近期安全回顾:云计算有风险 ATM机成骇客新宠

核心提示： 本周在波士顿举行的SOURCE安全会议上，安全专家向公众揭示了云计算方案在安全上的又一个潜在风险——合规性遵从（Compliance），近期安全回顾:云计算有风险 ATM机成骇客新宠(2)，尽管云计算服务商都向用户承诺其服务的可靠性，保证7×24的在线率

本周在波士顿举行的SOURCE安全会议上，安全专家向公众揭示了云计算方案在安全上的又一个潜在风险——合规性遵从（Compliance）。尽管云计算服务商都向用户承诺其服务的可靠性，保证7×24的在线率，但如何保证用户存放在云计算平台上的数据的安全，仍不在大多数云计算服务商的承诺范围之内，用户在绝大多数情况下，也无法通过数据加密等传统手段获得更好的数据安全性。

当然，用户企业可以与云计算服务商签署服务级别协议（SLA）和第三方的安全协议，通过书面的方式来进一步保证云计算的安全性，但调查显示许多用户企业仍对其存储在云计算平台上的数据安全心存顾虑。此外，对现有的行业安全标准及法律法规的遵从性，也是用户在选择云计算方案作为业务数据存储和处理平台时要考虑的一个潜在风险，它存在于两个方面：首先，用户不可能了解到所选择的云计算方案具体的实现和运作形式，更不可能根据自己业务的需求对云计算进行功能和实现上的自定义；其次，当前使用的不少安全标准，具体规定和设置要求都不适用于云计算领域——如在网上支付领域广泛使用的PCI DSS标准，就只规定了物理服务器应该如何进行安全设置和操作。

笔者觉得，尽管使用云计算和企业的其他IT外包项目并无太大区别，但企业也应该意识到使用云计算方案并不等于将数据安全的责任也外包到云计算服务提供商的身上。在当前云计算的运营模式没有发生利于用户数据安全需求的变化，以及现有安全标准对云计算应用做出相应的修改之前，建议用户还是不要将敏感和涉及商业机密的信息存储到云计算平台上，免得将来遇到众多不必要的风险。

恶意软件：恶意软件技术快速发展，基于DHCP和专门针对ATM的恶意软件出现；关注指数：高