于众多中国企业，出于长期自建自用IT资源的思维所致，当前对云计算服务模式接受度并不高，对数据安全性、泄露风险等顾虑重重。这在李刚看来，其实可以转化为企业如何衡量企业IT部门与业务部门的价值比重问题。

“企业决策者需要考虑IT系统本身的价值和首要价值是什么，其次，明确企业自身提供的核心价值输出是什么。”李刚表示，当IT部门是企业竞争力的重要体现时，可以通过云的方式将非核心价值部分交付给云服务供应商，从而可以集中更多资源集中在竞争价值上。

企业通过云计算服务模式使其不用担心自建IT设施所花费成本，并提升信息化水平，对于厂商、供应商而言，也能创造更多的市场机会，是一个双赢的选择。但鉴于云计算仍处于发展初期阶段，还需要一段时间进行企业思维模式转换及市场培育。

同时对于即将或已将进入云的企业而言，企业需要意识到云进入到企业内部后为企业带来的安全管控变化。目前随着企业可以选择的云服务逐渐增多，并且比传统IT系统使用起来更为方便，并有利于公司业务的快速响应，一些企业部门、个人便放弃了需要长时间开发的传统IT服务，转投立即使用的外部云端服务。源于此，也出现了许多不受IT部门管控的影子IT服务（Shadow IT）。这在李刚看来，这些影子IT并没有融入企业IT治理的合规流程，在将企业数据托管在云端服务器的过程中，合规评估、风险评估将变得十分困难。

李刚举例表示，目前许多企业人员都喜欢采用Dropbox云端存储服务方便地随时存取档案，但其中很可能将公司一些项目敏感数据、设计、知识产权等信息脱离公司管控。这对于企业而言将是一个很大的风险泄露渠道。据国外一家存储管理软件公司Nasuni最近针对企业使用Dropbox的调查报告显示，受访1300多位商业人士中，每5人就有1人在工作中使用Dropbox存储商业文件，而且大部分人员均绕过IT部门私下使用，其中，高层主管还是最大的使用族群。

在上述情况下，企业既不能不允许采用影子IT服务，因为很可能竞争对手也正在采用此类云服务以提高生产效率，但采用后，又存在许多潜在隐患。“这便需要一种折中的方案，使得企业内部有能力将自身的IT管理、遵从方法扩张到云上去。”李刚表示，目前赛门铁克针对这样的需求已有相应解决方案，其实质是一种云安全网关。企业内部员工在使用云服务，通过企业网络连向外部时，其就能够识别出使用的云服务，然后对云服务进行管控，并查看部门和员工使用云服务的过程中，是否符合公司的安全的策略，是否有信息未经审批透露出去等。 (责任编辑：韩杰)