在微軟
、IBM等美國公司的鼓噪下

，雲計算成為被炒上了天的“高新技術”。實shi際ji上shang

，雲yun計ji算suan不bu過guo是shi應ying用yong模mo式shi的de轉zhuan變bian，遠yuan不bu是shi這zhe些xie鼓gu吹chui者zhe所suo描miao繪hui的de玄xuan乎hu。目mu前qian
，信xin息xi安an全quan工gong作zuo人ren員yuan曝pu出chu雲yun計ji算suan在zai安an全quan方fang麵mian存cun在zai七qi宗zong罪zui，他ta們men認ren為wei這zhe七qi宗zong罪zui足zu以yi抵di消xiao雲yun計ji算suan所suo帶dai來lai的de好hao處chu。
 
    不少首席信息安全官認為，使用雲方案以後就可以高枕無憂了；但如果他們知道雲在程序運行中出現了多少錯誤後或許會變得夜不能寐。
 
    用戶登錄的檢查核對機製不完善
 
    安an全quan登deng錄lu雲yun的de唯wei一yi方fang式shi就jiu是shi通tong過guo企qi業ye身shen份fen管guan理li係xi統tong。很hen多duo雲yun服fu務wu允yun許xu企qi業ye的de任ren何he人ren不bu通tong過guo企qi業ye網wang站zhan注zhu冊ce，就jiu可ke創chuang建jian自zi己ji雲yun服fu務wu的de用yong戶hu名ming與yu密mi碼ma，並bing能neng把ba雲yun服fu務wu的de授shou權quan證zheng書shu與yu其qi私si人ren郵you箱xiang地di址zhi連lian接jie。這zhe種zhong現xian象xiang時shi有you發fa生sheng，但dan這zhe並bing不bu意yi味wei著zheIT部門或者企業應該默許這種行為。“以這種方式開始提供的雲服務，沒有與企業IMS整合，這就使得企業麵臨策略違規、信息泄露的風險；而且，這些企業最終沒有能力來保證雲的安全性。”Axway的首席安全官說。
 
    同樣
，一些公司快速部署了IaaS（基礎設施即服務），這也是利用了自我服務能力來解決其他部門對IT部門緩慢與無應答的投訴。但這種方式阻礙了管理
，因為其允許在沒有安全保護的情況下直接登錄雲服務器。
 
    信息服務集團新技術調查員
、雲專家Stanton Jones就此解釋稱：“如此一來，員工就可以看到那些他們不具備查看權限的數據，比如說在VM（虛擬機）中的遺留問題數據。這些問題數據永遠不會被關閉。”
 
    API使用方法被忽視
 
    一家企業轉移到雲服務


，用戶需要一個API，這樣就能以自己的方式來平衡公司所提供的服務。雲所帶來的內部服務與能力，將更貼近想登錄這些服務的客戶。基於API的整合方案就可以滿足這些要求。
 
    移動應用開發者使用API在公司內部與商業信息之上創建有價值的生態係統。“如果開發者將這種生態係統貨幣化，那帶來的收益將會打破企業的價值鏈，所以你應該通過開發者門戶建立一個收益分支。”Thielens說。 我們已經說過
，API密鑰，也就是可以使開發者登錄API服務的密鑰，已經可以與密碼相抗衡了。想知道如果你忘記密碼，將會發生什麼嗎？CIO使用雲服務API，就需要一個完善的安保計劃用以保護API密鑰。
 
    不能完全脫離雲服務供應商的掌控
 
    Thielens說

，隨著雲服務的不斷進化，出現了新供應商，解決方案也推陳出新
，傳統雲服務保護網站，如亞馬遜
、Facebook等已經轉型：在更小範圍內提供最優標準與產品。“這對雲來說是革命性的解決方案，對於預置基礎設施來說也是。”
 
    有關雲的一切還處在不斷進化中，現有最佳雲解決方案在今後未必是最優選擇。
 
    外包風險與責任追究
 
    企qi業ye可ke以yi將jiang部bu分fen基ji礎chu設she施shi外wai包bao到dao雲yun上shang，但dan是shi企qi業ye不bu能neng完wan全quan外wai包bao風feng險xian與yu承cheng諾nuo義yi務wu。企qi業ye都dou要yao求qiu雲yun供gong應ying商shang具ju有you一yi定ding限xian度du的de透tou明ming性xing，這zhe樣yang企qi業ye才cai能neng掌zhang握wo一yi些xie風feng險xian模mo式shi，並bing據ju此ci調tiao整zheng企qi業ye戰zhan略lve。所suo有you這zhe些xie需xu求qiu都dou在zai告gao訴su雲yun供gong應ying商shang，自zi從cong某mou些xie雲yun可ke以yi輕qing易yi登deng錄lu並bing有you管guan理li風feng險xian以yi後hou，對dui企qi業ye而er言yan，雲yun可ke能neng就jiu沒mei有you那na麼me適shi用yong了le。Thielens指出：“企業不會撇開雲供應商，去接手所有風險。”
 
    信息化部署以及安全性考慮不足就直接簽署雲解決方案
 
    從cong現xian狀zhuang看kan，企qi業ye很hen容rong易yi從cong不bu同tong供gong應ying商shang處chu簽qian約yue獲huo取qu雲yun服fu務wu，從cong此ci進jin入ru雲yun時shi代dai。而er對dui雲yun服fu務wu應ying用yong範fan圍wei的de大da小xiao，即ji使shi這zhe些xie企qi業ye一yi點dian專zhuan業ye知zhi識shi都dou不bu具ju備bei，也ye不bu存cun在zai任ren何he問wen題ti。實shi際ji上shang，就jiu和he賺zhuan信xin用yong卡ka積ji分fen一yi樣yang簡jian單dan。 Prescient解決方案首席信息官、美國國家網絡安全特別小組成員Jerry Irvine說：“這就意味著
，企業認為可以縮短實施IT項目所需時間，並使雲成為生產力。”
 
    但是，這種做法會帶來很多新的安全及容錯率等方麵的問題。在不牽涉IT的情況下實施公司解決方案，很可能出現現有係統、配置與應用不兼容的情況，那些對規範與需要遵守的要求不甚了解的員工很可能就會遇到問題。
 
    Irvine解釋道：“當這些雲計算應用能夠為企業提供某些特殊需求的快速解決方案時

，風險與缺陷將使企業在係統失誤
、安全缺口等方麵耗費大量資金。”因為這些特殊原因
，所有啟用的雲方案都要符合企業風險構想、合同複審、規則審查以及內部政策審查。
 
    “很多企業已經發現
，盡管缺乏內部啟用雲計算的公司政策，但在企業內部，還是可以使用很多雲服務。”信息安全論壇全球副總裁Steve Durbin說。Talbot-Hubbard認為：“如果沒有任何來自IT
、采購或者法律部門的員工參與到企業轉移到雲的行動中，那麼企業將喪失對其相關數據、應用
、服務及基礎設施的控製。”
 
    輕信雲的安全性
 
    企(qi)業(ye)一(yi)般(ban)都(dou)很(hen)關(guan)注(zhu)雲(yun)服(fu)務(wu)的(de)功(gong)能(neng)
，但(dan)是(shi)卻(que)不(bu)會(hui)提(ti)問(wen)。企(qi)業(ye)認(ren)為(wei)他(ta)們(men)的(de)雲(yun)服(fu)務(wu)供(gong)應(ying)商(shang)同(tong)時(shi)服(fu)務(wu)很(hen)多(duo)其(qi)他(ta)客(ke)戶(hu)，會(hui)有(you)更(geng)強(qiang)大(da)的(de)安(an)全(quan)部(bu)門(men)
，更(geng)完(wan)全(quan)的(de)安(an)全(quan)政(zheng)策(ce)、處(chu)理(li)過(guo)程(cheng)以(yi)及(ji)規(gui)程(cheng)。一(yi)些(xie)雲(yun)供(gong)應(ying)商(shang)將(jiang)比(bi)較(jiao)高(gao)級(ji)的(de)安(an)全(quan)設(she)施(shi)外(wai)包(bao)給(gei)第(di)三(san)方(fang)。但(dan)是(shi)，這(zhe)些(xie)第(di)三(san)方(fang)供(gong)應(ying)商(shang)所(suo)提(ti)供(gong)的(de)安(an)全(quan)服(fu)務(wu)很(hen)可(ke)能(neng)沒(mei)有(you)包(bao)含(han)在(zai)合(he)同(tong)內(nei)，而(er)雲(yun)供(gong)應(ying)商(shang)與(yu)客(ke)戶(hu)之(zhi)間(jian)有(you)服(fu)務(wu)等(deng)級(ji)協(xie)議(yi)。
 
    沒有透徹理解成本
 
    當雲提供者展示其產品時，他們經常選擇展示一些比較初級的產品來吸引那些更在意價格的潛在消費者。Irvine說：“不幸的是，在與服務供應商交手後，企業通常認為，那些附加服務也要執行慣有的IT任務。”安an全quan成cheng本ben和he那na些xie相xiang關guan義yi務wu也ye會hui隨sui之zhi增zeng加jia。企qi業ye在zai評ping估gu雲yun服fu務wu成cheng本ben時shi甚shen至zhi基ji於yu一yi種zhong不bu現xian實shi的de空kong想xiang
，就jiu好hao像xiang是shi將jiang應ying用yong推tui上shang雲yun後hou，他ta們men才cai需xu要yao確que定ding內nei部buIT資源的數量。Irvine指出，現在市場上有很多種雲服務，內部所需要的資源數很可能完全沒有改變。
 
    事實上，我們很多使用雲計算服務的客戶
，並沒有減少其ITbumenderenyuanshuliang。zaisuoyouqingkuangxia，qiyejiangsuoyouyingyonghexitongwaibaodaoyunshangdekenengxingjihuweihuqiwei。jishiqiyejiangqihenduoxitongzhuanyidaoyunshang，danhaishiyoudalianggongzuoxuyaoqiyeneibujichusheshihegongzuozhangongchengshiquchuli。“其實，IT部門成本是受到雲影響最小的一個部門。”Irvine說。 （朱岩）