作為Georgia州的首席信息安全官(CISO)，Mark Reardon一直以來(lái)全情投入在云計(jì)算安全方面。他的工作內(nèi)容是對(duì)來(lái)自州政府公務(wù)員和市民的需求進(jìn)行風(fēng)險(xiǎn)分析和平衡。考慮到上述因素，我們很容易想象到“否決”是他的常用詞。

事實(shí)恰好相反，Reardon從來(lái)沒(méi)有把自己看作是扮演阻礙云計(jì)算等技術(shù)改革的角色。他認(rèn)為自己在確保這些技術(shù)變革更加安全。今天我們主要談?wù)摰氖荊eorgia州特別是州政府領(lǐng)導(dǎo)的執(zhí)行機(jī)構(gòu)是如何利用云計(jì)算來(lái)降低風(fēng)險(xiǎn)的。

SearchCIO.com:你能談一下你們是如何使用云技術(shù)的嗎？

Reardon：我們準(zhǔn)備將對(duì)大眾公開(kāi)的信息站點(diǎn)遷移到云上。我需要這些信息準(zhǔn)確，但明顯他們并不會(huì)造成什么財(cái)物損失，無(wú)關(guān)生死。如果站點(diǎn)崩潰了，對(duì)我們是尷尬的一件事。我們想避免這個(gè)結(jié)果，但是在投入的同時(shí)需要考慮成本。

如果我們能夠減少對(duì)這些影響較低的系統(tǒng)的投入成本-這里的影響較低即當(dāng)安全問(wèn)題出現(xiàn)時(shí)，如機(jī)密信息，數(shù)據(jù)完整或者數(shù)據(jù)可用性的破壞所造成的影響-我們就可以去把資金投入在會(huì)造成重大財(cái)務(wù)影響或者損害個(gè)人利益的信息保護(hù)上。

作為政府機(jī)構(gòu)我們采用軟件即服務(wù)的策略(SaaS)來(lái)進(jìn)行持續(xù)運(yùn)營(yíng)規(guī)劃。無(wú)論發(fā)生了什么，州政府都需要保證關(guān)鍵職能的運(yùn)營(yíng)。這些目前都是由外部供應(yīng)商來(lái)托管的。如果有需要，政府部門(mén)可以登陸主機(jī)執(zhí)行計(jì)劃應(yīng)對(duì)。如果數(shù)據(jù)中心出現(xiàn)停機(jī)情況，我們無(wú)法提供服務(wù)給我們的市民是很?chē)?yán)重的。因此，我們使用了SaaS幫助我們應(yīng)付這些狀況。同樣，使用SaaS運(yùn)行某些特定應(yīng)用也是很劃算的。供應(yīng)商會(huì)支持系統(tǒng)負(fù)責(zé)系統(tǒng)升級(jí)和維修，我們只需要登陸使用。

關(guān)于云計(jì)算安全問(wèn)題，有哪些因素幫助你做出決策？

Reardon：在作出決策之前,我們會(huì)參考國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所頒布的聯(lián)邦信息安全管理準(zhǔn)則中建議的風(fēng)險(xiǎn)管理框架-Risk Management Framework進(jìn)行分析。操作任何計(jì)算系統(tǒng)都是有風(fēng)險(xiǎn)的。且即使你不操作也是有影響的，因此業(yè)務(wù)人員需要將這種影響視為提供服務(wù)伴隨風(fēng)險(xiǎn)的一部分。如果你將云計(jì)算放在這個(gè)大背景下，你就可以開(kāi)始根據(jù)你的需求和預(yù)算進(jìn)行抉擇了。

回到運(yùn)營(yíng)的持續(xù)性：我們過(guò)去都是自己來(lái)管理軟件，但是后來(lái)發(fā)現(xiàn)引入外包服務(wù)會(huì)降低成本。與此同時(shí)州政府的不同部門(mén)可以分享這個(gè)軟件，這樣做的好處是很多的。然后我會(huì)去檢查有哪些信息如果泄露了，是否存在信息被泄露給了不法分子的風(fēng)險(xiǎn)？答案是否定的。只有在系統(tǒng)被破壞的同時(shí)我們又遇到了極端情況下負(fù)面影響會(huì)顯現(xiàn)。我們需要分析和衡量所有不同風(fēng)險(xiǎn)，決定愿意接受哪些風(fēng)險(xiǎn)。

如何讓業(yè)務(wù)人員參與到云計(jì)算安全和其他風(fēng)險(xiǎn)管理的決策中？

Reardon：這是一個(gè)老生常談的話題，但是很少能做到：如果做IT管理？我所在的管理和計(jì)劃部門(mén)，我們會(huì)努力讓業(yè)務(wù)部門(mén)的干系人加入共同作出決定。這是喬治亞州的做法--但并不是一成不變的，以我曾經(jīng)工作的經(jīng)驗(yàn)在某些地方安全決策都是由負(fù)責(zé)安全的專(zhuān)員作出，他們會(huì)說(shuō)“不，我們不會(huì)使用云技術(shù)”且業(yè)務(wù)方只能服從。我還遇到過(guò)業(yè)務(wù)方并不關(guān)心安全因素，他們只會(huì)對(duì)安全專(zhuān)員提出要求“確保這些是安全的”。上述這兩種情況都不好，因?yàn)槭聦?shí)上在作出決策之前必須考慮安全因素。

我們的想法是安全的主要部分是信息風(fēng)險(xiǎn)管理，業(yè)務(wù)在考慮其他風(fēng)險(xiǎn)時(shí)也需要考慮這一點(diǎn);其次是滿足需要。這是不同方面，他們有很多相關(guān)的信息，但是他們通過(guò)不同方式管理。

接下來(lái)要做的是管理剩余風(fēng)險(xiǎn)和決策，我是否需要消除風(fēng)險(xiǎn)，減少風(fēng)險(xiǎn)或者接受風(fēng)險(xiǎn)？我是否可以通過(guò)與供應(yīng)商簽署合同或者購(gòu)買(mǎi)保險(xiǎn)將風(fēng)險(xiǎn)轉(zhuǎn)嫁？這些都是我們選擇云計(jì)算時(shí)需要做的商業(yè)決定。如果我遇到上述問(wèn)題卻不敢決定，我們就不可能使用云技術(shù)。再比如因?yàn)樯虡I(yè)需求得到了滿足我們從風(fēng)險(xiǎn)角度去分析，這就是我們需要做的商業(yè)決定。

是否有某些問(wèn)題導(dǎo)致云計(jì)算風(fēng)險(xiǎn)極大以至于你不敢觸及？

Reardon：答案是否定的。我們會(huì)根據(jù)掌握的信息以及云技術(shù)供應(yīng)商提供的保護(hù)作出決定，但是用不了太長(zhǎng)時(shí)間。我在計(jì)算機(jī)行業(yè)工作34年還依稀記得PC的最初階段，我的計(jì)算機(jī)的內(nèi)存只有1k或者更小的空間。如果你在計(jì)算機(jī)行業(yè)工作，變化是貫穿始終的。

作為州的安全官，我的職責(zé)不是排斥未來(lái)，而是幫助政府在信息風(fēng)險(xiǎn)方面作出信息充分的決定。我的工作是對(duì)從工作場(chǎng)所的移動(dòng)電話到外包服務(wù)的方方面面進(jìn)行潛在分析并為決策者提供合適的建議。

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： 安全 大數(shù)據(jù) 信息安全 云計(jì)算 云計(jì)算安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。