云时代该如何掌控企业数据安全

云计算时代信息数据安全如何保障~

　　信息安全的主要目标之一是保护用户数据和信息安全。当向云计算过渡时，传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构，以及抽象的控制需要新的数据安全策略。
　　数据与信息安全的具体防护可分为以下几个方面。
　　1.数据安全隔离
　　为实现不同用户间数据信息的隔离，可根据应用具体需求，采用物理隔离、虚拟化和Multi-tenancy等方案实现不同租户之间数据和配置信息的安全隔离，以保护每个租户数据的安全与隐私。
　　2.数据访问控制
　　在数据的访问控制方面，可通过采用基于身份认证的权限控制方式，进行实时的身份监控、权限认证和证书检查，防止用户间的非法越权访问。如可采用默认“denyall”的访问控制策略，仅在有数据访问需求时才显性打开对应的端口或开启相关访问策略。在虚拟应用环境下，可设置虚拟环境下的逻辑边界安全访问控制策略，如通过加载虚拟防火墙等方式实现虚拟机间、虚拟机组内部精细化的数据访问控制策略。
　　3.数据加密存储
　　对数据进行加密是实现数据保护的一个重要方法，即使该数据被人非法窃取，对他们来说也只是一堆乱码，而无法知道具体的信息内容。在加密算法选择方面，应选择加密性能较高的对称加密算法，如AES、3DES等国际通用算法，或我国国有商密算法SCB2等。在加密密钥管理方面，应采用集中化的用户密钥管理与分发机制，实现对用户信息存储的高效安全管理与维护。对云存储类服务，云计算系统应支持提供加密服务，对数据进行加密存储，防止数据被他人非法窥探;对于虚拟机等服务，则建议用户对重要的用户数据在上传、存储前自行进行加密。
　　4.数据加密传输
　　在云计算应用环境下，数据的网络传输不可避免，因此保障数据传输的安全性也很重要。数据传输加密可以选择在链路层、网络层、传输层等层面实现，采用网络传输加密技术保证网络传输数据信息的机密性、完整性、可用性。对于管理信息加密传输，可采用SSH、SSL等方式为云计算系统内部的维护管理提供数据加密通道，保障维护管理信息安全。对于用户数据加密传输，可采用IPSecVPN、SSL等VPN技术提高用户数据的网络传输安全性。
　　5.数据备份与恢复
　　不论数据存放在何处，用户都应该慎重考虑数据丢失风险，为应对突发的云计算平台的系统性故障或灾难事件，对数据进行备份及进行快速恢复十分重要。如在虚拟化环境下，应能支持基于磁盘的备份与恢复，实现快速的虚拟机恢复，应支持文件级完整与增量备份，保存增量更改以提高备份效率。
　　6.剩余信息保护
　　由于用户数据在云计算平台中是共享存储的，今天分配给某一用户的存储空间，明天可能分配给另外一个用户，因此需要做好剩余信息的保护措施。所以要求云计算系统在将存储资源重分配给新的用户之前，必须进行完整的数据擦除，在对存储的用户文件/对象删除后，对对应的存储区进行完整的数据擦除或标识为只写(只能被新的数据覆写)，防止被非法恶意恢复。

腾讯云原生安全防护体系，推荐给你，已搭建了包含安全治理、数据安全、应用安全、计算安全、网络安全等五个领域的完备云原生安全防护体系。

　云时代该应该这样掌控企业数据安全，在2016年的安全界盛会RSA 2016上DLP（Data Loss Prevention, 数据防泄密）成为企业用户关注度最高的产品，大会的DLP分类厂商多达88家，从本次大会上，可以看到企业数据防泄露产品的一些发展趋势。

DLP与网关功能整合

　　将DLP与网关类产品的传统安全功能进行整合，实现从内容层面的安全检测和防御，比如将DLP功能加入Web网关、将DLP功能加入URL与反垃圾邮件网关等，代表厂商有Forcepoint、ClearSwift等。

基于终端加密与权限控制的DLP+

　　从数据泄露的源头上对其进行封堵。在终端对文档进行不同的访问权限、操作权限和外发权限控制，并对发送者和接收者制定不同的权限策略。数据在外发的时候是加密的，只有被信任的接收者才能够看到文件内容或对文件执行对应的操作。代表企业Vera、Fasoo。

针对特定应用的DLP

　　只针对特定应用（如Exchange、outlook、office365、SharePoint）或特定通道（Email Cloud Service）的DLP检测。这类产品会在终端进行访问、打印、拷贝等操作的权限控制，并针对文件类型、收发件人、以及文件内容定义敏感信息检测策略，实现固定终端和移动终端的DLP检测。代表厂商有Messageawre、Mimecast等。

公有云环境下CASB成为重要方向

　　随着国外（特别是美国）企业对SaaS（Office365、DropBox、Box、Facebook等云服务）的依赖程度日益增高，已经将很多数据、业务迁移到云服务和云平台上，企业员工对公有云环境的使用也会成为一个安全问题。数据泄露已经成为云安全面临的首要威胁，通过Office365、DropBox等云服务和云存储上传或共享文件时，都有可能带来数据泄露的问题。CASB（Cloud Access Security Broker，云访问安全代理）的方法是一种解决思路，实现在“任何时间、任何地点”保护企业数据不被泄露。基于CASB的DLP实现可以分为两种形式：

形式一：应对企业内部DLP问题

　　保持原有DLP产品的软硬件形态不变，在原有网关上增加对云服务和云应用的支持，可以部署在企业网的终端和边界处。代表厂商Symantec、Intel Security（McAfee）、AvePoint等传统DLP厂商。

形式二：应对企业员工移动办公的DLP问题

   CASB作为一种云服务，部署在企业员工使用的云平台上，在云中为用户提供单点登录、访问控制、行为监控、数据防护、安全合规等服务。DLP是CASB要考虑的重要问题，也是产品落地的明确方向，CASB也在积极寻求与传统DLP厂商的合作。对于DLP而言，相对于传统边界部署上方案，CASB的区别在于其结合了用户、设备、内容和应用这几个维度，来理解数据是如何在云环境中被共享或被使用的，从而做出相应的策略配置。基于CASB的DLP产品形态也从传统的Network+Endpoint+Storage DLP变成了Cloud+Mobile DLP。代表厂商有Skyhigh、BlueCoat等。

云时代该如何掌控企业数据安全

　　数据是企业中最重要也是最需要保护的资产，因此数据安全也变得越来越重要。随着公有云和BYOD技术的不断发展，数据防泄密（Data Loss Prevention, DLP）作为数据安全领域最重要的技术产品，也面临着“实现云中数据泄露防护”的挑战。虽然目前国内企业和个人用户对云服务和应用的依赖还较小，但Cloud+Mobile的DLP将成为DLP产品的发展趋势，国内的DLP产品，也需要快速适应从on-premise到cloud-based的转变。

数据防泄密系统：这是一套从源头上保障数据安全和使用安全的软件系统。包含了文件透明加解密、内部文件流转功能、密级管控、离线管理、文件外发管理、灵活的审批流程、工作模式切换、服务器白名单等功能。从根本上严防信息外泄，保障信息安全。

06年，谷歌颠覆性的提出了“Google 101计划”，并正式提出云的概念和理论，随后亚马逊、微软、英特尔、IBM等都宣布了自己的云计划，一时之间，“云存储”、“云安全”、“公有云”、“私有云”等云概念风靡全球。服务器在进化、虚拟化应用与云计算技术不断引入，促使越来越多的企业在迈向云端。云计算提供了开放的标准、可伸缩的系统和面向服务的架构，使用户能够以灵活且经济实惠的方式享受可靠、随需应变的自助服务。大量的资源共享池、更低的成本以及更高的工作效率等，云计算为我们使用网络提供了几乎无限多的可能，各种美丽的景象让一大群人激动难耐。
　　但是，在人们纷纷畅享云服务的背后，有些疑虑一直盘踞在心里：海量的数据被转移到用户掌控范围之外的设备（云）上时，如何确保存储海量重要信息的“云”安全？对具有敏感信息的企业而言，这种所谓的便利性，恰恰也是数据泄密的风险所在，“云”的应用不能以核心数据的泄密为代价！要想真正体现云的价值，最不能轻视、最严重和最需考虑的就是云数据的安全。明朝万达云安全专家解析，目前云服务所面临的安全风险主要在以下几个方面：
　　◆法律和合规性风险，因为"云端（服务器）"所在的地域不同，使用期间可能面临的法律风险也会大不相同。虽然网络无边界，但用于进行"云计算"业务的服务器毕竟真实的处于各国法律的管辖之下，因此，对于"云计算"的不当应用，将可能面临极其严重的法律风险和侵权风险。
　　据统计，现市面上已有的云服务商的安全产品主要是从云计算平台本身出发，围绕平台的稳定性、用户数据安全性、完整性、保密性、网络攻击防护等方面展开，主要包括系统冗余、用户安全认证、权限控制、端对端的数据传输加密、系统安全防护等技术手段，而这些安全手段并未涉及存储数据级的安全。作为企业，不得不考虑将核心数据统一归档集中存储在第三方存储设备（云端）上后，云服务提供商能否确保企业云端数据的存储安全与访问安全？相信“盛大云”的事件也让很多企业心有余悸！
　　明朝万达公司信息安全专家分析目前公认的云服务技术主要采用虚拟化技术的云终端和B/S客户端架构两种形态来实现，而不同的技术手段分别会面临不同的泄密风险点：
　　采用虚拟化技术的云终端，一般是“桌面云终端+存储”或“虚拟云桌面+存储”的模式构成。在对云端非结构化数据（文档）访问与使用时，云服务商是否可以提供数据的权限级别设置，以防非权限访问？而基于浏览器（或云客户端）操作来提供云服务的客户端架构技术，数据在使用过程中普遍会以明文的形式存储在终端，这种情况无疑增多了数据的不安全性，如计算机的外设、邮件、网络应用等均会成为泄密的途径；而云服务支持多种设备对云端连接的便利性，在方便用户共享数据的同时，亦带来了身份有效性验证、通讯链路的安全性保障、数据落地存储与使用安全等问题。
　　鉴于以上分析，@北京明朝万达Chinasec“云”数据安全解决方案的思路将根据云服务的两种形态来区别对待，以数据安全为核心，围绕敏感数据的存储、传输和使用过程中可能触发的风险提供针对性的完整云安全解决方案。　　云数据安全解决方案
　　◆云端数据加密存储。云架构进一步推动了数据的集中存储和快速共享，对于黑客或其他心怀恶意的信息窃取者来说，目标更加清晰，途径更加便利，无论是采用虚拟化技术还是客户端架构，企业都绕不开云端数据安全保护的问题。将文件加密存储在云端，从而解决用户对于云存储的数据安全性的不信任，规避数据在云端泄密的风险。
　　◆文档权限管理。Chinasec数据管理平台提供以密级为核心的文档安全管理系统，可根据管理角色的不同灵活划分多种细粒度的文档访问权限，可针对文件、文件夹或应用系统内的文档设置不同的使用权限，还可以为单个用户、用户组、部门进行权限配置，从而简化权限的分配和管理。通过文档权限管理可实现文档的分级管理和授权访问，杜绝数据窥探和非授权访问事件发生。
　　◆云数据安全。Chinasec数据管理平台通过设置云平台的URL或IP地址，在所有接入云端的设备上安装代理客户端，并采用自动解析策略来设置云平台参数，同时透明加解密技术可对从云平台下载的云数据进行自动加密存储，规避因明文存储造成的数据泄密。由于动态加解密技术不仅不改变用户使用习惯，而且无需用户太多的干预操作即可实现云数据的安全，提供了极大的便利性。
　　◆终端设备接入安全。云架构进一步推动了信息的快速共享，Chinasec数据安全管理平台支持对各类接入云端的设备（如PC、笔记本、Pad、智能手机等）进行用户身份认证和链路加密，增强移动终端接入的安全性，确保用户共享的数据安全。
　　Chinasec数据安全管理平台采用模块化设计的B/S和C/S混合架构，整个管理平台运用了加密、认证、控制等技术手段，上述各功能均是数据管理平台的子功能，可依据企业实际情况和需求进行不同的功能组合，以满足不同类型、不同应用场景下的用户需求。且各类接入设备均由Chinasec数据安全管理平台统一管控，包括密钥交换、策略下发、身份认证等，因此各类设备内的加密文件可以达到透明加解密。在云实现了移动互联的同时，Chinasec数据安全管理平台亦实现了安全互通。
　　目前，“云”已经在企业级市场得到了越来越广泛的应用，而这一新IT时代的产物如果想要进化得尽善尽美，需要整个产业链成员的集体迁移，尤其是信息安全厂商，它将是云发展拼图中至关重要的一块，没有信息和数据安全的保障，云架构的搭建注定只能是空中楼阁。因此，如何应对数据安全风险问题任重道远。明朝万达将一如既往的以数据安全为核心，关注企业敏感数据的流转方向，对数据的整个生命周期采取完善的数据安全管控方法，让广大用户能够安全无忧的畅享新技术带来的惠利。

---

从化市15799834528： 如何确保云服务数据安全 - ？
兆昆骂澳蒲： 在云服务方便可以对私有云和公有云展开分析. 私有云和公有云的差别在于对数据的掌控.采用公有云服务的企业必须将数据托管于云服务商的数据中心,企业对数据的掌控力度自然减弱,一旦数据中心因自然灾害、人为因素或法律规范等各方...

从化市15799834528： 如何解决云计算带来的安全威胁? - ？
兆昆骂澳蒲： 个人认为归根结底是大多数人对新技术有偏见,这种偏见很大程度是多数推云计算的人没能很好的理解云计算,也没很好的给客户讲解明白云计算的好处和各种解决方案.从某种意义来说云计算是带来了别传统it架构更安全的服务,怎么能到不安全了呢?就好比很多年你能想象你在电脑上点点鼠标就把你的人民币给别人,别人东西后给你这种方式吗?如果说不安全,那个人认为这种是it最不安全的了,现在全球都接受了.说白了就是个习惯或者说观念问题,永远没有绝对的安全,只有被人们接受的安全.提到解决方案,我觉得云计算没做到、没理解什么是网络虚拟化,什么是多租户就保证谈不到安全.也正是很多人不了解所以才说不安全.

从化市15799834528： 云计算存在哪些安全风险 - ？
兆昆骂澳蒲： 云计算应用的安全风险有很多,例如硬件设备的稳定性,部署架构设计的合理性,系统程序有无建立防火墙机制.因此企业若想对数据拥有较大掌控力度,在防火墙内构建私有云是最佳选择.除此之外,私有云在数据安全、数据备份等方面也有更多的可选择空间.公有云当然也具备数据安全服务和数据备份能力,但企业对此的控制力度较差,不能处于主导地位,换句话说,公有云服务商的数据安全服务和数据备份措施是为保证整个数据中心的数据安全而进行的,并没有特别针对某个企业或某些数据的举措.

从化市15799834528： 做网络安全应该注意哪些方面? - ？
兆昆骂澳蒲： 1、企业安全制度(最重要) 2、数据安全(防灾备份机制) 3、传输安全(路由热备份、NAT、ACL等) 4、服务器安全(包括冗余、DMZ区域等) 5、防火墙安全(硬件或软件实现、背靠背、DMZ等) 6、防病毒安全

从化市15799834528： 互联网时代企业如何应对云计算的法律风险 - ？
兆昆骂澳蒲： 安全、透明度和方便的数据便携性是日益增多的问题.对于企业最终用户来说,云计算的优势已经建立起来了.但是,全球性律师事务所White & Case的一位律师说,企业和服务提供商在考虑应用管理的和虚拟的服务的时候还要慎重考虑. 负...

从化市15799834528： 建立私有云的作用是什么? - ？
兆昆骂澳蒲： 因为如果不建私有云,那么你的数据安全就只能依靠服务商的企业道德.用正常的思维逻辑,企业数据资产不应该留在自己完全无法掌控的地方,这就是为什么企业一定要进行私有化部署.最后还是例行推荐云宏知库云网盘和CNware虚拟化软件,都是支持私有化部署的.

从化市15799834528： 盘点:云计算会带来哪些最严重的安全和数据威胁 - ？
兆昆骂澳蒲： 云计算可能会带来的安全问题及数据威胁主要有以下几点: 一、拒绝服务攻击云计算以宽带网络和Web方式提供服务,其可用性方面将会受到挑战,针对云计算服务的拒绝服务攻击,需要云计算服务提供商认真调查、采取相应的专门保护措....

从化市15799834528： 大数据时代,怎么做好信息化规划? - ？
兆昆骂澳蒲： 一、明确企业的长期与短期战略规划.只有知道企业往哪走,如何走,才可以为信息化建设指明一条道路.须知,企业信息化建设,只是辅助企业达成战略目标的一个有力手段;二、梳理与明晰企业组织架构和工作流程,在此基础上找出流程加速的关键节点,并审计企业实际运营中的问题,比较分析企业信息化建设所需要解决的问题及期望达成的效果;三、明确信息化建设的所需模块、具体目标及原则,并在此基础上配置资源;四、明确信息化建设需要解决的问题,思考通过合作信息化管理工具来实现;五、组建信息化管理的专业团队,构建信息化建设相应的管理机制,让信息化建设真正落到实处;如果企业没有这样的人才储备,可以找中大咨询这样的公司来做信息化规划.

从化市15799834528： 云计算储存跟传统的储存有什么区别 - ？
兆昆骂澳蒲： 云计算储存跟传统的储存区别有:当云计算系统运算和处理的核心是大量数据的存储和管理时,云计算系统中就需要配置大量的存储设备,那么云计算系统就转变成为一个云存储系统,所以云存储是一个以数据存储和管理为核心的云计算系统....