社交网络的信息安全(2)

无论社交网络服务业者或公共云业者都无法摆脱企业信息安全的责任。云环境一旦被攻击,如何有效处理安全事件,维护企业价值,成为一个越来越重要的议题。不论是存储于移动消费性电子产品、社交网络还是云的数据,最终都属于企业,所以企业必须负起对这些数据的安全责任。因此,企业的信息安全体系包含以下三个方面:

( 1 )以风险管理的措施预防安全事件。

( 2) 安全 事件的侦测。

( 3 ) 有效的安全事件响应。

云计算风险

安全及数据保护上的顾虑已成为云计算服务普及化的绊脚石,尤其是关于资料保密性、完整性及法规遵循合规性,还有营业保密数据保护等顾虑。对于数据存取缺乏控制或不易取用的数据顾虑,也是造成企业及政府不敢贸然采用云方案的主要原因。 云安全联盟( Cloud Security Alliance ,CSA)定义出七个云计算的主要风险:

1. 数据损害:考虑到云上特殊的安全威胁,数据损害(如未经授权的删除、篡改或遗失安全密钥)是其中一种危险状况。资料遗失会对企业带来相当大的伤害,特别 是丧 失数 据财产、伤害品牌形象,以及失去企业伙伴与客户的信任,这些都会因此造成企业的财务危机并失去竞争能力。非法或未经察觉的数据篡改也可能违反法律。

2. 共享技术的议题: 多个系统于共享的硬件环境中作虚拟化,会隐藏一些严重的风险。因为先前的磁盘分区、中央处理器缓冲、图形处理器 ( GPU) 及其他组件,并非在多个区隔的虚拟系 统的分享环境中所设计。因此,黑客会针对上述的安全漏洞乘虚而入,连带损害其他云客户的系统。

3. 不安全的程序接口:云计算服务商提供给客户一套应用程序设计的接口,以便其可以在云环境中管理各种系统或与云服务互动。云服务的安全性及可用性主要取决于这些接口的安全性。如果这些接口不安全,客户会面临各种数据的保护、完整性及可用性上的风险。

4. 窃取账号及服务:云计算最主要的 风险在于凭证被盗,以至于账号与服务被窃取,伴随而来的相关作业处理程序、数据与交易记录的篡改,进而造成服务的保密性、完整性及可用性上的损害。

5. 危险的局内人:就算是安全措施做到滴水不漏,也无法应付云服务商的内部员工滥用其权限或授权,牺牲客户权益来获取财物或其他利益。因为云服务是罔步提供多个客户服务,权限或授权滥用所造成的损失会比一般的信息服务更为严重。

读书导航