| 當前位置：拓步ERP資訊網 >>管理咨詢 >>CIO技術專欄 >>CIO云計算

公有云更安全？全看企業怎么用

發布日期：2016-7-13 12:16:09 來源：www.guhuozai8.cn 編輯：拓步ERP資訊網瀏覽：評論

摘要：在選擇公有云產品時，很多供應商表示，基于公有云產品會對企業的用戶會更安全。 原標題：公有云更安全？全看企業怎么用 原作者：2016/7/13 來源：ITValue 作者：佚名
關鍵字：公有云公有云產品

今天我的分享主要從三個方面來討論：第一、公有云是不是會更安全，第二、我使用公有云的一些體會以及對一些問題的建議，第三、公有云使用中涉及到的法律和審計方面的問題。

公有云是不是更安全？

在選擇公有云產品時，很多供應商表示，基于公有云產品會對企業的用戶會更安全。

在回答“公有云是不是更安全”之前，先要明確一個前提，什么是安全？通常，業內對于安全，是從三個維度來考核的，即俗稱的CIA。

“C”是指的機密性，信息只有被授權的人才能訪問。

“I”是指的完整性，數據從產生那一刻開始就是不被篡改的，所有的修改都要經過合法的授權。

“A”是可用性，當需要訪問我的數據的時候，都是可以訪問的。

公有云服務會涉及到很多方面的關系，比傳統的IT的管理要復雜得多。

IT自行維護自己的系統，每個工廠會有一個機房，這時候所有的責任全部是由企業承擔。企業后來會把一部分數據放在托管的數據中心，這時候就存在著企業和數據中心這樣的雙方關系。

公有云平臺的關系會更復雜，企業使用的IaaS平臺又會去租用一些托管的數據中心；如果有些企業使用SaaS平臺，SaaS平臺又會使用IaaS公有云，存在多方的服務關系。

涉及多方關系，安全就面臨多一些的挑戰。通常，云平臺有一定的優勢：提供24小時的物理安全，提供一些防病毒，防惡意軟件的保護，還會有一些DDoS的防御，數據集群，等等；同時，擁有更加專業的人員。集中在這樣幾個方面：

第一、大量的可以使用的資源，在短時間就可以被準備好。

第二、通常有以T級的量級來準備的帶寬池，充分考慮了冗余和CDN。

第三，很多云平臺使用的都是T4級的機房，提供雙路的電源冗余，2N+1的冗余，保障99.98%以上的可用性。除非是一些特大型企業或者是金融機構，一般很難有這樣的投資。

這有一個真實的案例。美國有一家專門為醫療供應商提供服務的公司，租用了一家SaaS公司的網頁服務。很不幸，他們遭到DDOS攻擊。整個攻擊方使用了遍布全球的約十萬臺機器，發動了8600萬個攻擊，在攻擊的時候流量達到每秒20G。一般的企業如果面對這樣的攻擊，幾個小時之內就會癱瘓掉，但是云平臺避免了這個問題。

這家公司在發現DDOS攻擊之后，他們在短時間里調用了18臺HA防火墻，部署了40臺的網頁服務器集群，使用了亞馬遜冗余的DNS平臺，抵抗攻擊達到36個小時，最后攻擊方不得不放棄了這次攻擊，而整個防御的成本只有1500美元。

從這個角度來看，云平臺會比企業自建的IT服務更安全。但是所有的使用云服務的客戶都會擔心，長時間的停機或者非計劃的停機。而國內外的很多云服務供應商的記錄，其實并不令人滿意。

2016年4月16號，微軟Azure在中國北部的機房出現了故障，由于負載均衡程序的問題，導致整個服務從11：45到15：10分停機。AWS在悉尼的服務6月4號出現問題，一直到6月6日上午才解決，停機長達36個小時。2015年6月21號，阿里云香港的機房從9：30分的服務一直暫停了12個小時。更為夸張的是，Verizon在2015年的1月10號和11號，安排了脫機40小時的系統維護。

從上述問題可以發現，云供應商的可用性，在很多時候并不能得到有效的保障，原因大致有三個。

第一，對系統進行升級時，并沒有得到嚴格的遵守整個測試和變更管理的流程。

第二，通用的云平臺不能準確掌握客戶的系統狀態。企業可以在非工作時間安排維護；云平臺的不同客戶，因為種種原因找不到這樣的時間，當出現問題的時候，并不能判斷優先級。

第三，對整個的平臺的災備并沒有經過認真演練。在日常的運維過程中，專業人員很少在第一線進行服務，一般來說，只有在問題升級到一定程度，專業人員才能介入，這就導致了專業人員是用來解決問題而不是前期來預防問題的。

另一方面涉及安全的問題是數據的安全性。

云平臺的數據的所有者，肯定是企業的用戶或者是最終使用者。但在整個的運維過程中，云平臺上運行的進程，能夠監控用戶的文件系統、進出的流量。某種意義上，云平臺可以還原用戶的所有信息，這會對用戶信息的機密性帶來很大的挑戰。監控包括哪些內容，很少看到有云服務供應商有說明。

從這兩個方面來看，公有云是不是更安全，不能夠簡單“一刀切”來進行判斷。企業必須根據自身的情況，以及信息的機密性、所使用的服務商情況，來做具體的考量。

公有云使用的體會與建議

1. 企業要區分公有云的使用場景。如果僅僅是對企業內部使用，不存在移動辦公等網絡使用場景，企業和公有云的供應商之間建立起一條VPN或其他專有的數據連接，保證整個數據鏈路的保密性。

SaaS平臺存在用戶名和密碼的問題。企業內部的員工有自己獨立的域用戶域帳戶的同時，每使用一個SAAS的軟件就會有一套獨立的用戶名和密碼。這樣導致了IT在做用戶維護時存在很大的問題，有的時候IT沒有辦法知道用戶究竟在使用哪些軟件；用戶離職后，不能及時維護。

因此，如果在有選擇的前提下，我們應該優先考慮支持ADFS單點登陸協議的軟件。不得不去使用基于Internet公網的應用時，密碼問題會更具有挑戰性。

雙因素認證是一個好選擇，有密碼的同時，還有某種不可復制的東西做保證，比方電話的串號，或者自身的某些特性（指紋等）。用戶在后臺使用賬號，在前臺通過雙因素的形式來進行登陸。

在登陸時，進行在用戶認證之后，哈希值會傳送到后臺，并且加上對應的時間戳。密碼的重置最好不使用手機，因為已經證明風險很高。

2. 另一個重要的問題是數據生命周期的管理。即從數據的創建、數據的保存、備份和銷毀的全過程的管理。

對于一個系統來說，漏洞永遠存在。因此，最好對整個公有云平臺上的數據都進行加密，至少對關鍵的、涉及到隱私的數據來進行加密，對重要的數據進行匿名化管理。

比如，在后臺存儲的客戶的名稱、地址、聯系方式、聯系人等資料全部都是一個加密的，但是CRM系統中和這個客戶相關聯的一些數據可以是明文的。這個時候即使遭到拖庫，所看到的只是對A客戶有什么樣的銷售機會，但是A究竟對應誰，信息是隱藏的。只有通過指定的客戶端訪問時，A的具體信息才會得到解密。

3. 關于災備，通常來說，災備有三種不同的方式。一是在同一個云平臺的不同區里面互為備份，二是在不同的云平臺的不同區互為備份，三是在某個云平臺和自身企業內部的數據中心互為備份。

災備要考慮以下因素：災備云平臺可能的費用、災備云平臺上的數據每天的增量情況、不同的云平臺之間數據的流入流出的流量的費用。

企業需要根據自身的情況去評估不同的災備方案，但是所有的災備方案必須每年至少一次進行演練，保證整個災備方案是可行的。

公有云涉及到的法律和審計

因為時間關系，我重點談兩個問題。

第一個是對于服務終端的相關的責任。

在國內，我所看到的一些合同的約定基本是，云平臺不承擔因為他的服務中斷而導致你的業務損失所帶來的間接損失。

但是云服務所造成的服務中斷的損失，在不同國家的法律規定上會有一些差別。因此在選擇云服務的時候，如果說中國的合同約定并不是很令人滿意，還可以去看看新加坡、澳洲或美國的規定怎么樣，挑選更為滿意的服務條款。

下面云服務的審計方面的一些要求。

企業自己運維的IT，每年審計公司都要對IT進行審計，保證整個系統是可控的。企業使用云服務，審計公司的服務是有所缺失的。雖然說一些供應商會提供ISO27001的認證，但在審計上仍然是有風險的。

對此，美國會計師協會提供了一個標準叫SSAE16，前身是SSAS70，該審計標準涵蓋了所有的托管數據中心、應用程序服務供應商ASP、軟件服務供應商SaaS。

SSAE16可以用于判定，服務供應商對于控制的描述是否公正、設計是否有效。控制從某一個時間開始生效并且從某一個時間開始有效運行，分為三個等級，SOC1、SOC2和3，SOC1更偏重于財務的控制，SOC2和3的范圍會更廣，包括安全、可用、完整、保密、隱私等等。在選擇服務供應商時，可以要求他們每年提供一份這樣的審計報告。

姚凱：歐喜投資（中國）有限公司IT總監。在長期的企業信息化過程中，先后成功上線了Oracle OnDemand、Salesforce，Office365，并實施了基于阿里云和AWS雙機熱備的系統。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網 http://www.guhuozai8.cn/

本文標題：公有云更安全？全看企業怎么用

本文網址：http://www.guhuozai8.cn/html/consultation/10839719621.html

關鍵詞標簽： 公有云更安全？全看企業怎么用,公有云公有云產品,ERP,ERP系統,ERP軟件,ERP系統軟件,ERP管理系統,ERP管理軟件,進銷存軟件,財務軟件,倉庫管理軟件,生產管理軟件,企業管理軟件,拓步,拓步ERP,拓步軟件,免費ERP,免費ERP軟件,免費ERP系統,ERP軟件免費下載,ERP系統免費下載,免費ERP軟件下載,免費進銷存軟件,免費進銷存,免費財務軟件,免費倉庫管理軟件,免費下載,

本文轉自：e-works制造業信息化門戶網

本文來源于互聯網，拓步ERP資訊網本著傳播知識、有益學習和研究的目的進行的轉載，為網友免費提供，并盡力標明作者與出處，如有著作權人或出版方提出異議，本站將立即刪除。如果您對文章轉載有任何疑問請告之我們，以便我們及時糾正。聯系方式：QQ：10877846 Tel：0755-26405298。

上一篇：沒有了！

下一篇：行業巨頭的云計算冷數據存儲產品應用與比較

相關文章

管理咨詢

拓步ERP系統軟件平臺11.5專業版v10.1.2...

拓步ERP系統平臺庫存管理系統培訓視頻教材


	ERP新聞動態拓步新聞行業新聞關注產品觀點縱橫企業管理企業應用

	ERP解決方案按ERP應用行業分類按ERP企業規模分類按ERP管理領域分類按ERP軟件功能分類按ERP系統特性分類用友ERP解決方案金蝶ERP解決方案易飛ERP解決方案速達ERP解決方案其他ERP解決方案

	ERP顧問咨詢 ERP管理咨詢 ERP戰略診斷 ERP流程分析 ERP流程優化 ERP風險分析 ERP可行性研究 ERP整體規劃 ERP選型招標 ERP實施監理 ERP評審驗收 ERP績效評價 ERP基礎知識 ERP課程培訓 ERP培訓教育 ERP視頻教材

	CIO技術專欄 CIO企業應用 CIO網絡通信 CIO信息安全 CIO基礎設施 CIO云計算

	ERP技術支持技術支持知識庫常見問題資料庫在線學習資料庫日常辦公資料庫企業管理知識庫

	ERP系統價格拓步ERP系統價格體系拓步EIS軟件價格體系合作品牌ERP價格體系技術支持服務價格體系

	合作品牌用友UFIDA 金蝶KingDee 神州數碼Digital 速達SuperData 拓步ERP系統成功案例

	代理加盟合作聯盟策略代理合作指南代理聯盟前景聯盟技術支持快速搜索ERP軟件資訊

	關于拓步公司介紹公司愿景企業文化誠聘英才聯系我們在線留言在線訂購意向下載體驗登記

日本高清色本免费现在观看-日本高清色图-日本高清色视频在线观看免费-日本高清免费一本视频在线观看-国产精品电影久久-国产精品对白刺激久久久

ERP顧問咨詢

ERP原理知識

ERP實施培訓

CIO技術專欄

CIO企業應用

CIO網絡通信

CIO信息安全

CIO基礎設施

CIO云計算

即時聯系

服務熱線

快捷互動