公告資訊

未經授權,禁止轉載網站文章與內容。如有需要可以跟我聯絡,謝謝!!




2012年1月14日 星期六

資料放雲端,安全嗎?

一直以來,很多朋友與合作夥伴,一聽到雲端,就會有這樣的問題。我想先請教各位幾個問題:

如果你有十萬塊,請問你會放家裡還是放銀行?

如果你有一百萬,請問你會放家裡還是放銀行?

如果你有一千萬,請問你會放家裡還是放銀行?

這幾個問題,對於大部分的人來說,答案都是"放銀行"。為什麼錢不放家裡,要放到別人開的銀行呢? 難道不怕錢被銀行的人偷走嗎? 事實上,你會放心把錢放銀行的原因,就是因為銀行有一定的安全稽核機制,因此你把錢放銀行被監守自盜的機會,絕對比你把錢放家裡被小偷偷走的機會來得低很多

公司裡的資料何嘗不是如此? 當你把資料放在公司中,可能會因為系統外包,而被外包的開發人員下載複製帶走;也可能因為開發人員的疏失,而造成系統的漏洞被盜走;更可能因為資料庫管理員沒有落實備份備援計劃,當機房或是伺服器發生問題時,導致重要資料的遺失...

所以資料放雲端安不安全,其實只是一個觀念上的問題。對於企業來說,資訊安全的問題,有七八成是屬於管理面的責任,剩下的才是跟程式實作有關係;也因為這樣,所以才會有ISO 27001的資安標準(http://www.bsigroup.tw/zh-tw/Training/Course-areas/Information-Security/)。如果你的公司沒有通過ISO 27001,如果你的外包廠商沒有通過ISO 27001的標準,那我可以告訴你,你的資料放在公司,絕對不會比放在雲端上面來的安全。至少在機房的管理上,Windows Azure雲端平台通過了ISO 27001的資安標準;而且當作業系統有重要安全更新的時候,還會自動提供安裝最新安全更新的作業系統版本,避免人為因素所造成的安全性漏洞。

當然,也會有些人用剛通過的個資法,質疑雲端的安全性,其實這並沒有太大的關連。就如同剛剛所提到的,系統的安全性其實有大部分都跟管理有關,如果公司整體的資安管理沒做好,資料放哪裡都是不會安全的。就好比你中了大樂透第一特獎,如果你全家人都不跟外人說,錢放家裡也是可行(放得下的話);但是如果你家人大肆張揚的話,就算你把錢存在銀行,歹徒也可以綁架你去拿這些錢,不是嗎?

從另外一方面來看,也就是因為一般公司的資料中心或是機房管理人員,並非具有專業的資安背景,因此若是將資料存放在管理更好、安全性更高的Windows Azure雲端平台當中,反而更安全! 當然,若是再搭配系統本身實作資料加密,與使用者驗證、授權、稽核等機制,就可以再提升系統整體的安全性!!

面對資訊安全,請記得正確的觀念:資訊安全是架構在良好的資安管理上的! 如果你們沒有制定安全性的政策、程式與架構沒有review、員工沒有資安的觀念與訓練、沒有定期做資訊安全稽核、沒有做資安的弱點分析、沒有有效的掌控重要資料的存取權限、沒有即時監控系統執行的狀況.... 等等,只要其中任何一個資安管理的環節出錯,都會是資安的漏洞!

資料放哪裡,老實說關係其實並沒這麼大。

沒有留言:

最新回應

Loading...

即時與版主對話


(若狀態顯示"忙碌"時,我可能無法馬上回應。你可以留下Email,我會盡快跟你聯絡,謝謝喔!!)