CSA创始人Jim Reavis:构建受信任的云
5月20日消息,第三届云计算大会今天继续在北京国家会议中心举行。在今天下午进行的云计算环境下的信息安全专题论坛中,来自云安全联盟的共同创始人兼执行理事长Jim Reavis发表了《构建受信任的云》主题演讲。他谈到云计算未来的需要解决的关键问题包括,云的快速演进,全球法律政策的差异,公/私有云的非标准,安全事故响应不及时等。
Jim Reavis先生表示,云计算是未来一个非常重要的部分,我们在跟这些首席执行官沟通时,他们遇到的最大问题就是安全问题。Jim Reavis还认为云计算不光是最重要的一个趋势,它正在改变我们的信息技术,同时它将会影响所有的行业,而且这种影响会越来越大。不管是汽车行业还是医疗、银行,需要IT投资是巨大的。
Jim Reavis先生谈到,我们现在遇到一个困境,比如一些应用程序在私有云和公有云都是分散的。现在我们有了移动设备,比如智能手机,Ipad,用户遍布世界各地,我们要把公司设备上的资源部署到个人资源上,现在应用程序、数据、设备都非常分散,从信息安全管理对他们是一个很大的挑战。我们必须要去考虑到底我们机构的信息参数有哪些。这些主要的问题有哪些呢?云把拥有数据的人以及负责云客户的人,还有处理数据的云把他们分开了,我们不能确认这个数据中心在哪。云所运作的方式可能是一种转变非常迅速的,我们需要把所有的物理信息安全控制变成虚拟的安全控制,因为我们不知道我们的信息在哪里,我们也不能确认人们只是用公司的计算机访问这一点。我们怎么使用这一点呢,我相信数据管理将会起到非常重要的种类。
Jim Reavis继续谈到,现在云计算发展非常迅速,信息安全也需要非常迅速才能跟上它的步伐。Jim Reavis介绍了云安全联盟目前在这方面做的工作,我们根据我们的观点提出自己的解决方案,我们是一个全球的协会,我们有超过两千个成员,其中有几百个是企业成员,我们在中国也有自己的办公室,我们想要采取一个广泛的合作方式建立起云的群体。我们怎么来做呢?不是传统的标准制订机构,我们更像一个社会网络。我们专注的是身份认证,使用的标准,我们想要培训人们让他们知道法律法规,还有很多教育培训的工作要去。我们怎么建立起一个受信的云呢,我刚才讲了战略培训安全框架,我们怎么估算这个世界,我们怎么预测未来。它并不是一个全面的策略。它采用云的策略,有的是来自我们的观点,我们的研究。从架构的角度来讲,一个混合的企业它需要管理一些复杂的问题,当然最重要的问题需要解决的就是身份认证,你们的身份认证管理了你们的企业,必须能够兼容成百上千个软件和应用系统。如果你不能做到这一点,云计算的经济性就无法实现。
风险管理也是非常重要的一个部分,我们需要分析一下,到底我们公司的风险承受能力是什么样的,我们有什么设施,有什么样的风险数据,到底我们的云供应商是不是能够满足风险工作的要求,保护我们的数据等等。所以培训也是非常重要的,我们发现虽然现在有很多市场推广,但是大家对很多问题还是缺乏了解,我们制订了一个白皮书是个指南,已经翻译成中文,覆盖了13个领域,包括公司治理,还有操作层面的问题。
安全评估是很重要的一方面,它在审计过程当中以及在谈判过程当中都很重要,我们想要提出的就是如果你做的是基础设施及服务的话,那么你的责任就是要进行这些安全措施,如果你购买的是软件级服务,那么就是供应商的责任,而你的责任主要是进行审计,也就是说对供应商进行监督。我们另外还有一个两种工具,有一种是叫做共识协议,有一百多个问题,你可以把这些问题提供云供应商,有很多大公司都在用,很多提供云计算的公司都要回答这样的问题,他们已经很熟悉这样的问题了。他的理念就是我们一次性把这些问题都回答了,不要一次又一次回答。如果你是供应商我建议你把它下载起来,然后你可以回答客户的问题,对于客户来说这个问题也非常重要。
最后一点就是要云审计。有一种标准叫API标准,我们可以来监控一些云计算供应商他们的内部运转情况。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。