信息泄露事件频发 到底是不是云服务的错

在5月初，国内首个基于大数据的网络犯罪研究报告正式发布。报告显示，中国公民已经泄漏的个人信息多达11.27亿条，数目大的惊人。那么让我们回顾一下过去的2014年，信息泄露事件也是连连不断，从去年年初的韩国三大信用卡公司信息泄露事件，到闹得沸沸扬扬的iCloud云端系统漏洞风波，再到年底亚马逊沃尔玛等网站1.3万信用卡号遭曝光事件，使得不少企业不敢将数据迁移到云端。

但仔细追踪这些事件不难发现，所有的泄露事件都是因为黑客有针对性的入侵造成的。黑客对具体的用户进行了入侵，但并未对云平台造成威胁。

由于云计算是近年来才兴起的数据中心模式，大多数主要的云供应商都把安全标准定的很高，需要通过ISO 27001、SSAE-16、PCI、HIPAA、FedRAMP等安全认证标准。

要通过此类安全标准云服务供应商必须证明其安全策略达到或超过了这些协议所述的控制和策略标准。所以可以说云端存储相对传统的数据中心更安全。

企业对于云服务安全的误区

相比在安全性能上更专业的云平台，一些企业更相信本地系统的物理可见性以及可掌控性要比云计算平台的更可靠，这是一种概念上的混淆，所以我们要清楚，云服务平台和用户在数据保护工作中各自扮演怎样的角色。

Elastica公司CEO Rehan Jalil说：“必须认识到，企业需要在保护自身数据安全的工作当中扮演至关重要的角色。而了解数据的具体访问方式——即使是在有云服务供应商介入的前提下——对于风险管理工作仍然非常关键。大部分云服务供应商会要求将相关责任与安全部门进行分担，而企业客户也不能想当然地假定一切数据泄露问题都该由服务供应商负责。”

不可否认，虽然企业都知道安全性至关重要，但在出现问题前很少有企业会将足够的资金和资源放在安全性能维护上，通常是临时抱佛脚，出现安全问题后再想对策，这样往往会损失更多的资金。

而云服务供应商则会提供足够的资金和资源来放到安全性上。因为云服务是它们的产品，如果云服务提供商出现安全漏洞，他们的核心产品的可信赖度则会遭受巨大打击。这种信任很难恢复。

企业自身在安全方面需提升

企业应明确，云服务的安全标准并不是通用的，在选择服务商的时候应审核该云服务商的安全策略是否符合自身安全需求。

作为企业也应该明确，企业与云服务商之间的安全责任，“安全性的实际水平取决于体系中最薄弱的那一环。尽管客户与服务供应商之间利用加密机制保护数据流量、从而确保数据完整性及保密性的作法已经相当普遍，但目前仍没有多少服务供应商会在企业自有环境内部对服务器之间的通信内容进行加密。有这种情况下，一旦整个体系出现突破口、攻击者往往能够抓紧机会将其作为恶意活动的契机。”SystemExperts公司高级顾问Paul Hill说。

因此，又回到我们前文所说的，企业对于自己本地系统的安全性应投入足够的资金和资源上的支持，不给黑客提供可乘之机，否则，即使使用再安全稳定的云服务也是徒劳。