云計算的風險是否大于收益

　　超過1800名美國IT職業(yè)人員接受了此次調(diào)查，其中48%的人表示軟件即服務(SaaS)以及云計算的風險大于其收益。相比之下，55%的人則表示風險與收益相當，或者收益大過風險。此項調(diào)查是由位于美國伊里諾斯州Rolling Meadows市的信息系統(tǒng)審計與控制協(xié)會(ISACA)開展進行的，此機構是負責管理安全認證的IT安全管理組織。

　　企業(yè)中負責業(yè)務的高管們紛紛轉(zhuǎn)向云計算，并通過對IT基礎設施管理進行外包來削減成本。經(jīng)濟衰退已經(jīng)迫使許多公司開始考慮基于云的服務，如Amazon的EC2應用服務以及微軟的Azure云計算平臺。云安全聯(lián)盟和惠普公司最近的一份報告指出了云計算存在的七大風險，其中包括黑客滲透到云計算平臺并使用云基礎設施來攻擊其他機器、不安全應用程序接口(API)導致漏洞出現(xiàn)和數(shù)據(jù)泄漏等。

　　ISACA的副總裁Robert Stroud表示，IT職業(yè)人員(尤其是ISACA的成員)不應該對這個調(diào)查結(jié)果感到驚奇，而是應該采取謹慎的態(tài)度來對待云計算這項新技術，并仔細評估它的風險。

　　CA Inc.公司IT服務管理策略部門的副經(jīng)理Stroud表示，“一個良好的培訓制度以及過程自動化使得風險成為一件值得考慮的事情，你甚至也可以讓風險變得可以接受”，他說，“如果你極其反對風險的話，那么你的業(yè)務也永遠不可能得到發(fā)展。”

　　受訪者沒有被問及哪些云服務是他們最擔心的。調(diào)查發(fā)現(xiàn)，大多數(shù)任務優(yōu)先(mission-critical)的IT服務還繼續(xù)被保留在企業(yè)中。只有10%的受訪者所在公司打算把任務優(yōu)先服務轉(zhuǎn)向云計算，而近四分之一(26%)的企業(yè)根本就沒有打算把云計算應用到IT服務中去。

　　Stroud 表示，“對于任務優(yōu)先數(shù)據(jù)來說，這只不過是萬里長征的第一步。從一個公司高層管理人員的角度來看，云是非常有效的，所以不管IT部門想不想要云，企業(yè)最終都會轉(zhuǎn)向云。”

　　監(jiān)管規(guī)則和標準阻礙了云的應用

　　云安全聯(lián)盟的共同創(chuàng)始人兼執(zhí)行董事Jim Reavis表示，規(guī)則遵從是主要的障礙之一，它導致企業(yè)放慢了向許多云項目轉(zhuǎn)移的速度。近30%的受訪者表示，對于與IT風險相關的項目來說，規(guī)則遵從項目是最大的驅(qū)動力。大約有半數(shù)的受訪者表示，在2010年與IT風險以及規(guī)則遵從相關的項目，其投資額跟2009年的變化不大。

　　Reavis表示，在任何公共云里實現(xiàn)規(guī)則遵從都不是一件簡單的事情。

　　Reavis 指出，“人們知道，任何類型的電腦連接都會有風險，但是規(guī)則遵從正好成為人們?yōu)樾枰�監(jiān)管的服務采用更多云服務的主要障礙。如果你被黑客攻擊了，你可以讓審計人員負責;但是，如果你在云計算中被黑客攻擊了，你沒法再讓審計人員當替罪羊了，那么你自己可能會被炒魷魚。”

　　Reavis認為，ISACA的此次調(diào)查是一個令人鼓舞的跡象，因為這顯示出從事風險策略的IT職業(yè)人員正在努力找尋解決問題的方法，而不是去逃避這些風險。他們的許多顧慮也會隨著時間的推移而煙消云散。但他也表示，就目前來看，人們還是缺少對云計算的理解，有備案的使用案例也很缺乏。

　　云安全聯(lián)盟的標準工作組正在把跟云有關的風險與各種各樣的標準和監(jiān)管規(guī)則聯(lián)系起來。比如，工作組已經(jīng)跟PCI安全標準委員會合作，并開發(fā)了一個框架 —— 一個云控制矩陣—— 以便根據(jù)企業(yè)必須遵守的控制標準制定出一套對應的云服務提供商控制標準。

　　“這是一個共同的責任，”Reavis指出，“你不能把所有管理責任都外包給別人。”

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]