如何防止信息洩露？

    安全公 司Sophos的2013年威脅報告警告稱，企業在部署雲服務時，將面臨新的數據安全風險。企業應該在合同談判階段就解決這些風險，也就是在數據轉移到服 務供應商的大規模數據中心之前。該安全公司高級安全顧問Chester Wisniewski表示，在某些情況下，雲服務增加了企業的攻擊面，並且，削弱了已有的安全控制和政策。

    Wisniewski表示：“企業應該多花時間與律師溝通，以確保企業的所有需求都得到滿足，同時，確保合同中明確列出企業的所有要求，這樣，當發生事故時，雙方都知道自己的責任所在。”他表示，企業在部署雲服務時需要考慮三個問題。

    1.如何防止信息洩露？

    Dropbox等服務使員工能夠輕松地存儲和 共享包含企業數據的文檔。最初企業試圖“鎮壓”第三方服務（例如Dropbox），但現在企業開始接受這些服務，同時添加了控制（例如加密）以確保敏感數 據不會落入壞人手中。Wisniewski表示，企業應該正確部署數據保護安全技術，並使用戶的操作簡單，他表示，“你需要確保數據在上傳到雲端前是安全 的。”

    Wisniewski認為，基於雲計算的服務能夠增強企業原本“支離破碎的”數據安全辦法。企業可以通過多種方法部署安全控制，確保員工能安全地使用移動 設備訪問數據或者遠程進入雲中系統。一款蘋果iPad應用可以提供加密和解密功能以多一層保護，通過這種應用，他表示：“財務、銷售和營銷人員不必具備高 超的加密技術就可以保護數據。”

    2.在合同要求中，是否規定雲供應商需要接受適當的審查，是否明確了安全標准？

    有針對性的攻擊者已經了解到，業務合作伙伴（通常是服務於大型企業的小企業）是進入大型企業網絡的“突破口”。 Wisniewski表示，航空航天和國防行業的零部件制造商、運輸商和供應商都可能被攻擊者利用。“網絡罪犯已經意識到，大型企業的業務合作伙伴通常都 是小公司，他們的安全防線松懈，但仍然是大型企業受信任的實體，這已經成為一個真正的問題。”

    合同中應該明確企業可以檢查第三方的系統是否已經經過審查，以及是否具有適當的安全控制。雲供應商應該提供證據證明他們符合安全標准，並提供一種機制允許企業進行獨立測試。Wisniewski表示：“有些企業在信用卡洩露事故的數月內才進行PCI評估，最後的結果顯示合規性沒有得到應有的重視。”

    數據保留、故障轉移、事件響應程序、系統監控和維護都應該在合同協議中進行明確地規定，以確保當企業與雲服務供應商的關系有變化時，企業有辦法取出數據，並轉移到另一個供應商處。