在微軟、IBM等美國公司的鼓噪下，雲計算成為被炒上了天的“高新技術”。shijishang

，yunjisuanbuguoshiyingyongmoshidezhuanbian
，yuanbushizhexieguchuizhesuomiaohuidexuanhu。muqian，xinxianquangongzuorenyuanpuchuyunjisuanzaianquanfangmiancunzaiqizongzui，tamenrenweizheqizongzuizuyidixiaoyunjisuansuodailaidehaochu。
 
    不少首席信息安全官認為，使用雲方案以後就可以高枕無憂了
；但如果他們知道雲在程序運行中出現了多少錯誤後或許會變得夜不能寐。
 
    用戶登錄的檢查核對機製不完善
 
    安(an)全(quan)登(deng)錄(lu)雲(yun)的(de)唯(wei)一(yi)方(fang)式(shi)就(jiu)是(shi)通(tong)過(guo)企(qi)業(ye)身(shen)份(fen)管(guan)理(li)係(xi)統(tong)。很(hen)多(duo)雲(yun)服(fu)務(wu)允(yun)許(xu)企(qi)業(ye)的(de)任(ren)何(he)人(ren)不(bu)通(tong)過(guo)企(qi)業(ye)網(wang)站(zhan)注(zhu)冊(ce)


，就(jiu)可(ke)創(chuang)建(jian)自(zi)己(ji)雲(yun)服(fu)務(wu)的(de)用(yong)戶(hu)名(ming)與(yu)密(mi)碼(ma)，並(bing)能(neng)把(ba)雲(yun)服(fu)務(wu)的(de)授(shou)權(quan)證(zheng)書(shu)與(yu)其(qi)私(si)人(ren)郵(you)箱(xiang)地(di)址(zhi)連(lian)接(jie)。這(zhe)種(zhong)現(xian)象(xiang)時(shi)有(you)發(fa)生(sheng)

，但(dan)這(zhe)並(bing)不(bu)意(yi)味(wei)著(zhe)IT部門或者企業應該默許這種行為。“以這種方式開始提供的雲服務，沒有與企業IMS整合，這就使得企業麵臨策略違規、信息泄露的風險；而且，這些企業最終沒有能力來保證雲的安全性。”Axway的首席安全官說。
 
    同樣，一些公司快速部署了IaaS（基礎設施即服務），這也是利用了自我服務能力來解決其他部門對IT部門緩慢與無應答的投訴。但這種方式阻礙了管理，因為其允許在沒有安全保護的情況下直接登錄雲服務器。
 
    信息服務集團新技術調查員、雲專家Stanton Jones就此解釋稱：“如此一來，員工就可以看到那些他們不具備查看權限的數據
，比如說在VM（虛擬機）中的遺留問題數據。這些問題數據永遠不會被關閉。”
 
    API使用方法被忽視
 
    一家企業轉移到雲服務，用戶需要一個API，這樣就能以自己的方式來平衡公司所提供的服務。雲所帶來的內部服務與能力，將更貼近想登錄這些服務的客戶。基於API的整合方案就可以滿足這些要求。
 
    移動應用開發者使用API在公司內部與商業信息之上創建有價值的生態係統。“如果開發者將這種生態係統貨幣化，那帶來的收益將會打破企業的價值鏈，所以你應該通過開發者門戶建立一個收益分支。”Thielens說。 我們已經說過
，API密鑰，也就是可以使開發者登錄API服務的密鑰，已經可以與密碼相抗衡了。想知道如果你忘記密碼

，將會發生什麼嗎？CIO使用雲服務API，就需要一個完善的安保計劃用以保護API密鑰。
 
    不能完全脫離雲服務供應商的掌控
 
    Thielens說，隨著雲服務的不斷進化
，出現了新供應商
，解決方案也推陳出新
，傳統雲服務保護網站
，如亞馬遜、Facebook等已經轉型：在更小範圍內提供最優標準與產品。“這對雲來說是革命性的解決方案，對於預置基礎設施來說也是。”
 
    有關雲的一切還處在不斷進化中，現有最佳雲解決方案在今後未必是最優選擇。
 
    外包風險與責任追究
 
    企(qi)業(ye)可(ke)以(yi)將(jiang)部(bu)分(fen)基(ji)礎(chu)設(she)施(shi)外(wai)包(bao)到(dao)雲(yun)上(shang)，但(dan)是(shi)企(qi)業(ye)不(bu)能(neng)完(wan)全(quan)外(wai)包(bao)風(feng)險(xian)與(yu)承(cheng)諾(nuo)義(yi)務(wu)。企(qi)業(ye)都(dou)要(yao)求(qiu)雲(yun)供(gong)應(ying)商(shang)具(ju)有(you)一(yi)定(ding)限(xian)度(du)的(de)透(tou)明(ming)性(xing)，這(zhe)樣(yang)企(qi)業(ye)才(cai)能(neng)掌(zhang)握(wo)一(yi)些(xie)風(feng)險(xian)模(mo)式(shi)，並(bing)據(ju)此(ci)調(tiao)整(zheng)企(qi)業(ye)戰(zhan)略(lve)。所(suo)有(you)這(zhe)些(xie)需(xu)求(qiu)都(dou)在(zai)告(gao)訴(su)雲(yun)供(gong)應(ying)商(shang)

，自(zi)從(cong)某(mou)些(xie)雲(yun)可(ke)以(yi)輕(qing)易(yi)登(deng)錄(lu)並(bing)有(you)管(guan)理(li)風(feng)險(xian)以(yi)後(hou)，對(dui)企(qi)業(ye)而(er)言(yan)
，雲(yun)可(ke)能(neng)就(jiu)沒(mei)有(you)那(na)麼(me)適(shi)用(yong)了(le)。Thielens指出：“企業不會撇開雲供應商，去接手所有風險。”
 
    信息化部署以及安全性考慮不足就直接簽署雲解決方案
 
    congxianzhuangkan，qiyehenrongyicongbutonggongyingshangchuqianyuehuoquyunfuwu，congcijinruyunshidai。erduiyunfuwuyingyongfanweidedaxiao，jishizhexieqiyeyidianzhuanyezhishidoubujubei，yebucunzairenhewenti。shijishang
，jiuhezhuanxinyongkajifenyiyangjiandan。 Prescient解決方案首席信息官、美國國家網絡安全特別小組成員Jerry Irvine說：“這就意味著，企業認為可以縮短實施IT項目所需時間，並使雲成為生產力。”
 
    但是
，這種做法會帶來很多新的安全及容錯率等方麵的問題。在不牽涉IT的情況下實施公司解決方案，很可能出現現有係統、配置與應用不兼容的情況
，那些對規範與需要遵守的要求不甚了解的員工很可能就會遇到問題。
 
    Irvine解釋道：“當這些雲計算應用能夠為企業提供某些特殊需求的快速解決方案時，風險與缺陷將使企業在係統失誤、安全缺口等方麵耗費大量資金。”因為這些特殊原因
，所有啟用的雲方案都要符合企業風險構想、合同複審、規則審查以及內部政策審查。
 
    “很多企業已經發現

，盡管缺乏內部啟用雲計算的公司政策，但在企業內部，還是可以使用很多雲服務。”信息安全論壇全球副總裁Steve Durbin說。Talbot-Hubbard認為：“如果沒有任何來自IT
、采購或者法律部門的員工參與到企業轉移到雲的行動中
，那麼企業將喪失對其相關數據、應用、服務及基礎設施的控製。”
 
    輕信雲的安全性
 
    企qi業ye一yi般ban都dou很hen關guan注zhu雲yun服fu務wu的de功gong能neng，但dan是shi卻que不bu會hui提ti問wen。企qi業ye認ren為wei他ta們men的de雲yun服fu務wu供gong應ying商shang同tong時shi服fu務wu很hen多duo其qi他ta客ke戶hu，會hui有you更geng強qiang大da的de安an全quan部bu門men
，更geng完wan全quan的de安an全quan政zheng策ce
、處chu理li過guo程cheng以yi及ji規gui程cheng。一yi些xie雲yun供gong應ying商shang將jiang比bi較jiao高gao級ji的de安an全quan設she施shi外wai包bao給gei第di三san方fang。但dan是shi，這zhe些xie第di三san方fang供gong應ying商shang所suo提ti供gong的de安an全quan服fu務wu很hen可ke能neng沒mei有you包bao含han在zai合he同tong內nei，而er雲yun供gong應ying商shang與yu客ke戶hu之zhi間jian有you服fu務wu等deng級ji協xie議yi。
 
    沒有透徹理解成本
 
    當雲提供者展示其產品時

，他們經常選擇展示一些比較初級的產品來吸引那些更在意價格的潛在消費者。Irvine說：“不幸的是，在與服務供應商交手後，企業通常認為
，那些附加服務也要執行慣有的IT任務。”anquanchengbenhenaxiexiangguanyiwuyehuisuizhizengjia。qiyezaipingguyunfuwuchengbenshishenzhijiyuyizhongbuxianshidekongxiang，jiuhaoxiangshijiangyingyongtuishangyunhou，tamencaixuyaoquedingneibuIT資源的數量。Irvine指出，現在市場上有很多種雲服務
，內部所需要的資源數很可能完全沒有改變。
 
    事實上
，我們很多使用雲計算服務的客戶
，並沒有減少其IT部(bu)門(men)的(de)人(ren)員(yuan)數(shu)量(liang)。在(zai)所(suo)有(you)情(qing)況(kuang)下(xia)，企(qi)業(ye)將(jiang)所(suo)有(you)應(ying)用(yong)和(he)係(xi)統(tong)外(wai)包(bao)到(dao)雲(yun)上(shang)的(de)可(ke)能(neng)性(xing)幾(ji)乎(hu)微(wei)乎(hu)其(qi)微(wei)。即(ji)使(shi)企(qi)業(ye)將(jiang)其(qi)很(hen)多(duo)係(xi)統(tong)轉(zhuan)移(yi)到(dao)雲(yun)上(shang)，但(dan)還(hai)是(shi)有(you)大(da)量(liang)工(gong)作(zuo)需(xu)要(yao)企(qi)業(ye)內(nei)部(bu)基(ji)礎(chu)設(she)施(shi)和(he)工(gong)作(zuo)站(zhan)工(gong)程(cheng)師(shi)去(qu)處(chu)理(li)。“其實，IT部門成本是受到雲影響最小的一個部門。”Irvine說。 （朱岩）