您现在的位置:ITGov-IT治理研究中心>> G3>> 专家视角>>正文内容
云风险需要IT治理
发布时间:2012年04月27日点击数: 作者:于秀艳 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
目前,云计算受到产业界的极大推崇并推出了一系列基于云计算平台的服务,但云计算的市场明显存在“一头冷、一头热”的状况,除了政府的推进外,企业对云计算的主动性还不是很强。

目前,云计算受到产业界的极大推崇并推出了一系列基于云计算平台的服务,但云计算的市场明显存在“一头冷、一头热”的状况,除了政府的推进外,企业对云计算的主动性还不是很强。

ITGov中国IT治理研究中心于2010年对关于“您对云计算的关注领域和态度”进行了一次调查。调查结果显示:在政府、企业和个人用户云计算应用中,安全问题以分别以98%、98%和90%的比率位居榜首,成为云用户最大的担心问题。正是这些安全问题,很多公司正在延缓和控制云计算方面的投资。在云计算产业发展中,政府用户关注的核心聚焦在数据安全、云计算的标准建设及法律法规等方面。企业在部署云计算服务时,更注重云的安全性、云服务价值及有效性、可移植性和协同性等。个人用户除了注重数据的安全性外,在做出购买的决策时,往往注重服务的便捷性和易用性。政府、企业和云用户对云的使用价格并没有表现出过多的担心,这和云计算的服务本质是相符合的。

可见在已经实现或者未实现的云计算服务中,安全问题一直令人担忧。安全和隐私问题已经成为阻碍云计算普及和推广的主要因素之一。云服务要求海量用户参与,这将导致信息安全问题更加突出,尽管厂商“信誓旦旦”,但用户的担心也不是没有道理的。2011年岁末,千万级用户数据被泄露,就证实了这一担心,可以预见在未来信息安全问题将愈演愈烈。除此以外,在应用云过程中,还存在着云提供商提供服务的可靠性、云服务的价值实现等等其它风险因素。需要引起注意的是,这不仅仅是信息安全问题,对个人、企业乃至全社会都将是巨大的风险,迫切需要从治理的视角来加强云风险的监管和防范。

ITGov中国IT治理研究中心认为,云计算既需要加强信息安全管理,更需要重视云风险治理。云计算利益和风险同在,如何有效规避风险,确保云价值交付?这正是IT治理要解决的问题,从某种程度上看,云计算的本质就是IT治理。云计算的落地实施和IT治理必须如影随形,紧密结合。

云风险可以总结为战略风险、技术风险和管理风险三方面,具体来说主要包括数据风险、服务风险、标准风险、实施风险和合法合规风险。这些风险体现了云治理的必要性和价值性。

(1)数据风险需要治理

用户的资源和数据置于共享公共网络上,置于组织和个人边界之外,云计算这种全新的服务模式将资源的所有权、管理权及使用权进行了分离,因此用户失去了对物理资源的直接控制,意味着有越多的数据被滥用的可能。例如,云服务提供商可以很容易地从其接入者中挑选分析样本,对各行各业随时进行精确的分析与预测,从而掌握一个国家的经济发展形势与问题,并对该国经济社会发展带来潜在的安全风险。
数据风险的引起原因除了云计算本身的特性外,主要源于不同主体的利益目标不一致。从主体上看,云计算的实施涉及到云计算用户、云计算提供商(IaaS、PaaS和SaaS)。云计算的提供者是云计算提供商,他们通过提供云计算来支撑组织的运营,而云计算的直接使用者是云计算用户,通过云计算降低组织成本,赋予组织新的能力,最终提高组织的绩效。云计算的提供者和使用者是分离的,云计算用户和云计算提供商的目标利益不一致,导致了大量风险。数据风险除了用技术手段加以控制外,还需要引入治理,对利益相关方的责任、权利、义务进行明确。

(2)服务风险需要治理

从理论上来说,云计算服务提供商会采取种种机制将用户的数据存储在某个地方,没有必要担心自己的数据会消失,但用户能不能随时访问完成工作所需要的数据呢?要是提供商自己出现的某种内部故障导致你无法访问自己的关键数据,又会怎样?你的提供商有能力在约定的时间内进行全面恢复吗?

另外,大多数云服务商在服务水平协议、提供商管理功能以及安全责任这些领域缺乏透明度。如云计算服务软件的漏洞对云计算用户并不是透明的,就阻碍了用户对与漏洞相关的运行风险的管理。因此需要一整套服务治理机制,例如服务水平协议,确保云服务公司应当为所有重要的IT工作负载确定服务级别方面的要求,确保合同里面写明惩罚条款,以防止出现服务级别协议未得到遵守的情况,保证用户的经营风险控制在一定范围之内,确保用户利益最大化。

(3)标准风险需要治理

云计算还处于开始的阶段,虽然不同的公司对云计算有不同的解释,希望有一些收益,但“真正的云计算应该是一个公用云的概念。”目前,云计算的主要倡导者和推动者包括很多IT、互联网、通信领域的企业,如Amazon、Yahoo、Google、Microsoft、IBM等都在站在各自角度提出了云计算的诠释,各种云计算公司都在推出自己的云计算标准,从而使多家厂商的应用程序多出现了兼容性的难题。面对IBM的“蓝云”、微软的Azure和亚马孙的Elastic等不同的云计算平台,用户应该能够把自己的数据和应用程序从一个云计算服务无缝迁移到另一个服务。然而,没有任何一家公司提供这种方法,用户难以在多个云系统之间实现有效的业务整合,同时还面临着“被绑定”的战略风险。

(4)实施风险需要治理

组织云的实践是从一体化数据中心管理开始的。由于部分组织仍是传统意义上的数据架构,各子公司信息孤岛林立,需要组织层面的云建设的领导力和执行力,所以要开展云治理,进行IT管控体系的建设,确保组织云计算规划、云项目建设的落实,否则数据中心的整合、集中、标准化是不可能实现的。

(5)合法合规需要治理

SOX法案的302、404以及409等条款规定,公司有责任实施严格的数据监控和归档级别。即便一家公司与外部的云计算服务商签订了合同,这些法规仍要求这家公司负有责任。云计算服务提供商应当提交审计和安全方面的证书,确保对方能够履行约定的承诺。如果某云计算提供商不愿意或者没有能力做到遵从法规,用户也只能选择其它的云计算提供商。

 

分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计