您的企业数据在云中安全吗？

云服务使我们的数据比以往任何时候都更加方便。云服务供应商将我们的文件存储在多台服务器上，只需要一个支持互联网的设备，我们可以在任何时候访问它们，而不需要随身携带一个硬盘。

同时，当所有成员都能够访问相同的文件时，我们可以轻松地与一群人一起工作。当我们可以从远程位置参与项目时，无需再亲自见面。

但是，为了这种便利进行了什么样的权衡？是安全吗？我们的数据在云中的安全吗？

对于云服务供应商的安全条款感到焦虑是可以理解的。你放弃了对信息的控制，让第三方来管理它，这是个大问题。如果是企业数据，那么就更有理由在移动到云时格外小心。

不同的云服务供应商采用不同的安全措施。因此，有些要更安全些。如果您计划将企业数据传输到云中，请确认所选的供应商对安全性四大支柱中的每一项都有明确规定：

1. 应用程序安全

因为云本质上是多个用户的共享资源，所以要细分帐户防止破坏内部的数据是很关键的。您的组织的帐户不应提供给其他组织，反之亦然。大多数云服务供应商通过授权系统和多级身份验证过程来保护帐户。您的组织可以选择谁可以获得授权访问；反之，这些被授予授权的人需要验证他们的登录凭据。

2. 基础设施安全

组织的企业数据在各个方面都需要保护。云服务供应商的数据中心应该严格按照24/7的要求进行保护 – 训练有素的警卫，电子监视和报警系统。这些数据中心存有宝贵和机密的数据，所以他们的设施应该具有与国际银行相同的安全标准。

在数字保护方面，请询问云平台是否有内置的防火墙，以及是否提供了多因素身份验证 (MFA) 来保护平台的帐户设置和资源。在典型的多因素身份验证中，第一个因素指的是通常的用户名密码组合，而第二个因素是指用户在其移动设备上接收的一次性身份验证代码。

如果您所选择的云服务供应商拥有 ISO/IEC 27001 认证，这是一个好兆头。这意味着它的风险管理系统通过了严格的 ISO/IEC 标准，涵盖了许多领域，包括但不限于物理和环境安全、资产管理和访问控制。索取第三方审核员出具的报告副本，以确认所有认证的真实性。

最后，寻找一个在其资源上应用冗余以确保不间断的服务的云服务供应商。组织的文件副本应存储在不同位置的多个服务器中，这样即使在一个区域中发生意外停机或自然灾害，您的企业数据仍由其余服务器支持。其他资源如电源、防火墙等也同样如此。无论发生什么情况，您都可以随时安全地访问您的文件。

3. 数据安全

您所选择的云服务供应商，能否确保您组织的数据在处理过程中的每一步都不受内外部的威胁侵扰？在传输过程中，它应用了什么样的数据加密？所有可能的数据泄露点是否都已经被识别和妥善处理？

加密是保持企业数据在传输过程中安全的必要条件。无线网络传输应该通过2048位安全套接字层 (SSL) 进行加密。此外，使用基于云的服务的设备之间的网络传输也应该使用强大的加密方法，如密钥大小至少为256位的高级加密标准 (AES)。

即使安全地存放在存储设备中，企业数据也可能在没有加密的情况下被破坏。因此，存储的文件也应该用类似的加密方法进行加密，以保证它们的安全，即使在不使用时也是如此。

4. 安全管理

云服务供应商存储和管理您的数据，但这并不意味着它与您的访问权限相同。管理控制应该到位，以便云服务供应商的员工不能篡改您的信息，彻底的背景检查和严格的保密协议是必要的。

当移动到云中时，组织的期望是它们不再负责防止安全漏洞，完全依赖云服务供应商来确保他们的企业数据是安全的。

但实际上，云计算的安全性也有薄弱的环节。即使是最严格的安全措施也会在人们使用弱密码、共享登录凭据或受到社会工程攻击时受到破坏。对数据安全的最大威胁之一仍然是无知，而知识是打击它的最好方法。因此，当您的组织移动到云中时，请为您的员工提供适当的培训，使每个人都了解他们在保护数据完整性方面的作用。