【中培课堂】七个容易犯的云安全错误及防范措施

随着我国逐渐进入“云时代”，云安全也越来越成为人们关注的焦点问题。“宜未雨而绸缪，毋临渴而掘井”中培伟业“信息安全”专家袁老师在这里介绍了人们在使用云服务或者云产品过程中最容易犯的7个错误及其相关的防范措施。

1.将敏感数据的控制权交给云服务提供商

使用公有云服务意味所有的数据控制权交给了云服务提供商，这些数据也包括商业敏感数据。

防范措施：对于用户，在订阅用于工作的云应用时，应当遵守企业的信息安全政策。对于企业来说，应充分了解企业内部及云端所使用的数据安全工具，特别是云数据加密和记号化工具。

2.丢失对数据的追踪

了解数据进行存储和处理的物理位置有助于遵守有关数据储存的法规。

防范措施：请确保你了解云服务提供商的主数据中心以及后备数据中心的地理位置，此外还要了解这些国家或地区有关数据隐私的现行法律法规。如果数据储存的位置是企业应用云计算时考虑的要点，那就需要使用技术手段来确保数据只储存在一定的地点。

3.忽视云应用条款

订阅云应用时通常需要表示同意相应的条款，但云服务提供商所制定的条款与你所在企业所遵守的数据相关政策很可能有所不同。

防范措施：如果云计算提供商维护的数据需要特定的保护，则应坚持与云服务提供商商议合约的条款。例如在第三方云平台中存储敏感信息就需要有附加的防范措施以提升保护等级。

4.使用弱密码

弱密码对于黑客来说根本就是形同虚设。有专家从过去十年间的数据泄露事故中收集了一千万个密码，他发现流行密码排名的前一百位很少发生变动。

防范措施：不同服务不要设置相同的密码，常换换密码。

5.认为密码是万能的

密码使人很容易对安全问题掉以轻心，2015年网络攻击变得更活跃，安全事故也持续增加。好消息是“强密码不足以确保数据安全”这一认识的接受度在提高，安全人员也在实施多重防护。

防范措施：保证网络和云应用的安全需要多重身份验证，数据加密和记号化这样的技术也应被用在保证数据传输过程中的安全。

6.不备份数据

如果数据没有备份，一旦发生事故可就只能抓瞎了，所以必须确保云服务提供商允许本地备份。请注意并不是所有的云计算提供商都允许用户进行本地备份，所以在使用前需要先调查清楚。

防范措施：无论是否使用云服务数据都应该进行备份，将数据存储在不同的云服务提供商处可以降低大量数据丢失的风险。

7.没计划

在制定向云平台迁移的计划时，应该提前考虑可能受到的影响，比如越来越严格的数据隐私法规。

防范措施：对云数据要有一个全局的概念，多注意数据会在哪些国家进行存储和处理并评估对数据的处理是否会给你带来法律上的问题。